Op 8 november heeft de Russische premier Medvedev een ondertekend waarin is bepaald dat de communicatiegegevens van alle geaccrediteerden op de Olympische Spelen in Sotsji moeten worden opgeslagen in een database. Deze internet- en telefoongegevens − met wie, hoe lang en hoe vaak wordt gebeld/gemaild − zullen voor drie jaar worden bewaard en zijn 24 uur per dag toegankelijk voor de Russische inlichtingendienst en andere opsporingsdiensten. Het decreet heeft onder andere betrekking op alle sporters en begeleiders die naar Sotsji gaan, alle journalisten die in de stad aanwezig zijn en alle personen die werken voor de organiserende partijen.

Dat betekent dat de zogenoemde metadata van bijvoorbeeld schaatser Sven Kramer, journalist Dione de Graaff en Camiel Eurlings voor drie jaar opgeslagen liggen in een Russische database. De tekst van het decreet lijkt eveneens te impliceren dat de gegevens van hoogwaardigheidsbekleders als premier Rutte, koning Willem-Alexander en minister Schippers − die allen door het IOC zijn geaccrediteerd − ook zullen worden verzameld en opgeslagen.

Opmerkelijk is dat, anders dan de Europese Commissie beweert, geen van de betrokkenen over deze surveillance en privacyschending is geïnformeerd, zo blijkt uit een rondgang langs de daarvoor verantwoordelijke instanties − te weten het ministerie van Buitenlandse Zaken en het Nationaal Olympisch Comité (NOC). Sterker, de instanties zeggen van niets te weten.

De Winterspelen als oorlogsgebied

Bekend is dat Sotsji, een middelgrote Russische stad aan de Zwarte Zee, van 7 tot en met 23 februari omgebouwd is tot een zwaarbewaakt fort. Honderden spionagedrones zullen constant de omgeving afspeuren, tienduizenden bewakers lopen er rond en ook een geavanceerd videosysteem moet de bezoeker hoeden voor gevaar. De Russische president Vladimir Poetin heeft zijn geheime dienst FSB de verantwoordelijkheid gegeven over de beveiliging van de stad en die dienst, de opvolger van de KGB, neemt haar taak bloedserieus.

Minder bekend is dat er de afgelopen jaren in de aanloop naar de Spelen ook een omvangrijk surveillancesysteem is opgetuigd. In relatief korte tijd zijn de wettelijke bevoegdheden én technologische mogelijkheden van de inlichtingendiensten om de communicatie van burgers en buitenlanders te monitoren sterk verruimd. Alles is in het werk gesteld om ervoor te zorgen dat de communicatie van de bezoekers van Sotsji niet vooral aan de ogen en oren van de FSB zal kunnen ontsnappen. En met bezoekers bedoelen we alle bezoekers: supporters, sporters en hun begeleidende staf, hoogwaardigheidsbekleders alsook journalisten. Van iedereen die de stad bezoekt kan de internet- en telecommunicatie gemonitord, geanalyseerd en bewaard worden.

De maatregelen die in Sotsji worden genomen op het gebied van veiligheid zijn niet te vergelijken met die van voorgaande Olympische Spelen, zegt professor Colin Bennett van de Universiteit van Victoria, Canada. Hij is expert op het gebied van de beveiliging van grote evenementen als de Olympische Spelen. Wat Sotsji anders maakt dan andere Olympische Spelen, legt Bennett uit, is dat Sotsji in een sterk verarmd gebied ligt, vlak bij de politiek instabiele regio Noord-Kaukasus. Bennett: ‘Poetin heeft zijn eigen reputatie in de waagschaal gesteld om dit deel van Rusland rustig te krijgen. Het gevolg is dat de olympische zone nu een soort oorlogsgebied is. Het is een nachtmerrie van surveillance.’

Foto: Hollandse Hoogte
Foto: Hollandse Hoogte

Gedragsgegevens drie jaar opgeslagen

Het is opvallend dat het aspect van surveillance nagenoeg ontbreekt in de Nederlandse discussies over Sotsji. Opvallend, omdat niet alleen de Nederlandse supporters onderworpen worden aan grootschalige surveillance, maar ook de Nederlandse g waaronder dus eerdergenoemde schaatser Sven Kramer, journaliste Dione de Graaff en IOC-lid Camiel Eurlings − nadrukkelijk onder de nieuwe wet vallen. Daarnaast wordt er in Rusland helemaal niet zo geheimzinnig gedaan over de nieuwe maatregelen: de betreffende wettekst staat gewoon afgedrukt in de staatskrant. Het is, met andere woorden, grotendeels openbare informatie.

Zo half november Rossijskaja Gazeta de tekst van het door premier Medvedev ondertekende decreet. Het decreet dwingt leveranciers van communicatiediensten, zoals telecom- en internetproviders, om de data van de bezoekers op te slaan in een database die door de FSB en andere overheidsdiensten kan worden gebruikt. Het gaat om gegevens over de identiteit van een bezoeker, zoals de naam en het paspoortnummer, om informatie over de organisatie waar hij of zij toe behoort en om metadata over het communicatiegedrag. Met andere woorden: met welk telefoonnummer er contact is geweest en voor hoe lang, welke sites zijn bezocht en naar welke adressen is gemaild.

