Nader advies over het voornemen om de ‘nummerherkenning’ vorm te geven op basis van een architectuurschets Aernout Schmidt ∗
Inhoudsopgave De opdracht
2
Aanpak
2
Wat staat er, qua architectuur, in de vereisten
3
Wat staat er in Figuur 1
5
Het overleg van 6 september
5
Verkeersgegevens Mogelijke oplossing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 6
Conclusie en advies
6
Aangehaalde literatuur
7
∗ Mr. dr. Aernout Schmidt is sinds maart 2010 onbezoldigd hoogleraar Recht en Informatica aan de Universiteit Leiden (in deeltijd). Daarnaast geeft hij - in strategische alliantie met Corvers Procurement Services BV en met Croon Davidovich Advocaten - adviezen op het gebied van ICT, aanbesteding en Recht. Hij specialiseert zich in (methoden en technieken voor) de kwalitatieve analyse van (specificaties van) regelstelsels voor institutionele systemen, die worden ondersteund door ICT.
1
De opdracht Er is sinds medio 2009 overleg tussen de NOVA en “Behoeftestellers” (OM, KLPD e.a.) om tot een legitieme en betrouwbare functie te komen die de “Behoeftestellers” in staat zal stellen hun wettelijke verplichting om zogenoemde geheimhoudgesprekken in voorkomende gevallen niet meer af te luisteren, niet meer op te slaan en ook niet meer – ongewild – als bewijsmateriaal ter zitting te brengen. Aan de deken van de Amsterdamse Orde heb ik op 1 en 2 december 2009 gerapporteerd, en nogmaals op 28 juli 2010, nu naar aanleiding van voorbereidende besprekingen over de vormgeving van de bedoelde functie. Het laatste rapport bevat een viertal vereisten waaraan de functie naar mijn oordeel zou moeten voldoen om legitiem te kunnen zijn. Op 17 augustus jongstleden ontving ik een e-mailbericht van de deken van de Amsterdamse Orde met het verzoek om na te gaan of de verzekering die hem per e-mail had bereikt dat aan alle vier de genoemde eisen zou worden voldaan nader te beoordelen. Genoemde verzekering werd zonder nadere toelichting geadstrueerd met behulp van een enkele figuur (Figuur 1).
Figuur 1: KLPD architectuurschets
Bij mijn oordeelsvorming moet ik dus afgaan op een enkele figuur zonder legenda.
Aanpak Aannemende dat de figuur het begin van een ontwerp weergeeft, probeer ik na te gaan of aan de vier voorwaarden kan worden voldaan. Voor de leesbaarheid herhaal ik de voorwaarden 2
hieronder: 1. Het zelfstandige agent-vereiste. De database wordt architectonisch als een zelfstandige ‘agent’ vormgegeven, dat wil zeggen in een afzonderlijke en afzonderlijk beheerde computer met een beperkt aantal communicatiekanalen en een beperkt communicatierepertoire. 2. Het afzonderlijke updatekanaal-vereiste. De database communiceert voor updates via een apart en alleen daarvoor bestemd en toegankelijk kanaal met de NOVA, ten behoeve van het up-to-date houden van de tabel met geheimhoudnummers. 3. Het afzonderlijke bevragingskanaal-vereiste. De database communiceert voor het beantwoorden van gelegitimeerde vragen of een bepaald nummer een geheimhoudnummer is via een apart en alleen daarvoor bestemd en toegankelijk kanaal met door Behoeftestellers geautoriseerde personen (of ICT-diensten). 4. Het afzonderlijke beheerkanaal-vereiste. De database communiceert voor beheer via een apart en daarvoor bestemd en toegankelijk kanaal met een daartoe door beide partijen bevoegd geoordeelde functionaris, die aan beide partijen rapporteert. Langs dit kanaal kunnen logs worden geraadpleegd (maar niet veranderd) en kan eventueel ad hoc ‘overige informatie’ worden geraadpleegd, die van statistische aard zou kunnen zijn, maar ook in bijzondere gevallen betrekking kan hebben op het bewijzen van het gebruik en de toestand van de database achteraf. Deze voorwaarde zijn van belang om niet een situatie te laten ontstaan waarin de NOVA bij convenant informatie beschikbaar stelt met het doel om afgeluisterde geheimhoudgesprekken te wissen, zonder de KLPD in de verleiding te brengen die informatie te gaan gebruiken als basis voor opsporing (naar advocaten). De advocatuur heeft nu eenmaal een zelfstandige grondrechtelijke positie die de moeite waard is om te verdedigen – ook tegen elke schijn van toezicht/inmenging door behoeftestellers. En dat die schijn zonder de gestelde eisen moeilijk kan worden weggenomen is onderbouwd in mijn eerdere rapportages.1 Het geeft dan ook moed dat zowel de NOVA als de Behoeftestellers er kennelijk belang aan hechten dat aan die voorwaarden wordt voldaan, anders was de e-mail aan de Amsterdamse deken wel anders verwoord. Aannemende dat de Figuur 1 het begin van een ontwerp weergeeft, probeer ik dan ook vol vertrouwen na te gaan of aan de vier voorwaarden kan worden voldaan. Mijn methode beperkt zich tot eenvoudige analyse. Ik begin met het geven van de (er is maar één mogelijkheid) architectuurschets, zoals die voortvloeit uit de vereisten, om die te vergelijken met de architectuurschets van Figuur 1. Conclusies, vragen en aanbevelingen volgen.
