Dat een tapgesprek tussen Fred Teeven en de in opspraak geraakte Limburgse VVD-bestuurder Van Reij is zoekgeraakt maakt niet uit. Uit de administratie blijkt dat Van Reij gebeld is vanaf het ministerie van Veiligheid en Justitie. Dat weten we dankzij de bewaarplicht verkeersgegevens. Maar wat nou als Teeven nooit gebeld heeft en het was Ronald Plasterk die de beste man belde? Dat blijkt eenvoudig te regelen door niets meer te doen dan een accountje te nemen op spoofcard.com. Met deze dienst kun je een telefoonnummer opgeven dat je wilt bellen en welk nummer moet worden meegestuurd als beller. Ik kan u dus bellen met het nummer van compleet iemand anders.
De aanval is zo goed dat in de telefooncentrale dit niet wordt opgemerkt. In de administratie van de telecomprovider staat het gemanipuleerde telefoonnummer. Sinds de invoering van de bewaarplicht verkeersgegevens zijn providers verplicht die administratie zes maanden te bewaren. Die gemanipuleerde gegevens zullen bij een strafrechtelijk onderzoek ook worden gevorderd.
Dat het ‘spoofen’ van een gesprek ook daadwerkelijk verkeerd gaat blijkt uit onderzoek dat ik verrichtte. Bij diverse providers heb ik telefoongesprekken gecreeerd die daarop in de administratie werden teruggezocht. Ogenschijnlijk belden dus bekende Nederlanders, Officieren van Justitie of ministers op, terwijl dat niet het geval is.
De scenario’s voor misbruik zijn niet moeilijk te bedenken. Bij ingewikkelde moordzaken kan een spoor aan contacten worden gemaakt zelfs voor het misdrijf plaats vond. Wat dan extra pijnlijk is dat de gebruikte dienst de mogelijkheid biedt direct naar voicemail te gaan en zo de ontvanger niet eens te spreken.
Maar denk ook aan iemand die vreest getapt te worden en toch moet bellen. Met een nepnummer is de bewijslast een stuk minder. Zeker als je bedenkt dat de gebruikte dienst ook nog eens een stemvervormer aanbiedt. Welke betrouwbaarheid de tap dan nog heeft is niet duidelijk.
De crimineel die een paar weken voor zijn proces belt met het nummer van de behandelend Officier van Justitie belt met zichzelf. Je hoeft niet veel fantasie te hebben om te begrijpen hoe dwaalsporen vorm krijgen.
Maar de bewaarplicht verkeersgegevens gaat over veel meer. Ook de metadata van SMS-berichten wordt bijgehouden. Via een vergelijkbare dienst voor SMS-berichten is het mogelijk namens iemand anders te SMS’en. Een paar verkeerde berichten zijn voldoende om iemand het leven zuur te houden.
Het probleem met de bewaarplicht verkeersgegevens is de function creep: je maakt iets met een doel en vervolgens zet je het voor een ander doel in. Providers hielden nooit deze informatie bij om betrouwbare opsporing mogelijk te maken, maar voor technische doelen. Bij de bewaarplicht zetten we de informatie nu toch voor opsporing in. Dat kan leiden tot fouten en ook de NSA overschat dus de waarde van deze informatie, die soms echt foutief kan zijn.
In sommige gevallen kun je als opsporende dienst wel ontdekken dat de geregistreerde gesprekken niet de werkelijke gesprekken zijn. Maar dan moet je voor ieder gesprek controleren of het bij zowel de provider van de beller als de gebelde partij in de administratie voorkomt.
Tientallen, nee soms honderden vorderingen moeten duidelijkheid geven of gesprekken en sms’jes aan beide kanten bestaan. Daarbij moet je hopen dat er geen buitenlands nummer in het spel is waar we geen jurisdictie hebben. Dat is gedoe en de bewaarplicht is juist bedoeld dingen simpel te houden. Daarom hou ik het er maar op dat Teeven met Van Rey belde en niet Plasterk.
