“Overheid moet toegang tot onderschepte data goed regelen”

De overheid en de Tweede Kamer moeten transparanter zijn over de beveiliging van onderschepte data en over wie daar toegang toe heeft. Dit zegt Michiel Steltman, voorzitter van de Dutch Hosting Provider Association (DHPA). Steltman bepleit een strikt beleid voor toegang tot deze gegevens, net zoals de leden van de DHPA dat doen. Dit is volgens de DHPA een harde voorwaarde om het vertrouwen in de online economie te behouden en voor de toekomst te waarborgen.

De bij de DHPA aangesloten hostingbedrijven houden zich aan de wet. De dataretentierichtlijn (nr. 06/24/EG) van het Europees Parlement en de Raad van 15 maart 2006, en de Wet bewaarplicht telecommunicatiegegevens die op 1 september 2009 in werking trad, bepalen dat hostingbedrijven dataverkeersgegevens zes tot twaalf maanden moeten bewaren. Voor alle duidelijkheid: dit betreffen dus niet de gesprekken en transmissies zelf. De overheid kan deze gegevens opvragen voor handhaving en opsporing. Op verzoek kan de overheid ook taps plaatsen in e-mail- en telefoonverkeer. Het afstaan van gegevens om criminaliteit en terrorisme te bestrijden, is een democratisch tot stand gekomen verplichting die DHPA-deelnemers naar behoren uitvoeren.

De DHPA twijfelt echter of deze aan de overheid ter beschikking gestelde gegevens voldoende beschermd worden tegen toegang door onbevoegden. Het uit handen moeten geven van informatie van klanten aan de overheid schept immers een gedeelde verantwoordelijkheid voor de beveiliging en het borgen van privacy. Burgers en bedrijven moeten erop kunnen rekenen dat aan de overheid verstrekte informatie uitsluitend wordt gebruikt voor het doel waarvoor het wordt vergaard: bestrijding van criminaliteit en terrorisme. Wanneer de opgevraagde informatie in verkeerde handen valt, heeft dat een negatieve invloed op het vertrouwen van de consument in de online economie.

DHPA-deelnemers beschikken allemaal over een helder security- en privacybeleid, zoals vastgelegd in onder andere normen als ISO27001 en NEN7510. Enkele leidende bedrijven in de sector hebben daarnaast onlangs een ‘transparency report’ geïntroduceerd. Hierin bieden ze inzicht in het aantal taps en andere wettelijke interventies.

“De burger en het bedrijfsleven mogen van de overheid dezelfde zorgvuldigheid op het gebied van bescherming van vertrouwelijke data verlangen als van hun leverancier”, zegt Steltman. “Er is veel zorg vanuit de samenleving. Het is onvoldoende duidelijk hoe de overheid die verantwoordelijkheid over de opgevraagde dataverkeersgegevens en tapdata heeft ingevuld. Er zijn geen certificeringen of controles op de informatiebeveiliging door de overheid, er is geen transparantie en het is niet helder wie er toegang tot die data hebben en wat er met die informatie gebeurt. De indruk wordt gewekt dat iedere ambtenaar en elke vreemde mogendheid op verzoek in die informatie kan grasduinen. Dat de minister aangeeft dat privacy en beveiliging te duur zijn, stemt niet tot optimisme. Dat gebrek aan transparantie en de indruk dat de privacy van burgers door de overheid onvoldoende wordt beschermd, schaden het vertrouwen in de online sector en schaden daarmee economische belangen die Nederland heeft als sterke infrastructuursector. Daarom vraagt de DHPA aan de overheid om een aanpak te kiezen die zich bewezen heeft in het bedrijfsleven. Namelijk het ontwikkelen van helder beleid voor de beveiliging van, en toegang tot dit type informatie en inzicht geven in dit beleid. Daarnaast zijn toetsing en controle op uitvoering en effectiviteit door een onafhankelijke auditor essentieel. Met die aanpak en bijbehorende transparantie kan het vertrouwen in de bescherming van privacy en online gegevens worden hersteld.”