Wat staat er, qua architectuur, in de vereisten 1. In de vereisten is er sprake van een relationele database 2 met een tabel met geheimhoudnummers (“de database”). 2. De database functioneert op een zelfstandige computer. 3. De database heeft precies drie poorten openstaan die toegang bieden tot drie afzonderlijke kanalen, te weten (a) voor het updaten van de tabel door of vanwege de NOVA 1 Zie:
[Schmidt(2009)] en [Schmidt(2010)]. relationele database is een begrip dat voor ICT-professionals een vaste betekenis heeft en kan als zodanig worden opgevat als betekenis te hebben in de verkeersopvatting zoals die door ICT-professionals wordt gedeeld. Enkele belangrijke kenmerken heb ik uiteengezet in [Schmidt(2010)]. 2 Een
3
(b) voor het vragen vanwege behoeftestellers of een bepaald nummer een geheimhoudnummer is en voor het geven van een antwoord op die vraag door of namens de NOVA, en (c) voor het onderhouden van de database en de computer waarop de database draait door of vanwege de NOVA en Behoeftestellers gezamenlijk. Eén en ander laat zich maar op één enkele manier vertalen in een architectuurschets. Ik geef deze in Figuur 2.
Figuur 2: NOVA architectuurschets Ik geef eerst de legenda. Figuur 2 maakt gebruik van drie soorten elementen: • rechthoekjes: deze staan voor actoren (computers, functionarissen, rechtspersonen) die iets doen; • cirkeltjes: deze staan voor toestanden (post- en/of precondities); • pijlen: deze verbinden toestanden (als precondities) met actoren of actoren met toestanden (dan: postcondities). Er zijn geen pijlen direct tussen actoren, en evenmin direct tussen toestanden.3 • NB: ik merk op dat de KLPD-systemen (een complex dat is aangegeven met een cirkel en daarin een rechthoek) niet direct in verbinding staan met de database. Figuur 2 kan dan voor zover van belang voor de NOVA als volgt worden gelezen: 1. Er is een actor die de functie van een relationele database 4 vervult. 3 Ik volg daarmee de grammatica van eenvoudige Petrinetten, één van de strandaardmanieren om ICTarchitecturen weer te geven. 4 Een relationele database is een begrip dat voor ICT-professionals een vaste betekenis heeft en kan als zodanig worden opgevat als betekenis te hebben in de verkeersopvatting zoals die door ICT-professionals wordt gedeeld. Enkele belangrijke kenmerken heb ik uiteengezet in [Schmidt(2010)].
4
2. De database heeft precies drie poorten openstaan die toegang bieden tot drie afzonderlijke kanalen, te weten (a) voor het updaten van de tabel door of vanwege de NOVA (b) voor het vragen vanwege behoeftestellers of een bepaald nummer een geheimhoudnummer is en voor het geven van een antwoord op die vraag door de database, en (c) voor het onderhouden van de database en de computer waarop de database draait, maar ook voor het stellen van bijzondere vragen aan de database en de databaselogs, door of vanwege de NOVA en Behoeftestellers gezamenlijk. Voor zover van belang voor de Behoeftestellers (in de figuur kortheidshalve aangegeven met KLPD), voorziet de architectuur van Figuur 2 erin dat de filter (als actor) voor elk gesprek dat wordt getapt onmiddellijk bij verbinding nagaat of de gesprekspartner gebruik maakt van een geheimhoudnummers of niet, door dat aan de database te vragen – en vervolgens actie te nemen (content wel/niet tappen) op basis van het antwoord.
Wat staat er in Figuur 1 Van dit alles is weinig terug te vinden in Figuur 1. Mogelijk is hiervan de oorzaak dat het om een schets met een mij onbekende grammatica gaat. Mijn hoofdzorg is dat er geen sprake is van een database, maar van communicatie met behulp van XML-bestanden in de richting van een aparte server waarop van alles staat dat voor het beantwoorden van de vraag of een nummer een geheimhoudnummers betreft onnodig is. Als het inderdaad de bedoeling is om dagelijks XML-bestandjes aan te leveren hebben we niet alleen een volkomen afwijkende architectuur, we nemen vermoedelijk ook genoegen met een bedroevend amateuristische aanpak van de kant van de NOVA die niet alleen moeilijk te beveiligen zal blijken, maar ook nog eens onnodig veel weggeeft waar het zou gaan om de bewijspositie van advocaten bij een eventueel verschil/geschil over het gebruik van de gegevens (als eerder en elders betoogd). Maar Figuur 1 is onduidelijk en op meerdere manieren te interpreteren. Naar aanleiding van de stelling van Behoeftestellers dat de door hen voorgestane aanpak voldoet aan de vier gestelde vereisten, is op 6 september nader overleg gevoerd met de NOVA om één en ander op te helderen.
