Vergeet Plasterk, de Amerikanen kunnen er toch wel bij
Vandaag debatteert de Tweede Kamer over de 1,8 miljoen metadata die door de Nederlandse inlichtingendiensten zijn verzameld. Maar het belangrijkste zal waarschijnlijk niet aan de orde komen: dat de Amerikanen al jaren probleemloos toegang hebben tot de grote Nederlandse netwerken.
Het gaat vandaag waarschijnlijk over de poppetjes. Vorige week bleek dat niet de National Security Agency (NSA), maar de Nederlandse inlichtingendiensten AIVD en MIVD 1,8 miljoen metadata hebben verzameld. Minister Ronald Plasterk (Binnenlandse Zaken, PvdA) heeft daardoor een groot probleem. De vraag die hij vandaag in de Tweede Kamer moet beantwoorden, is waarom hij in Nieuwsuur heeft gezegd dat juist de Amerikanen die data verzamelden, terwijl ambtenaren en andere bewindspersonen wisten dat de Nederlandse diensten dat deden.
Ik voorspel dat één aspect zeker niet aan de orde zal komen in het debat vandaag.
Als je iets geeft aan een bevriende dienst, moet je daar iets voor terugkrijgen. Wat heeft Nederland voor deze data teruggekregen en is dat rechtmatig vergaard?
Hoe ik dat weet? Simpel. Dat probleem wordt namelijk al jaren genegeerd: de sterke greep van de Verenigde Staten op onze digitale infrastructuur. De Amerikaanse autoriteiten kunnen tientallen bedrijven die in Nederland actief zijn, dwingen om onze data te onderscheppen en af te staan. Deze bedrijven komen klem te zitten. Als ze aan die informatieverzoeken voldoen, overtreden ze de Nederlandse wet. En als ze er niet aan voldoen, overtreden ze de Amerikaanse.
Dit probleem is al twaalf jaar bekend en wordt steeds prangender. De overname van internetserviceprovider Ziggo door Liberty Global leidt er bijvoorbeeld toe dat de klantgegevens van Ziggo in Amerikaanse handen kunnen vallen. Liberty Global is een Amerikaans bedrijf.
De vraag is nu: hoe kunnen de Verenigde Staten telecombedrijven tot deze medewerking dwingen?
De wetten die het mogelijk maken: Patriot ACT en FISA
De Amerikaanse opsporings- en inlichtingendiensten hebben een flink juridisch arsenaal tot hun beschikking om Nederlandse data te vergaren. Een bekend voorbeeld is de PATRIOT Act, kort na de aanslagen op nine eleven aangenomen. De FBI mag sindsdien bij bedrijven en organisaties informatie opvragen, zoals documenten, metadata van telefoon- en e-mailverkeer en allerlei andere klantgegevens die betrekking hebben op niet-Amerikanen. Officieel om terroristische aanslagen te voorkomen, in de praktijk ook voor diplomatieke en economische spionage.
Daarnaast is er de Foreign Intelligence Surveillance Act (FISA), waarmee bedrijven gedwongen kunnen worden dataverkeer te onderscheppen, bijvoorbeeld door het plaatsen van taps in het glasvezelnetwerk.
Elk bedrijf dat data in de cloud zet, kan worden afgetapt zonder dat daar een individueel gerechtelijk bevel voor nodig is
In 2008 is daar nog de FISA Amendment Act bijgekomen. Op basis van deze wet kunnen opsporings- en veiligheidsdiensten in bulk gegevens over niet-Amerikanen opvragen bij cloud-providers. Die providers zijn gevrijwaard van aansprakelijkheid en krijgen een vergoeding. Dit betekent dat elk bedrijf dat data in de cloud zet van een Amerikaanse aanbieder, kan worden afgetapt zonder dat daar een individueel gerechtelijk bevel voor nodig is.
De gevraagde data hoeven zich niet fysiek in de Verenigde Staten te bevinden. In een verslag van een bijeenkomst over de PATRIOT Act op het ministerie van Financiën vertelt specialist Lokke Moerel van De Brauw Advocaten dat de reikwijdte in de praktijk nog verder gaat. Ze legt uit dat de PATRIOT Act van toepassing is als er een band bestaat met de Amerikaanse jurisdictie.
