Anonieme VPN aanbieden, mag dat? (deel 1)

Zo nu en dan ontvangen wij de vraag of het in Nederland is toegestaan om via anonieme betaalmiddelen, zoals contant geld en Bitcoin, VPN-diensten aan te bieden, waarbij zo min mogelijk gegevens worden gelogd. In verband met PRISM staan dit soort diensten extra in de belangstelling. Dit blogbericht is de eerste uit een serie over de juridische kwesties bij anonieme VPN.

Anonieme prepaid simkaarten mogen in Nederland ook

Al in 1997 kwam in de Nederlandse politiek de vraag aan de orde of er een recht bestaat op anonieme toegang tot telecommunicatienetwerken en -diensten. Het Kabinet wilde destijds een identificatieplicht in het leven roepen voor gebruikers van prepaid kaarten voor mobiele telefonie. Verkopers van deze kaarten zouden verplicht worden om voor de verkoop de klant te identificeren en registreren, zodat anonieme mobiele telefonie niet langer mogelijk zou zijn. De Registratiekamer, de voorloper van het College Bescherming Persoonsgegevens, kwam met zoveel bezwaren tegen het voorstel dat het Kabinet hem zelf introk. Een greep daaruit:

• style="font-size: 13px">Een identificatieplicht zou alle gebruikers van prepaid cards gelijk stellen met een kleine minderheid van wetsovertreders en een eerste stap zijn op weg naar een algemeen verbod op anoniem gebruik van telecommunicatiediensten. Dergelijk algemeen verbod zou in strijd zijn met artikel 8 van het Europees Verdrag voor de Rechten van de Mens (“EVRM”), dat de eerbiediging van de persoonlijke levenssfeer waarborgt. Dit grondrecht wordt tevens geacht het recht op vertrouwelijke telecommunicatie te omvatten.
• style="font-size: 13px">Registratie kon in de praktijk makkelijk worden ontdoken door prepaidkaarten te kopen van onverdachte burgers of bedrijven, of uit een land waar registratie niet plaatsvindt. Dit gebrek aan effectiviteit, zou de maatregel disproportioneel maken.
• style="font-size: 13px">Nederland zou met de bewuste maatregel in Europees verband uit de pas lopen. Destijds gold er in Duitsland zelfs een wet die aanbieders van “Telediensten”, waar internettoegangsdiensten (destijds nog dial-up verbindingen over de telefoonlijn) ook toe werden gerekend, ertoe verplichtte om anoniem gebruik en anonieme betaling van de Telediensten mogelijk te maken voor zover dat technisch mogelijk en redelijk was.

Illustratief voor de veranderlijkheid van de balans die in regelgeving wordt getroffen tussen de belangen van anonimiteit versus de belangen van toerekenbaarheid en opsporing, is dat het in Duitsland inmiddels juist wel verplicht om je te laten registreren als je wilt kunnen bellen. Daarbij wordt overigens ook standaard een ‘kopietje paspoort’ in de registratie van de aanbieder opgenomen, zoals ik laatst zelf in de praktijk ondervond. Deze situatie zal  href="http://webwereld.nl/beveiliging/57698-europees-hof-buigt-zich-over-anonieme-simkaart">volgens Webwereld door het Europees Hof voor de Rechten van de Mens worden getoetst aan het grondrecht op privacy, dankzij een Duitser die eerst alle mogelijke Duitse rechtsgangen had geprobeerd.

In Nederland is het momenteel nog altijd wel mogelijk om een telefoon te gebruiken zonder dat de telecomprovider weet wie je bent. Het is daarbij wel de vraag hoe anoniem een prepaid-gebruiker werkelijk is, aangezien de nummers van de inkomende en uitgaande gesprekken wel worden gelogd en bewaard. Als de eigenaren van die nummers wel zijn geregistreerd, kan uit die gegevens en de verkeers- en locatiegegevens mogelijk toch vrij eenvoudig de identiteit van de ‘anonieme’ prepaid gebruiker worden afgeleid.

Dit laat direct mooi zien dat anonimiteit net als veiligheid eigenlijk nooit absoluut is, omdat er voor een persoon of organisatie met voldoende kennis en middelen altijd wel een manier bestaat om de anonimiteit / beveiliging te doorbreken. De vraag blijft alleen: hoe gemakkelijk of moeilijk mag of moet je het maken?