Inleiding

Tevens geef ik door middel van deze brief invulling aan mijn toezegging van 17 mei jl. tijdens het Vragenuur om uw Kamer te informeren over een mogelijk onderzoek van OPTA naar eventuele schendingen van privacy door mobiele aanbieders en de activiteiten van het College bescherming persoonsgegevens in dit kader.

Deep Packet Inspection (hierna DPI) is een verzamelnaam voor technieken waarmee dataverkeer geanalyseerd kan worden. DPI is er in verschillende vormen en de specifieke vorm van DPI die wordt gebruikt, hangt af van het doel dat nagestreefd wordt. Zo kan de techniek worden ingezet om de gebruiker of een netwerk te beschermen tegen bijvoorbeeld spam of computervirussen, voor de optimalisatie van bedrijfsprocessen of voor commerciële doeleinden.

Het gebruik van de techniek DPI is op zichzelf toegestaan, maar kent wettelijke beperkingen. Niet alleen is de privacybescherming grondwettelijk geborgd, ook het telefoongeheim is in de Grondwet vastgelegd. Dat is vergelijkbaar met het briefgeheim bij de bezorging van post. Hierbij is te denken aan een postbode die moet weten aan wie een pakket is gericht, en voor wie het ook noodzakelijk kan zijn hoe groot het is, hoeveel het weegt en of het een bijzondere eigenschap heeft (bijvoorbeeld of het breekbaar is). De postbode mag echter niet zomaar naar de inhoud van het pakket kijken.

Meer specifiek zijn de Telecommunicatiewet en de Wet bescherming persoonsgegevens van toepassing. Tenslotte zijn het verbod op aftappen en andere inbreuken op de vertrouwelijkheid van de inhoud van elektronisch dataverkeer strafbaar gesteld in het Wetboek van Strafrecht. Een beoordeling of het gebruik van DPI wettelijk is toegestaan hangt van vele factoren af, waaronder de mate waarin dataverkeer wordt geanalyseerd, de soort gegevens dat wordt verkregen en van het doel waarvoor de techniek wordt gebruikt.

Het spreekt voor zich dat aanbieders van elektronische communicatiediensten bij het analyseren van dataverkeer de wettelijke beperkingen in acht dienen te nemen. Zij mogen dan ook niet zomaar de inhoud van dataverkeer bekijken. Ik hecht er dan ook sterk aan dat duidelijk wordt wat er gebeurt en gebeurd is bij het gebruik van Deep Packet Inspection, en of hierbij de regels overtreden zijn.

Om die reden heb ik er met instemming kennis van genomen dat op dit moment door de Onafhankelijke Post en Telecommunicatie Autoriteit (hierna OPTA) een onderzoek wordt verricht naar eventuele overtredingen door mobiele aanbieders van de Telecommunicatiewet door het gebruik van DPI. De resultaten van dit onderzoek verwacht ik op korte termijn en hierover zal ik uw Kamer nader informeren.

Het College bescherming persoonsgegevens heeft aangegeven na kennisneming van de resultaten van het onderzoek van OPTA te zullen bepalen welke verdere stappen het zal nemen als toezichthouder op de Wet bescherming persoonsgegevens.

Tenslotte doet het Landelijk Parket van het Openbaar Ministerie oriënterend onderzoek naar mogelijk strafbare toepassing van de DPI-techniek door telecomproviders. Op basis van de resultaten daarvan kan het Openbaar Ministerie besluiten (nader) strafrechtelijk onderzoek te doen.

Antwoord 1

Ja.

