Het Nederlandse KPN bespioneert als eerste operator ter wereld mobiele internetters met de controversiële afluistertechniek " deep packet inspection ". Mobiel internet wordt duurder en bovendien wil KPN zijn klanten meer aanrekenen indien zij gebruik maken van Skype.

De techniek is zeer omstreden, omdat deze door velen als het data equivalent van het aftappen van een telefoongesprek wordt gezien. Diverse burgerrechtenbeweging hebben al opgeroepen aangifte tegen het bedrijf te doen. Ook Vodafone doet in Nederland aan het omstreden " deep packet inspection ", waarbij het mobiele dataverkeer van gebruikers in de gaten gehouden wordt. Dat heeft het bedrijf in een verklaring toegegeven. Het bedrijf stelt dat het echter niet kijkt naar wat de gebruiker precies allemaal downloadt, maar alleen naar wat voor soort data hij gebruikt. Het bedrijf gebruikt deze informatie naar eigen zeggen om het netwerk zo min mogelijk te belasten. Zo worden bepaalde soorten data anders behandeld. Video's worden bijvoorbeeld in stukken gehakt en doorgestuurd, omdat veel mensen online filmpjes niet uitkijken. Op deze manier wordt er geen bandbreedte verspild om het hele filmpje te versturen als deze toch niet uitgekeken wordt.

Graag had ik een antwoord gekregen op de volgende vragen:

1) Hoe staat de geachte minister ten opzichte van telecomaanbieders die " deep packet inspection " zouden toepassen op hun klanten? Kan hij zijn standpunt uitvoerig toelichten?

2) Heeft hij weet van gelijkaardige voornemens vanwege de Belgische telecommunicatieaanbieders? Zo ja, kan hij dit gedetailleerd toelichten? Zo ja, om welke operatoren gaat het en wat wordt bekeken? Spoort dit met de privacywetgeving?

Zo hij nog geen weet zou hebben van dergelijke initiatieven, is hij bereid de telecommunicatieoperatoren hierover te bevragen en kan hij dit toelichten?

3) Kan hij aangeven of hij zal optreden wanneer een telecommunicatiebedrijf daadwerkelijk internetters zou volgen met de zogenaamde " deep packet inspection "? Zo ja, kan hij dit toelichten?

4) Is hij bereid dit desgevallend aan te kaarten bij de Europese overheid en de Commissie voor de bescherming van de persoonlijke levenssfeer? Kan hij dit toelichten?

1. en 2. Ik ben niet bevoegd om mij uit te spreken over de feiten die de senator heeft aangevoerd.

Mijn antwoord zal zich beperken tot de analyse van de situatie met betrekking tot de wet van 8 december 1992.

Volgens de definitie op Wikipedia is 'Deep Packet Inspection' de inhoudelijke analyse (gaat verder dan het adresopschrift) van elektronisch dataverkeer (meestal IP-pakket) door apparatuur van de netwerkinfrastructuur om er statistieken uit op te maken, om deze te filteren of om inbraken, spam of andere vooraf bepaalde inhoud op te sporen.

Indien deze definitie juist is, moet de 'Deep Packet Inspection' dan ook beschouwd worden als een verwerking van persoonsgegevens in de zin van artikel 1, § 2, van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die de richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens omzet, in de mate waarin het ten minste de IP-adressen en zelfs de inhoud van de boodschap zelf verwerkt.

Het moet dan ook alle bepalingen van de bovenvermelde wet naleven.

Krachtens artikel 4 van de bovenvermelde wet dienen persoonsgegevens:

- voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die onverenigbaar is met die doeleinden. Het is aan de telecomoperatoren om te bepalen voor welke doeleinden zij de 'Deep Packet Inspection' gebruiken. Is dat voor statistische doeleinden? Voor de filtering van spam, voor de opsporing van inbraken, voor de goede werking van het netwerk of om lekken van informatie te voorkomen?;

- toereikend, ter zake dienend en niet overmatig te zijn, uitgaande van de doeleinden. Het lijkt erop dat de 'Deep Packet Inspection' in bepaalde gevallen de mogelijkheid biedt om te lezen tot op de zevende laag van het OSI-model, wat de opschriften, de structuren van de protocollen en de inhoud van het bericht zelf omvat. Er moet gecontroleerd worden of de verzameling van deze informatie ter zake dient en niet overmatig is.

- niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen.

Krachtens artikel 5 van de bovenvermelde wet mogen persoonsgegevens slechts verwerkt worden in één van de volgende gevallen:

- wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend;

- wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen;

- wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen.

Krachtens artikelen 6, 7 en 8 van de bovenvermelde wet is de verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven en de gezondheid betreffen of inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve rechtbanken, verboden.

Krachtens artikelen 9, 10 en 12 van de bovenvermelde wet beschikt iedere betrokken persoon over een recht op informatie, een recht op toegang alsook een recht op rechtzetting en verwijdering van zijn eigen gegevens. Het niet naleven van deze bepalingen wordt strafrechtelijk bestraft.

Krachtens artikel 129 van de wet van 13 juni 2005 betreffende elektronische communicatie, die de richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) omzet, is het gebruik van elektronische communicatienetwerken voor de opslag van informatie of voor het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker slechts toegestaan op voorwaarde dat:

– de betrokken abonnee of eindgebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten;

– de verantwoordelijke voor de verwerking de betrokken abonnee of eindgebruiker, voorafgaand aan de verwerking, op een duidelijk leesbare en ondubbelzinnige wijze de mogelijkheid biedt om de voorgenomen verwerking te weigeren.

3. De toepassing en de interpretatie van de wet van 8 december 1992 ressorteert aan de ene kant onder de hoven en rechtbanken van de rechterlijke orde en aan de andere kant onder de commissie voor de bescherming van de persoonlijke levenssfeer, een onafhankelijke commissie ingesteld bij de Kamer van Volksvertegenwoordigers.

4. Zoals het hoger vermelde aantoont, behandelen de richtlijnen 95/46/EG en 2002/58/EG deze problematiek en hebben het voorwerp uitgemaakt van een omzetting in het Belgische recht die op haar beurt aan de Commissie voor de bescherming van de persoonlijke levenssfeer de bevoegdheid geeft om de tenuitvoerlegging van deze richtlijn te controleren.

Voor het overige verwijs ik naar mijn collega die bevoegd is voor telecommunicatie