Daar is al sprake van als een bedrijf of organisatie een ‘continue en systematische’ activiteit op Amerikaanse bodem heeft. Het is dus geen vereiste dat het hoofdkantoor in Amerika staat. Als een Amerikaanse vestiging toegang heeft tot gegevens buiten Amerika (bijvoorbeeld van het Europese hoofdkantoor), moeten die ook worden afgegeven. Ook medewerkers met de Amerikaanse nationaliteit die toegang hebben tot bijvoorbeeld een datacentrum in Nederland, kunnen door de FBI of NSA tot afgifte worden verplicht.
Bindende afspraken over aftappen van netwerken
De telecombedrijven worden steeds verder onder druk gezet om zich aan de Amerikaanse autoriteiten te onderwerpen. In de zomer van vorig jaar schreven The Washington Post en The Wall Street Journal over een in Nederland nog praktisch onbekend middel om buitenlandse ondernemingen aan Amerikaanse justitie te onderwerpen: Network Security Agreements.
Als buitenlandse telecombedrijven diensten en infrastructuur in de Verenigde Staten willen kopen of aanbieden, moeten ze daarvoor toestemming krijgen van de Federal Communications Commission (FCC), een toezichthouder. Sinds 2003 is deze goedkeuring grotendeels overgedragen aan Team Telecom, juristen van de Amerikaanse ministeries van Binnenlandse Veiligheid, Justitie en Defensie én de FBI.
Saillant is dat Team Telecom geen juridische basis heeft, maar wel bindend advies geeft aan de FCC. Hierdoor heeft dit team veel macht. Als een bedrijf zich benadeeld voelt, kan het geen verhaal halen bij een rechter of bezwaarcommissie. Afspraken tussen bedrijven en Team Telecom worden gemaakt op basis van ‘vrijwilligheid’ en verschillen per provider.
Team Telecom heeft geen juridische basis, maar geeft wel een bindend advies
Die afspraken worden contractueel vastgelegd in een Network Security Agreement. Zo’n afspraak regelt de veiligheidsmaatregelen die bedrijven treffen om vooral Amerikaanse infrastructuur en data te beschermen. Zo mogen alleen Amerikanen met gevoelige Amerikaanse data werken. In sommige gevallen kan het ministerie van Binnenlandse Veiligheid zodoende benoemingen van personeel tegenhouden.
Maar er worden ook afspraken gemaakt over surveillance. Bedrijven moeten hun systemen aftapbaar maken en mogen onder geen beding buitenlandse overheden op de hoogte stellen van Amerikaanse informatieverzoeken. Providers moeten bijvoorbeeld een Network Operations Center op Amerikaanse bodem hebben, dat binnen dertig minuten door federale ambtenaren bezocht kan worden. Sinds een paar jaar moeten ook beheerders van onderzeese kabels naar de Verenigde Staten een Network Security Agreement ondertekenen, ook al zijn ze al langer actief in Amerika.
Netwerkreus Level 3 vind je ook in de Randstad
Het eerste bedrijf dat zo’n Network Security Agreement moest ondertekenen, was Level 3 Communications. Dit enorme bedrijf bezit en beheert een groot deel van de internet backbone. Dit is het grote wereldomspannende netwerk van glasvezelkabels en routers, zowel in de grond als op de zeebodem, dat alle internetnetwerken met elkaar verbindt. Schattingen lopen uiteen, maar ergens tussen één derde tot de helft van het wereldwijde internetverkeer loopt via de kabels van Level 3.
Afgelopen november speelde het bedrijf de hoofdrol in de onthulling van het zogenoemde MUSCULAR-programma van de NSA. Zij verzorgt het verkeer van Google en Yahoo! tussen hun datacentra. Level 3 wordt ervan beschuldigd deze data voor de NSA te hebben onderschept, een beschuldiging die het bedrijf heeft bevestigd noch ontkend.
