De NSA heeft wat ik wil

De NSA verzamelt elke dag 5 miljard locatiegegevens van mobiele telefoons. The Washington Post onthulde afgelopen week nieuwe documenten van klokkenluider Edward Snowden. Daarin werd een nieuw onderdeel van het surveillance-apparaat van de National Security Agency (NSA) beschreven. Het programma, CO-TRAVELER genaamd, legt dagelijks de locatie vast van honderden miljoenen mobiele telefoons van burgers over de hele wereld. De NSA probeert van bepaalde personen zo te kunnen vaststellen met wie ze bellen en omgaan. Door de vergaring van zoveel mogelijk gegevens, worden verbanden duidelijk tussen reeds bekende targets van de dienst en die van nog onbekende personen.

Om dit te bereiken, registreren en analyseren de NSA en de GHCQ, de Engelse evenknie van de NSA, de metadata van tientallen miljoenen burgers. Hoeveel precies is onduidelijk, maar een senior collection manager gaf op voorwaarde van anonimiteit en met toestemming van de NSA aan de Washington Post toe dat het ging om ‘grote volumes.’

In Europa gebeurt dit al sinds 2007

De omvang van het afluistersysteem van de NSA blijft verbazen. Het gekke is: in de EU doen we iets soortgelijks al zes jaar, openbaar en via de wet geregeld.

De wet op dataretentie verplicht sinds september 2007 elke Europese staat de internet- en telefoniegegevens (de metadata dus, niet de inhoud van de e-mails en gesprekken) van elke internet- en telefoongebruiker voor tenminste een half en maximaal twee jaar op te slaan. In Nederland slaan we de data één jaar op. In andere Europese landen verschilt het van zes maanden in Duitsland tot een volle twee jaar in Polen.

Dit betekent dat er een jaar aan gegevens van elke Nederlander ligt opgeslagen bij internet- en telefoniemaatschappijen. Dat is een hooiberg voor de AIVD om terroristen in te vinden, maar een potentiële privacyramp als een database ooit lek blijkt. En een goudmijn voor een datamijnwerker zoals ik. Onze riante wetgeving helpt mij aan een betrouwbare persoonlijke database waar ik in kan gaan spitten.

Dit voorjaar heb ik een eerste poging gedaan om deze gegevens aan te boren. Met artikel 35 van de wet op persoonsgegevens onder de arm, klopte ik bij T-Mobile aan. Ik kreeg toen, keurig binnen de termijn van vier weken, een overzicht met de volgende persoonsgegevens: wie ik ben, wanneer ik geboren ben, hoelang ik al een abonnement heb en welke telefoon ik gebruik. Informatie die mij al via andere wegen bekend was. Niet de informatie waar ik op hoopte.

Het gaat me om de metadata die, volgens de wet, een jaar in de T-Mobile-datakluis moet worden opgeslagen. Na wat aandringen kreeg ik als antwoord: ‘Een heel jaar kunnen we niet aan beginnen, maar je mag tien dagen uitkiezen.’ Onder protest ben ik daarmee akkoord gegaan en ondanks de beperkte verzameling gegevens, is het resultaat een eye-opener. Met Google Maps kun je het resultaat zien van één dag van een deel van deze metadata. Je ziet de GSM-masten waarmee ik verbinding heb gemaakt op 11 maart 2012. Dit is voor één dag.

Laat staan als je tien dagen kunt bekijken. Of een heel jaar. Of jaren lang elke dag de gegevens van 711 miljoen EU-burgers, zoals de Europese opsporingsdiensten.

Selectieve verontwaardiging

Datgene waarvoor de NSA en haar zusje de GHCQ bedrijven moeten dwingen, eigen afluisterstations moeten inrichten en duizenden werknemers aan het werk hebben gezet, is in de EU bij wet geregeld. De overheid betaalt geen cent voor de vergaring en opslag van al die gegevens en verkrijgt er redelijk simpel inzicht in.

Nu gaat de NSA verder, doordat ze tot ver over haar eigen grenzen haar methodes toepast. Maar ik krabte me toch even achter de oren over de ophef van afgelopen week, aangezien we hier in Europa met soortgelijke surveillance zelf hebben ingestemd. Voordat we onze verontwaardiging richten op de NSA en de GHCQ, moeten we wellicht eerst nagaan welke wetgeving we zelf geschapen hebben en met welk doel ook alweer.

Gelukkig zijn er genoeg groepen die al jaren kritisch zijn over deze wetgeving van de EU, zoals het Nederlandse Bits of Freedom en het Ierse Digital Rights. De website van Digital Rights.Die laatste spande in 2006 een rechtszaak aan tegen de nieuwe regelgeving. De nationale rechtbank vroeg om advies aan het Europese Hof in deze zaak en die gaf op haar beurt een advocaat-generaal de opdracht met een uitspraak te komen over de Europese Regelgeving. Vorige week was het dan eindelijk zo ver. De advocaat-generaal van het Europees Hof, Pedro Cruz Villalón, concludeerde Lees hier meer over de uitspraak van de advocaat-generaaldat de masale opslag van deze gegevens, in strijd is met het Europees Handvest van de Grondrechten van de Europese Unie:

‘Door aanbieders van elektronische communicatiediensten te verplichten om verkeers- en localisatiegegevens van elektronische communicatie te verzamelen en te bewaren, vormt de richtlijn een duidelijke inmenging in het grondrecht van burgers op eerbiediging van hun privéleven.’

Het is nog afwachten wat het Europese Hof met dit advies gaat doen en wat vervolgens de nationale rechtbank in Ierland zich hier van aantrekt. Maar als Cruz Villalón zijn zin krijgt, begint de klok te tikken voor ons datamijnwerkers om onze verkeersgegevens in handen te krijgen.

Dit artikel verscheen eerder op De Correspondent

Leave a Reply