11 augustus 2005
Providers moeten sinds 1 juni voldoen aan het Besluit beveiliging
gegevens aftappen telecommunicatie. Bij de Nederlandse
internetaanbieders viel deze week een brief van het Agentschap Telecom
op de mat. Onder providers is het agentschap bekend omdat het erop
toeziet dat de netwerken van de aanbieders aftapbaar zijn. In de brief
schrijft het Agentschap Telecom dat de instantie ook gaat controleren
of de providers wel zorgen dat de informatie van en over een tap goed
is beveiligd. Niet iedere werknemer van een internetaanbieder mag te
weten komen dat Justitie een verzoek heeft ingediend om een klant af te
tappen. In het Besluit Beveiliging Gegevens Aftappen Telecommunicatie (BBGAT)
is vastgelegd aan welke eisen de providers moeten voldoen bij het
beveiligen van die informatie. Zo moet de ruimte waar de tap
plaatsvindt, ‘deugdelijk fysiek beveiligd’ zijn. Werknemers van de
provider mogen alleen naar binnen als ze toestemming hebben. Bovendien
moet achteraf duidelijk zijn welke personen de ruimte hebben betreden.
Volgens het Agentschap waren de providers al op de hoogte van het
BBGAT. “De betreffende providers hebben we allemaal al eens bezocht.
Tijdens die bezoeken hebben we al aangekondigd dat dit besluit er aan
zat te komen. Via deze brief herinneren we hen daaraan”, aldus Arjan
Ribberink van het Agentschap Telecom.
Erik Bais van IS Interned Services
voorziet grote problemen bij de uitvoering van de regeling. Zo moet
personeel dat rechtstreeks te maken krijgt met tapverzoeken en het
verstrekken van informatie, een geheimhoudingsverklaring ondertekenen
en een verklaring van goed gedrag kunnen overleggen. “Er zijn mensen
die hier al zeven jaar werken, maar die nooit een verklaring van goed
gedrag hebben hoeven in te leveren. Moeten we die dan nu ontslaan als
ze dat niet doen? Het zijn wel de experts achter de schermen die het
werk doen”, aldus Bais. “Ook de fysieke beveiliging en de geheimhouding
worden een uitdaging”, meent Bais. “Op het moment dat je voor het
aftappen van een klant een doos in je datacenter installeert, dan zal
het personeel dat daar binnenloopt dat zien.” Ribberink bestrijdt dat
providers straks personeelsleden moeten ontslaan vanwege het BBGAT. “De
mensen die niet door de screening heenkomen, mogen alleen niet
betrokken zijn bij de tapgegevens. Verder kunnen ze natuurlijk gewoon
bij de internetaanbieder blijven werken.” Ribberink kan niet zeggen
hoeveel mensen er bij een gemiddelde provider betrokken zijn bij de
uitvoering van een taplast. Bais denkt dat vooral kleine providers in
een lastig parket terecht kunnen komen. “Stel dat je een provider hebt
waar twee mensen werken. Daarvan is er n ooit gepakt omdat hij
dronken achter het stuur zat. Zo’n provider kan dan niet voldoen aan
een taplast.” Het Agentschap Telecom heeft een checklist
opgesteld waaraan providers moeten voldoen. “Het is vervolgens aan de
provider hoe hij het beveiligingsplan vaststelt”, zegt Ribberink.
Volgens Bais is er niet goed nagedacht over de praktische invulling.
“Wat ze eigenlijk zeggen is: zoek het zelf maar uit. In de brief van
het agentschap staat ook weinig over de zaken waarop ze gaan
controleren. Het blijft allemaal vrij cryptisch.” Veel problemen hadden
volgens Bais voorkomen kunnen worden als de overheid van tevoren had
overlegd met de internetaanbieders. Als er een bewaarplicht komt voor
internetaanbieders worden de problemen volgens Bais nog veel groter.
“Het aftappen van abonnees vindt incidenteel plaats, maar bij de
bewaarplicht moet je bijvoorbeeld voortdurend bijhouden wie er in een
bepaalde ruimte is geweest.”