Het overleg van 6 september Tijdens het overleg van 6 september is intensief nagegaan op welke wijze aan de vereisten effectief tegemoet zou kunnen worden gekomen zonder een aantal in het overleg NOVAKLPD ingenomen posities te hoeven aanpassen. Deze doelstelling is – voor zover ik kan beoordelen – bereikt.
Verkeersgegevens Tijdens dit overleg kwam evenwel een bijzonder vraagstuk op tafel naar aanleiding van de brief van de Minister van Justitie naar de kamer (brief van 16 augustus over nummerherkenning). Daarin wordt gewag gemaakt van het gebruik van verkeersgegevens om misbruik door advocaten te kunnen tegengaan/opsporen. Tijdens het overleg bleek dat het niet geheel duidelijk was waarop de minister daarbij doelde. Er zijn twee plaatsen waar dergelijke verkeersgegevens kunnen worden bewaard: 5
1. In de reguliere bewaarde verkeersgegevens, zoals daarin door de Dataretentierichtlijn wordt voorzien. 2. In de verzameling afluistergegevens van het KLPD, tenminste wanneer uit die verzameling alleen het audiomateriaal dat bij geheimhoudgesprekken hoort wordt weggefilterd. Indien de Minister alleen op de verzameling genoemd onder (1) wordt gedoeld is daartegen geen bezwaar. Echter, indien door de Minister wordt gedoeld op de verzameling onder (2) moet er rekening mee worden gehouden dat de KLPD die verkeersgegevens kan gaan gebruiken om specifiek op de communicatie van advocaten gerichte analyses uit te voeren, buiten de NOVA om. Immers door te vragen of een opgenomen gesprek een geheimhoudgesprek is aan de NOVA en vervolgens alleen de audiogegevens en niet de verkeersgegevens te wissen krijgt de KLPD de beschikking over materiaal waaraan het patronen van advocatengesprekken kan ontlenen welke ook nog eens kunnen worden samengevoegd met informatie uit verzameling (1). Aan verzameling (2) hoeft dan als startpunt immers alleen maar te worden gevraagd om een overzicht van die verkeersgegevens die zonder bijbehorend audiomateriaal zijn opgeslagen. Op de langere termijn brengt dit gebruik het OM in een positie om het communicatiegedrag van advocaten die gefilterde geheimhoudgesprekken voeren aan bijzondere analyses te onderwerpen. Dit gebruik is niet in overeenstemming met het doel van het project ter identificatie en vernietiging van geheimhoudgesprekken.
Mogelijke oplossing Mij lijkt de volgende oplossing voor de hand te liggen. 1. Ongericht en voortdurend toezicht op het communicatiegedrag van advocaten door het OM op basis van de analyse van de verkeersgegevens van alle afgeluisterde geheimhoudgesprekken komt mij onrechtmatig voor – ook als de Minister dat unverfroren meedeelt aan de Kamer. 2. Wanneer er een bijzondere aanleiding is om specifieke analyses van verkeersgegevens van geheimhoudgesprekken uit te voeren kan dat worden verwezenlijkt door toegespitste informatie te vragen aan de NOVA-tabel langs de weg van het gezamenlijk beheer (als weergegeven in Figuur 2). Dit is voor de KLPD omslachtiger, maar het lijkt een geringe tegenprestatie voor de dienst die de NOVA zich getroost voor het beter uitvoeren van de wettelijke taak van de KLPD.
Conclusie en advies 1. Ik beveel aan om de op 6 september besproken operationele architectuur te verwezenlijken en vast te leggen in het convenant. 2. Ik beveel aan om van de KLPD te eisen dat ook de verkeersgegevens van afgeluisterde geheimhoudgesprekken worden gewist uit de verzameling afgeluisterd materiaal.
Oegstgeest, 18 augustus 2010 - bijgewerkt op 7 september 2010
6
Aangehaalde literatuur [Schmidt(2009)] Schmidt, A., “Advies over het voornemen van de Nederlandse Orde van Advocaten tot regulering ten behoeve van ‘nummerherkenning’. Leiden: eLaw@Leiden. (extern rapport),” Technical Report, eLaw@Leiden, 2009. [Schmidt(2010)] ———, “Nader advies over het voornemen van de Nederlandse Orde van Advocaten tot regulering ten behoeve van ‘nummerherkenning’ op basis van een convenant met behoeftestellers,” Technical Report, eLaw@Leiden, 2010.
7