Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 september 2011

Bij brief van 5 september 2011 heeft de vaste commissie voor Economische Zaken, Landbouw en Innovatie mij verzocht het rapport van het Openbaar Ministerie (hierna: het OM) alsmede eventuele onderliggende of verwante onderzoeken over het gebruik van Deep Packet Inspection (hierna: DPI) door telecomproviders aan uw Kamer toe te sturen, ten behoeve van het verzamel algemeen overleg Telecommunicatie op 15 september 2011.

Verwante onderzoeken

Voor wat betreft de in het verzoek genoemde onderliggende of verwante onderzoeken geldt dat de Onafhankelijke Post en Telecommunicatie Autoriteit (hierna: OPTA) een onderzoek naar DPI heeft uitgevoerd. Hierover is uw Kamer door de Minister van Economische Zaken, Landbouw & Innovatie geïnformeerd. Ook het College Bescherming Persoonsgegevens (hierna: CBP) voert een onderzoek uit naar DPI. Dit onderzoek loopt nog.

Onderzoek door het Openbaar Ministerie

Het College van Procureurs-Generaal (verder: het College) heeft mij geïnformeerd over de uitkomsten van het onderzoek naar DPI door het OM. Hierbij is door het College aangegeven dat het onderzoeksdossier van het OM ter beschikking wordt gesteld aan het CBP, dat ook een onderzoek naar DPI uitvoert.Gelet op het lopende onderzoek van het CBP acht ik openbaarmaking van het rapport van het OM niet opportuun. Ik erken evenwel het publieke belang om de vaste Kamercommissie inzicht te geven in de wijze waarop het onderzoek door het Landelijk Parket is verlopen en wat de bevindingen uit het onderzoek waren. Om die reden informeer ik u daarover door middel van deze brief.

De ophef die is ontstaan naar aanleiding van de uitlatingen van KPN over het gebruik van DPI en de onbekendheid met de specifieke configuratie waarmee de techniek in dit geval is toegepast, zijn voor het Landelijk Parket aanleiding geweest zich nader te oriënteren op de vraag of KPN in strijd heeft gehandeld met enige bepaling van het Wetboek van Strafrecht (WvSr). In het bijzonder het art. 139c WvSr waarin het afluisteren of opnemen van (kort gezegd) niet-openbaar gegevensverkeer strafbaar is gesteld, voor zover dit niet geschiedt voor specifiek in de wet genoemde doeleinden. De omstandigheid dat diverse overheden en uitvoeringsorganen van de Rijksoverheid gebruik maken van mobiele datadiensten van KPN, waarlangs ook communicatie plaats kan vinden die inhoudelijk onder een ambtsgeheim valt, bracht bovendien mee dat het Landelijk Parket wenste uit te sluiten dat de inzet van DPI door KPN op enigerlei wijze kan hebben geleid tot het kennisnemen van dergelijke communicatie door onbevoegden.

Bij brief van 13 mei 2011 heeft de landelijk officier van justitie cybercrime & interceptie de Raad van Bestuur van KPN verzocht hem te informeren omtrent het gebruik van DPI. Hij heeft daarbij opgemerkt dat hij op basis van de hem ter beschikking staande informatie vooralsnog geen aanleiding zag om KPN als verdachte aan te merken. Bij brief van 25 mei 2011 is de gevraagde informatie van KPN over het gebruik van DPI in haar netwerk ontvangen.

Door de OPTA en het CBP werd min of meer gelijktijdig een onderzoek ingesteld naar het gebruik van DPI door aanbieders van telecommunicatienetwerken. In het kader van het oriënterend onderzoek is door het OM overleg gevoerd met de OPTA, teneinde waar mogelijk de lopende onderzoeken op elkaar af te stemmen. Daarbij werd overeengekomen de beschikbare informatie met elkaar te delen. Bij brief van 7 juni 2011 heeft het Landelijk Parket de informatie van de OPTA ontvangen die eerder door KPN aan de OPTA werd verstrekt.

Bevindingen van het Openaar Ministerie

Uit het onderzoek van het OM is gebleken dat KPN DPI in brede zin voor de volgende doeleinden inzet:

• 1. Teneinde bepaalde verkeersstromen buiten databundels te kunnen transporteren en factureren (bijvoorbeeld MMS-verkeer);

• 2. Bij het gebruik van firewalls, spamfilters en virusscanners binnen het KPN- netwerk;

• 3. Ten behoeve van de analyse van klachten over technische routeringen;

• 4. Ten behoeve van netwerkplanning en -beheer.

