29 december 2010

Wie zijn IP-adres verbergt heeft daar een reden voor en mogelijk is die ‘te relateren aan kinderporno’, stelt een onderzoek in opdracht van de overheid. De onderzoekers adviseren een vergaande aanpak van cybercrime. Het onderzoek richt zich op het samenstellen van gedragsprofielen van cybercriminelen, die kunnen worden ingezet tegen cybercrime. Sommige zaken kunnen duiden op verdacht gedrag, zo stelt het rapport. Mensen die zich schuldig maken aan het kijken of produceren van kinderporno hebben browserfavorieten die daar op kunnen duiden, zo stellen de onderzoekers van het onderzoeksbureau Faber in het rapport dat zij in opdracht van de ministeries van Economische Zaken en Veiligheid en Justitie uitvoerden. De onderzoekers komen ook tot de niet verrassende conclusie dat surfgedrag en gebruikte zoektermen licht kunnen werpen op iemands activiteiten. Volgens de Volkskrant concluderen de onderzoekers dat cybercrime alleen kan worden aangepakt als de politie ‘internationaal gaat samenwerken’ en ook ISP’s, banken en domeinregistreerders gegevens aan de politie leveren. Providers zouden kunnen inspecteren welke abonnees hun IP-adres verbergen, waarna de politie die gebruiker nader kan onderzoeken. Een van de onderzoekers, Wynsen Faber, geeft tegenover de krant toe dat deze potentiële maatregelen kunnen ‘schuren’ met de privacy. Dat is nogal positief geformuleerd voor een flagrante inbreuk op welke privacyregels dan ook die we in dit land hebben.

Het rapport was begin oktober al klaar, maar werd gisteren – midden in het kerstreces van de Tweede Kamer – gepresenteerd aan de betrokken ministeries. Burgerrechtenorganisatie Bits Of Freedom is er van geschrokken. ‘Dit is de opmaat naar het digitaal oormerken van onschuldige Nederlanders’, waarschuwt voorzitter Ot van Daalen. Hij noemt de voorstellen in het rapport ‘ronduit schandalig’. Het rapport is geschreven door Faber Organisatievernieuwing, en gaat in op de werkwijze van cybercriminelen. Onder meer phishing, kinderporno en Nigeriaanse oplichtingstrucs zijn onderzocht. Politie en justitie kunnen volgens Faber door het koppelen van grote hoeveelheden bestanden ‘verdachte gevallen’ er automatisch uitvissen. Het komt bovengemiddeld vaak voor dat slachtoffers van kindermisbruik op latere leeftijd zelf gaan misbruiken. Om die reden zouden bijvoorbeeld de slachtoffers van Robert M in de Amsterdamse zedenzaak digitaal in de gaten gehouden moeten worden. Wanneer ze ineens veel internetverkeer genereren of een dure fotocamera aanschaffen, zou er een alarmbel (een ‘red flag’) moeten gaan rinkelen, stellen de onderzoekers. Van mannen die vroeger een sekswinkel hadden, zou het reisgedrag bijgehouden moeten worden, om te kijken of ze niet reizen naar landen waar vaak kinderporno wordt geproduceerd. Ook fotografen met weinig werk die opeens veel gaan verdienen, zijn verdacht. De politie zou automatisch toegang moeten krijgen tot alle banktransacties, om geautomatiseerd opmerkelijke transacties te detecteren. Bovendien zou iedereen die gebruik maakt van encryptie om gegevens te beveiligen, als verdachte moeten worden beschouwd. Een woordvoerder van het ministerie van VenJ liet in eerste instantie weten nog niet te weten welke zaken worden getest. Het zal in eerste instantie gaan om het uittesten van de red-flagmethode op gegevens van afgeronde en lopende strafzaken. ‘Daarnaast moeten we gaan kijken naar privacy-aspecten. Dat speelt vooral wanneer bedrijven klantgegevens moeten afstaan’. Volgens Faber zijn bedrijven geneigd dit te doen, wanneer het delict maar ernstig genoeg is. Als de bedrijven instemmen met de aannames die uit het onderzoek blijken, dan kunnen ze ook niet achterblijven met het leveren van gegevens, stelt het rapport. ‘Eerdere instemming wordt daardoor niet vrijblijvend’. Bits Of Freedom stelt terecht dat deze vorm van informatieverzameling in strijd is met grondrechten, zoals die zijn vastgelegd in de Nederlandse Grondwet. Als gevolg van de kritiek hebben de betrokken ministeries ondertussen besloten het rapport niet over te nemen. De ministeries zeggen niet te spreken te zijn over de kwaliteit van het onderzoek. Dat was ook veel kritiek op; de technische kennis van de onderzoekers zou ontoereikend zijn. Onder andere de verklarende woordenlijst bevat grote fouten: zo wordt een dns-server gelijkgesteld aan een hostserver en beweren de onderzoekers dat een IP-adres altijd negen cijfers heeft. Wat mij het meeste stoort echter is dat het rapport niet afgewezen wordt op het feit dat het een volstrekt amorele en privacyregelingen ontkennende insteek heeft. De ministeries hadden alleen daarom al van dit rapport afstand moeten nemen. Als dat inzicht geeft in wat voor maatregelen uiteindelijk in het vat zitten, dan wordt ik daar niet gelukkig van.