De database wordt daarna voor drie jaar bewaard en is in die periode 24 uur per dag toegankelijk voor de FSB en andere, niet bij naam genoemde opsporingsdiensten. ​(Mocht je het probleem niet zo zien van het verzamelen van ‘slechts’ metadata, lees dan hier het artikel van collega Dimitri Tokmetzis terug.)

Voor de duidelijkheid: de gegevens die van alle Nederlandse sporters, journalisten en hoogwaardigheidsbekleders in Sotsji drie jaar lang in een database worden opgeslagen, zijn dezelfde als de gegevens waarvan de de onafhankelijke toezichtshouder in de Verenigde Staten op het gebied van privacy en burgerrechten, heeft gezegd dat ze ‘een serieuze bedreiging voor de privacy vormen,’ omdat ze een ‘helder beeld schetsen van de persoonlijke relaties van een invidu en zijn gedrag.’ En die uitspraak ging alleen nog maar over de verzameling van telefoonmetadata door de NSA en nog niet eens, zoals in de FSB-database, over internetmetadata.

In Rusland wordt helemaal niet zo geheimzinnig gedaan over de maatregelen: sommige wetten staan gewoon in de krant

Welke bezoekers precies onder het Russische decreet vallen? Afgaande op de lijst die in de krant is gepubliceerd: iedereen die in Sotsji aanwezig is met een officiële reden. Die lijst bevat onder anderen: de organisatoren van de Spelen, de leden van het IOC, de leden van het World Anti-Doping Agency, alle atleten, hun trainers, de medische staf en sponsoren. Ook wordt tot twee keer toe benadrukt dat alle journalisten onderdeel zullen zijn van de surveillance. Dit geldt voor zowel Russische als buitenlandse verslaggevers.

Aan het einde van de lijst staat nog een soort restcategorie, namelijk die van andere personen die geaccrediteerd zijn door het Internationaal Olympisch Comité. Een woordvoerder van de Nederlandse sportorganisatie NCO*NSF laat in een reactie weten dat het IOC ook premier Mark Rutte, koning Willem-Alexander en minister Edith Schippers bij de Spelen heeft geaccrediteerd. ‘Het decreet sluit niet uit dat ook hun metadata in de database worden opgeslagen,’ zegt een onderzoeksjournalist en surveillance-expert uit Moskou. ‘Het lijkt erop dat ook zij onder het decreet vallen.’ Een woordvoerder van het ministerie van Buitenlandse Zaken kon dit bij navraag niet bevestigen.

Foto: Hollandse Hoogte
Foto: Hollandse Hoogte

Totale surveillance

De database is slechts een van vele middelen die de FSB ter beschikking staat in Sotsji. ‘Het is niet overdreven om te zeggen dat er sprake is van totale surveillance in Sotsji,’ zegt Andrei Soldatov. Hij is hoofdredacteur van de onafhankelijke website Samen met collega Irina Borogan doet hij al jaren onderzoek naar de FSB. de website staat een goed gedocumenteerd overzicht van de activiteiten van de inlichtingendienst in Sotsji. De journalisten hebben het grootste deel van die informatie uit openbare bronnen.

Een korte samenvatting volstaat: uit verschillende documenten blijkt dat de telefoon- en internetnetwerken in de omgeving van Sotsji de afgelopen jaren op zo’n manier zijn aangepast dat de FSB in staat is om het communicatieverkeer te monitoren. Zo zijn internet- en telecomproviders verplicht om apparatuur aan hun netwerken te koppelen, waardoor de FSB direct communicatie kan aftappen. Dit geldt niet alleen voor metadata, maar ook voor het afluisteren van de inhoud van communicatie. Daarnaast heeft de Russische regering ervoor gezorgd dat er supersnel draadloos internet in Sotsji zal zijn. Dit draadloze netwerk − zowel in hotels als op andere plekken in de stad −, moest aan bepaalde technische voorwaarden voldoen zodat de FSB er toegang toe heeft, zo ontdekten Soldatov en Borogan.

Verder vonden de Russische onderzoeksjournalisten dat het spiksplinternieuwe mobiele publieke 4G-netwerk dat in de omgeving van Sotsji is aangelegd door het Russische nationale telecombedrijf Rostelcom, beschikt over de zogenoemde Deep Packet Inspection-technologie. Hiermee is het mogelijk om naar de inhoud van het internetverkeer te kijken, met mails mee te lezen en naar trefwoorden te zoeken. Soldatov: ‘De Russische autoriteiten hebben zich er simpelweg van verzekerd dat alle communicatie van en naar Sotsji de geheime diensten niet kan ontgaan.’