KPN ziet zich geconfronteerd met een (sterke) toename in het gebruik van mobiele applicaties, die een belasting voor het telecommunicatienetwerk opleveren, zowel qua datavolumes als qua signaleringen. Om te voorkomen dat problemen ontstaan op het netwerk, acht KPN het noodzakelijk dat inzicht wordt verkregen op het gebruik van mobiele applicaties door gebruikers van haar netwerk.

KPN heeft een onderzoek uitgevoerd naar het dataverkeer op haar netwerk. Hierbij is analysesoftware gebruikt om applicaties in het mobiele dataverkeer te kunnen herkennen. Op verzoek van KPN is de standaardconfiguratie van deze software uitgebreid om ook de applicaties Hyves, WhatsApp en Viber te kunnen herkennen. De detectie van het gebruik van de genoemde applicaties vond volgens opgave van KPN plaats door een analyse van gegevens uit de transportlaag en de internetlaag van de onderzochte datapakketten. De inhoud van de communicatie, die zich in de applicatielaag bevindt, is niet bij de analyse betrokken, aldus KPN. Uit de stukken die door KPN zijn overgelegd blijkt overigens dat de gebruikte software theoretisch wel toegang kan krijgen tot de applicatielaag van datapakketten, maar deze toegang lijkt er primair op te zijn gericht om daaruit metadata (zoals URL’s) te destilleren.

De analyse heeft geresulteerd in een bestand waarin IMSI-nummers van klanten worden getoond die in de periode februari t/m april 2011 de genoemde applicaties gebruikten. De analysegegevens blijven drie maanden beschikbaar in de software, daarna worden de gegevens geautomatiseerd vernietigd.

De uitkomsten van het onderzoek acht KPN van belang voor de netwerkplanning, maar ook voor de retailafdelingen van KPN. Het toegenomen gebruik van Hyves, WhatsApp en Viber in combinatie met een eerder waargenomen daling in het gebruik van SMS, zou voor KPN aanleiding kunnen zijn om tot een ander aanbod van diensten te komen. De onderzoeksresultaten zijn om die reden (ook) voor marketingdoeleinden gebruikt. Na de analyse zijn de onderzoeksresultaten geanonimiseerd door de laatste vier cijfers van de IMSI-nummers in het bestand te verwijderen, al is onduidelijk of dit is gebeurd na de analyse ten behoeve van netwerkplanning en -beheer of na de analyse voor marketingdoeleinden.

Beoordeling door het Openbaar Ministerie

Het oriënterend onderzoek heeft voor het OM geen aanwijzingen opgeleverd dat KPN bij het gebruik van DPI communicatie van haar klanten heeft afgeluisterd in de zin van art. 139c WvSr. De gebruikte techniek bood in de opgegeven configuratie geen mogelijkheden om direct in een voor de mens waarneembare en begrijpelijke vorm kennis te nemen van de inhoud van de communicatie.

Evenmin is gebleken dat op de datapakketten waaruit de communicatie via Hyves, WhatsApp en Viber plaatsvond een zodanige bewerking heeft plaatsgevonden dat van de payload ervan kennis kon worden genomen.

Niet gebleken is dat de datapakketten die door de analysesoftware werden gezien integraal zijn opgeslagen. Uit de diverse lagen waaruit die pakketten zijn opgebouwd, is slechts een aantal gegevens geëxtraheerd en opgeslagen. Onder de uit de datapakketten geëxtraheerde en opgeslagen gegevens bevonden zich geen gegevens uit de applicatielaag. Een bewerking van die gegevens kan dus geen zicht hebben gegeven op de inhoud van de communicatie.

Conclusie

Het door het Landelijk Parket ingestelde onderzoek geeft, tegen de achtergrond van de thans beschikbare gegevens geen aanleiding om aan te nemen dat door KPN strafbaar is gehandeld. Het OM ziet dan ook geen reden om een strafrechtelijk onderzoek in te stellen en heeft de Raad van Bestuur van KPN dienovereenkomstig bericht.