Het Openbaar Ministerie heeft in mei dit jaar onderzoek gedaan naar het gebruik van deep packet inspection (DPI) door KPN. Het was al bekend dat dit onderzoek weer gestaakt is, maar de minister van Veiligheid en Justitie heeft een samenvatting van het onderzoek naar de Tweede Kamer gestuurd (13 september).
De Kamer had verzocht om die informatie en eventuele onderliggende stukken. Het OM en Opta hebben hun dossiers echter doorgegeven aan het College Bescherming Persoonsgegevens, dat nog met een onderzoek bezig is. De minister geeft daarom geen onderliggende stukken vrij, alleen een samenvatting.
In het Wetboek van Strafrecht (art. 139c) staat dat het afluisteren of opnemen van (kort gezegd) niet openbaar gegevensverkeer strafbaar is, voor zover dit niet geschiedt voor specifiek in de wet genoemde doeleinden. Daarbij is het ook nog zo dat sommige overheidsdiensten KPN gebruiken voor vertrouwelijke communicatie.
Het OM heeft besloten een onderzoek in te stellen wegens de ophef die KPN op 10 mei veroorzaakte met zijn communicatie over DPI. De landelijk officier van Justitie heeft op 13 mei informatie opgevraagd bij KPN, met de vermelding dat KPN niet als verdachte wordt beschouwd. KPN heeft dat verzoek vervolgens binnen twee weken beantwoord door informatie te geven over de gebruikte DPI-software en de configuratie daarvan.
Het Nederlands Forensisch Instituut (NFI) heeft onderzocht of KPN met die configuratie kennis kon nemen van de inhoud van de communicatie van klanten van KPN. Ten tweede is gekeken of die huidige configuratie noodzakelijk kan worden geacht voor een goede werking van het openbare telecommunicatienetwerk van KPN.
Uit het onderzoek van het OM is gebleken dat KPN DPI in brede zin voor de volgende doeleinden inzet:
- teneinde bepaalde verkeersstromen buiten databundels te kunnen transporteren en factureren (bijvoorbeeld MMS-verkeer);
- Bij het gebruik van firewalls, spamfilters en virusscanners binnen het KPN- netwerk;
- Ten behoeve van de analyse van klachten over technische routeringen;
- Ten behoeve van netwerkplanning en -beheer.
KPN merkt dat klanten steeds vaker apps gebruiken die het netwerk meer belasten, zowel qua volume als qua signaalverkeer. KPN achtte het noodzakelijk om daar inzicht over te krijgen. “Er is analysesoftware gebruikt om applicaties in het mobiele dataverkeer te kunnen herkennen”, meldt het OM in de brief aan de Tweede Kamer.
“Op verzoek van KPN is de standaardconfiguratie van deze software uitgebreid om ook de applicaties Hyves, WhatsApp en Viber te kunnen herkennen. De detectie van het gebruik van de genoemde applicaties vond volgens opgave van KPN plaats door een analyse van gegevens uit de transportlaag en de internetlaag van de onderzochte datapakketten. De inhoud van de communicatie, die zich in de applicatielaag bevindt, is niet bij de analyse betrokken, aldus KPN. Uit de stukken die door KPN zijn overgelegd blijkt overigens dat de gebruikte software theoretisch wel toegang kan krijgen tot de applicatielaag van datapakketten, maar deze toegang lijkt er primair op te zijn gericht om daaruit metadata (zoals URL’s) te destilleren.”
Dat leverde een bestand met IMSI-nummers op van abonnees die die apps gebruiken in februari, maart en april. Deze gegevens werden na drie maanden vernietigd. “Het toegenomen gebruik van Hyves, WhatsApp en Viber in combinatie met een eerder waargenomen daling in het gebruik van SMS, zou voor KPN aanleiding kunnen zijn om tot een ander aanbod van diensten te komen. De onderzoeksresultaten zijn om die reden (ook) voor marketingdoeleinden gebruikt. Na de analyse zijn de onderzoeksresultaten geanonimiseerd door de laatste vier cijfers van de IMSI-nummers in het bestand te verwijderen, al is onduidelijk of dit is gebeurd na de analyse ten behoeve van netwerkplanning en -beheer of na de analyse voor marketingdoeleinden”, schrijft het OM.
KPN heeft echter in die presentatie een specifiek voorbeeld gegeven, van een Hi-abonnee die haar abonnement met een Nokia N900 had omgezet naar een abonnement met ‘n BlackBerry en vervolgens veel minder buiten de bundel ging bellen. Dat suggereert dat men wel degelijk de facturen van klanten ernaast heeft gelegd.
Samengevat: het oriënterend onderzoek heeft voor het OM geen aanwijzingen opgeleverd dat KPN bij het gebruik van DPI communicatie van haar klanten heeft afgeluisterd in de zin van art. 139c WvSr. Evenmin is gebleken dat op de datapakketten waaruit de communicatie via Hyves, WhatsApp en Viber plaatsvond een zodanige bewerking heeft plaatsgevonden dat van de payload ervan kennis kon worden genomen. Er is dan ook geen onderzoek ingesteld.
De Partij van de Dieren heeft op 30 augustus kamervragen gesteld over DPI. V&J laat echter weten dat op die vragen nog geen antwoord gegeven kan worden, omdat nog niet alle benodigde informatie binnen is.