Nederland niet op de hoogte

De vraag is: is de Nederlandse afvaardiging in Sotsji hiervan op de hoogte? En, minstens zo belangrijk: zijn de bezoekers van Sotsji − sporters, supporters, hoogwaardigheidsbekleders, journalisten − gewaarschuwd?

De waarschuwing op de site van het Amerikaanse State Department aan de bezoekers van Sotsji er in ieder geval niet om: ‘Travellers should be aware that Russian Federal law permits the monitoring, retention and analysis of all data that traverses Russian communication networks, including internet browsing, e-mail messages, telephone calls, and fax transmissions.’

Noemt het ironisch of hypocriet, het is in ieder geval klare taal.

Deze waarschuwing wordt door Brussel ook verwacht van de Europese lidstaten. ‘De Russische federale wetgeving staat toe alle gegevens die via Russische communicatienetwerken worden doorgegeven, te observeren, te bewaren of te analyseren,’ zei Eurocommissaris Viviane Reding als antwoord op vragen van Europarlementariër Sophie in ’t Veld. ‘De lidstaten van de EU informeren hun burgers die naar de Olympische Spelen gaan over de voorwaarden die in zo’n derde land gelden.’

Gebeurt dit ook in Nederland?

Op de site van de ministeries van Buitenlandse Zaken en die van Volksgezondheid, Welzijn en Sport is niets te vinden. Ook niet op de site van het NOC*NSF, of die van de Nederlandse ambassade in Moskou. Een woordvoerder van het ministerie wijst bij navraag op het de officiële voorlichtingsfolder voor bezoekers van Sotsji. Hierin staat veel praktische informatie over hotels, medicijnen en openbaar vervoer. ‘Er staat ook wel wat in over telefoon en internet,’ aldus de voorlichter.

Op de site van het BuZa staat dat het ‘raadzaam’ is om in Sotsji een lokale simkaart in combinatie met een prepaidkaart te kopen. Niet vanwege de FSB, maar vanwege de kosten

Dat klopt: er staat dat het ‘raadzaam’ is om in Sotsji een lokale simkaart in combinatie met een prepaidkaart te kopen. Niet vanwege de FSB, maar vanwege de kosten. Ook raadt het Oranje Boekje aan om ‘naar het thuisfront te skypen’, omdat dit het goedkoopst is. En: ‘Bijna ieder hotel heeft tegenwoordig wifi in de lobby, dan wel internet.’

Geen waarschuwing dus, maar een aanbeveling het Russische netwerk te gebruiken.

‘Over hoe het in Sotsji is geregeld kan ik je niets vertellen,’ vertelt de woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport. Op de vraag of het ministerie contact onderhoudt met de atleten die naar Sotsji gaan zegt hij: ‘Wij hebben geen communicatie met de sporters. Daar gaat NOC*NSF over.’

Op de vraag of de organisatie op de hoogte is van de surveillanceprogramma’s van de Russische staat in Sotsji, antwoordt de woordvoerder van het NOC*NSF: ‘Nee, wij zijn met sport bezig. Wij gaan ervan uit dat als er iets aan de hand is, de Nederlandse overheid zich er wel mee bezighoudt.’ Ook heeft het Nederlands Olympisch Comité de sporters en andere bezoekers niet geïnformeerd over de privacyschendingen die in Sotsji plaats zullen vinden. ‘Als er openbare informatie is dan zullen mensen die zelf wel vinden. Wij hebben dat in ieder geval niet opgezocht en verspreid,’ aldus het NOC*NSF.

Samenvattend: de Russische regering heeft tijdens de Spelen de bevoegdheid om de communicatie van alle Nederlandse bezoekers te monitoren en te analyseren. De technologie ligt er om niet alleen de metadata te registreren, maar ook om de inhoud van de communicatie af te luisteren. En er is een wet aangenomen die ervoor zorgt dat er een database wordt gebouwd waar metadata − die door kenners als zeer persoonlijke gegevens worden aangemerkt − van specifieke bezoekers voor drie jaar lang worden bewaard en beschikbaar zijn voor verschillende Russische opsporingsdiensten. En de Nederlandse bezoekers zijn hiervan, anders dan de Europese Commissie beweert, niet op de hoogte gesteld.

Vijf uur na mijn eerste gesprek met de voorlichter van Buitenlandse Zaken belt hij mij weer op. ‘Heb je ons reisadvies voor Rusland gezien? Dat is net aangepast.’

Inderdaad: opeens zijn er twee regels toegevoegd van Buitenlandse Zaken:

‘Weest u zich ervan bewust dat de Russische wet het toestaat om alle dataverkeer (telefoon, e-mail, internet etc.) over Russische communicatienetwerken te monitoren, bewaren en analyseren.’

Foto: Hollandse Hoogte
Foto: Hollandse Hoogte

Zijn metadata onschuldig? Nee dus. Eerder schreef correspondent Dimitri Tokmetzis een verhaal over wat je allemaal over iemand te weten kan komen via metadata. De frase ‘slechts metadata’ blijkt geenszins van toepassing. Lees hier het verhaal over wat metadata allemaal over je onthult.