Het leek deze Kerst zo rustig op privacygebied –  maar schijn bedriegt. Justitie publiceerde op 28 december 2010 – tijdens het kerstreces – een advies dat al in augustus was afgerond maar tot dan toe stil was gehouden. Opmerkelijk, want in dit rapport adviseren de schrijvers om het bedrijfsleven in te zetten bij het digitaal oormerken van onverdachte Nederlanders – en ondertussen anonimiteit en versleuteling te criminaliseren. Op technologisch gebied missen de schrijvers basale kennis. Het ministerie moet dan ook – zoals al aangekondigd op Twitter door Jeanine Hennis – afstand nemen van dit rapport.

Achter de weinigzeggende ondertitel “Hypothesen van cybercrime en haar daders” schuilt een onderzoek met potentieel rampzalige gevolgen (PDF). Het rapport probeert een overzicht te geven van kenmerken op grond waarvan iemand als mogelijke verdachte van internetgerelateerde criminaliteit kan worden aangemerkt. En hoewel de schrijvers de term ‘profilering’ vermijden, vormt het rapport wel degelijk een opmaat naar het digitaal oormerken van alle, dus ook onverdachte, Nederlanders. Hoe ver kan dat gaan?

Ver: het gebruik van anonimiseringssoftware (p. 124 en 135), het versleutelen van internetverkeer (p. 153) en het genereren van überhaupt veel internetverkeer (p. 305) zijn al een aanleiding voor zo’n digitaal oormerk. Het is de eerste stap richting een wereld waarin het gebruik van anonimiteit en encryptie je automatisch in het vizier van de opsporing plaatsen.

De vraag is natuurlijk: waar haalt de politie die informatie over internetgebruikers vandaan? De politie beschikt immers nog niet over dit soort informatie van onverdachte Nederlanders. De onderzoekers concluderen dat het bedrijfsleven deze gegevens beschikbaar kan stellen.

Er zijn talloze bezwaren tegen dit onzalige voorstel. Digitaal oormerken, zeker met de bottebijl-methode zoals in het rapport wordt voorgesteld, werkt niet, stigmatiseert, kan misbruikt worden en is in strijd met de onschuldpresumptie. Het is als het zoeken naar een naald in een hooiberg: door miljoenen Nederlandse internetgebruikers in profielen op te nemen, produceer je meer hooi maar ga je de naald niet sneller vinden. En als het bedrijfsleven wordt ingeschakeld om die gegevens te leveren zoals in het rapport wordt gesuggereerd, ontbreekt ook nog een rechterlijke toets.

Bovendien rammelt het rapport op technologisch gebied. Het begint al bij de definities: zo zou een ‘Worm’ staan voor ‘Write once, read many’, terwijl dat laatste een term is die wordt gebruikt voor DVD’s (p. 14). Een IP-adres zou een 9-cijferige code zijn die een computer toegewezen krijgt als deze contact met een webserver maakt, terwijl een IP-adres niet altijd uit 9 cijfers bestaat en niet door webservers wordt toegewezen (zie hier ook een grappig overzicht van de fouten in de definities). Het eindigt bij de conclusies, waar de onderzoekers waarnemen dat sprake is van “toenemende encryptie aan de basis” (p. 300):  software encryptie zou ‘standaard ingebakken’ zijn ‘als het gaat om het verhullen van authentieke identiteiten, het aannemen van valse, vervalste of gestolen identiteiten, het regelen van het betalingsverkeer, en de keuze voor witwasmethoden’. Snapt u het? Wij kunnen er in ieder geval geen chocola van maken. En de illustratie van chat-lingo is ronduit hilarisch (p. 141).

Alle humor ten spijt: dit advies is een nieuw dieptepunt in al jaren voortschrijdende pogingen van het ministerie van Justitie om haar bevoegdheden steeds verder uit te breiden en het leven van onverdachte Nederlanders in kaart te brengen. Als het ministerie écht werk wil maken van het aanpakken van internetgerelateerde misdrijven, zou ze de broodnodige expertise bij de politie moeten uitbreiden in plaats van alle onverdachte Nederlanders digitaal te oormerken. Het ministerie moet dan ook afstand nemen van dit rapport.