Bewaarplicht telecom makkelijk te bedonderen
Nederlandse providers moeten onze metadata verplicht bewaren, maar die blijkt makkelijk te manipuleren.
Het woord metadata is met de onthullingen van Snowden de afgelopen maanden vaak gevallen. Waar de NSA in de VS eigenhandig bijhoudt wie er met wie belt, moeten geheime diensten in Nederland aankloppen bij de providers. Die moeten volgens de bewaarplicht metadata van klanten registreren, zodat die later door bijvoorbeeld politie of veiligheidsdiensten kan worden opgevraagd.
Zo kan bijvoorbeeld worden nagegaan of een verdachte een bepaald telefoonnummer heeft gebeld. Dergelijke informatie kan in een rechtszaak als bewijs worden gebruikt. Het blijkt echter kinderlijk eenvoudig om te rommelen met de informatie die automatisch onder die bewaarplicht wordt opgeslagen, schrijft onderzoeksjournalist Brenno de Winter op Nu.nl.
Door een zogenoemde commerciële spoofing-dienst als Spoofcard of Spoofsms te gebuiken, kan iedereen doen alsof hij met het nummer van iemand anders belt of sms't. De providers controleren daar niet op, waardoor de gegevens volledig onbetrouwbaar zijn. En waar het manipuleren eenvoudig is, is het opsporen een stuk ingewikkelder.
Gegevens worden namelijk dubbel opgeslagen: door de provider van de beller en gebelde. In de gegevens die over de gebelde worden bijgehouden zal dan inderdaad staan dat die door een verdacht nummer is gebeld. Maar in de gegevens van de provider van die verdachte beller komt het gesprek vervolgens niet voor, aangezien er helemaal niet vanaf dat nummer is gebeld. Om daar achter te komen moeten wel alle gesprekken van mogelijk verscheidene providers naast elkaar worden gelegd, een ingewikkeld en duur proces. In het geval van buitenlandse nummers is het nog veel moeilijker en in sommige gevallen onmogelijk.
Of er al daadwerkelijk misbruik is gemaakt van de spoofing-truc is niet duidelijk. Wel zeggen twee providers dat zij weleens vorderingen hebben gehad voor nummers die niet bestaan. Ook zouden opsporingsdiensten geklaagd hebben over ontbrekende telefoongesprekken, een mogelijk gevolg van de truc. Provider Xs4all reageert nuchter: "De gegevens zijn primair bedoeld voor het technisch tot stand brengen van gesprekken, en voor facturering", aldus woordvoerder Niels Huijbregts.
In 2012 werd er 2,7 miljoen (!) keer informatie bij providers opgevraagd door politie, recherche en verschillende opsporingsdiensten.