Antwoord 2, 3, 6

Deep Packet Inspection (hierna: DPI) is een verzamelnaam voor technieken waarmee dataverkeer dat over netwerken wordt getransporteerd kan worden geanalyseerd. De techniek kan worden ingezet om de gebruiker of een netwerk te beschermen tegen bijvoorbeeld spam of computervirussen, voor de optimalisatie van bedrijfsprocessen of voor commerciële doeleinden. De specifieke vorm van DPI die wordt gebruikt, hangt af van het doel dat nagestreefd wordt. Zo is het mogelijk om een vorm van DPI te gebruiken die slechts de eigenschappen van het dataverkeer en de verkeersgegevens analyseert. Dit zijn gegevens zoals het IP-adres van de verzender, het IP-adres van de geadresseerde en de zogenaamde TCP-poorten die in bepaalde gevallen kunnen dienen ter identificatie van een dienst. Een dergelijke analyse van het dataverkeer is deels noodzakelijk vanuit technisch oogpunt en deels voor de efficiënte afwikkeling van dataverkeer. Er zijn ook vormen van DPI die het dataverkeer intensiever inspecteren, bijvoorbeeld door aan de hand van bepaalde eigenschappen van de content vast te stellen welke specifieke dienst of toepassing wordt gebruikt.

Het gebruik van de techniek DPI is op zichzelf toegestaan, maar kent wettelijke beperkingen. Doordat met bepaalde vormen van deze techniek ook de inhoud van elektronisch dataverkeer kan worden ingezien, raakt het gebruik ervan aan een aantal belangrijke thema’s, zoals privacy en de vertrouwelijkheid van communicatie. Naast de grondwettelijke bescherming van de privacy en het telefoongeheim is de privacy en de vertrouwelijkheid van communicatie in het specifieke geval van elektronische communicatiediensten gewaarborgd in hoofdstukken 11 en 18 van de Telecommunicatiewet. Op grond van deze bepalingen moet een aanbieder van een openbaar elektronisch communicatienetwerk de bescherming van de privacy en persoonsgegevens van abonnees en gebruikers van zijn netwerk of diensten waarborgen. Daarnaast stelt de Wet bescherming persoonsgegevens (hierna Wbp) verschillende eisen aan de het verwerken van persoonsgegevens. Op grond van de Wbp mogen persoonsgegevens bijvoorbeeld alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen ze niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Tenslotte is de vertrouwelijkheid van de inhoud van elektronisch dataverkeer in het algemeen gewaarborgd door de artikelen 138ab, 139a, 139c, 139d en 273d van het Wetboek van Strafrecht. Het afluisteren, aftappen of opnemen van telecommunicatie is, op enkele uitzonderingen na, op grond van deze artikelen verboden.

De rechtmatigheid van het gebruik hangt onder meer af van de toepassing van de techniek, van de soort gegevens dat wordt verkregen en van het doel waarvoor de techniek wordt gebruikt. Een afweging of het toepassen van DPI wettelijk is toegestaan, zal per geval beoordeeld moeten worden. De mate waarin dataverkeer wordt geanalyseerd is daarbij niet het enige criterium waarop getoetst moet worden.

De Onafhankelijke Post en Telecommunicatie Autoriteit (hierna OPTA) voert momenteel een onderzoek uit naar het gebruik van DPI door telecomaanbieders. Voor verdere informatie omtrent dit onderzoek verwijs ik u naar het antwoord op vraag 5 van de set Kamervragen van de leden Schaart en Van der Steur van 19 mei 2011 (2011Z10365).

Het Landelijk Parket van het Openbaar Ministerie verricht op dit moment een oriënterend onderzoek naar deze kwestie. Aan de hand van de resultaten daarvan zal het Openbaar Ministerie beoordelen of een strafrechtelijk onderzoek geïndiceerd is.

Antwoord 4, 5

Deze vragen raken aan de kwestie netneutraliteit. Met de motie Braakhuis c.s. van 19 mei jl. wordt de regering verzocht in de Telecommunicatiewet op te nemen dat telecomaanbieders niet op basis van het soort gebruik van dataverkeer mogen differentiëren om netneutraliteit te garanderen. Tijdens het AO VTE Raad van 24 mei jl. heb ik aangegeven deze motie te zullen uitvoeren.