Level 3 bezit ook veel infrastructuur in Nederland en Europa. Allerlei verschillende partijen maken gebruik van haar netwerk. Providers bijvoorbeeld. In het verleden is KPN klant geweest. KPN wil niet zeggen of zij nog steeds klant is. Of grote bedrijven met veel dataverkeer, zoals financiële instellingen. En ook overheden, met name die van Engeland en de Verenigde Staten, maken gebruik van het netwerk en de diensten van Level 3.
Level 3’s netwerk is uitgestrekt. In Nederland verbindt het de grote steden in de Randstad en vanuit Nederland strekt het zich rechtstreeks uit tot Brussel, Parijs, Straatsburg, Keulen, Hamburg en Frankfurt. Stuk voor stuk economisch en politiek belangrijke steden. Een van haar onderzeese kabels loopt van Beverwijk via het Duitse Sylt naar Brookhaven, New York en weer terug via Whitesands Bay in Engeland. Daarnaast heeft ze een datacentrum in Amsterdam Zuid-Oost.
Ruim 100 netwerkbedrijven in Nederland vallen onder Amerikaanse jurisdictie
Level 3 is niet het enige telecombedrijf dat actief is in Nederland en onder Amerikaanse jurisdictie valt. Ik heb een analyse gemaakt van alle in Nederland actieve telecombedrijven. De namen zijn beschikbaar in het register van toezichthouder Consument en Markt en op de site van internetknooppunt AMS-IX. Nederland is een belangrijk internetknooppunt, een van de grootste ter wereld. Het is dan ook niet verwonderlijk dat er ruim 1.600 telecombedrijven actief zijn.
Ongeveer 250 bedrijven zijn interessant voor Amerikaanse opsporings- en veiligheidsdiensten, omdat ze een aanwezigheid hebben op Amerikaanse bodem. Een kantoor bijvoorbeeld. Of een dochteronderneming. Soms is die lijn erg dun: een aansluiting op een internetknooppunt, een paar servers in een datacentrum. Hoewel die bedrijven formeel onder de PATRIOT Act of de FISA kunnen vallen, heb ik die bedrijven er toch maar uitgefilterd.
De ruim honderd bedrijven die er dan overblijven hebben een veel duidelijker aanwezigheid in Amerika: ze bezitten een dochteronderneming of infrastructuur in de Verenigde Staten. Of zijn zelf een dochter van een Amerikaanse onderneming. Bij deze honderd bedrijven is er geen twijfel dat ze onder de genoemde wetten vallen.
Ze zijn in te delen in drie drie categorieën. Ten eerste: de netwerkaanbieders. Het Franse bedrijf Alcatel-Lucent is bijvoorbeeld in Nederland actief, maar heeft ook veel kantoren in Amerika. Hetzelfde geldt voor de Amerikaanse multinational Cisco, dat netwerkapparatuur in Nederland levert, zoals routers die het dataverkeer de juiste kant uitsturen. De NSA heeft enkele aanvallen gedaan om die routers te penetreren.
Ten tweede zijn er de content-aanbieders, zoals Google, Facebook en Yahoo!. Google bezit bijvoorbeeld een datacentrum in Groningen, vlakbij waar een glasvezelkabel aan land komt. Apple wil daar ook een datacentrum bouwen. Tot slot zijn er de cloudaanbieders, die data opslaan - denk aan IBM, Akamai en Amazon.
De overheid wil haar data niet in het buitenland opslaan, maar aangezien Equinix een Amerikaans bedrijf is, kunnen de Amerikaanse diensten er toch bijkomen
Interessant is in ieder geval Equinix, een groot Amerikaans bedrijf dat wereldwijd datacentra bezit. Dit bedrijf host ook data van onze Rijksoverheid. De overheid wil haar data niet in het buitenland opslaan en heeft een cloud bij Equinix in Amsterdam laten inrichten. Maar met een bevel op basis van de PATRIOT Act of de FISA kunnen de Amerikaanse inlichtingendiensten er toch bijkomen.
Of neem Verizon, een enorm Amerikaans telecombedrijf. Verizon heeft een eigen transatlantische kabel en drie datacentra (in Amsterdam, Amsterdam Zuid-Oost en Rotterdam) en een glasvezelnetwerk dat de grote steden in de Randstad verbindt. Verizon is ook een zogenoemde ‘corporate partner’ van zowel de NSA en de Britse GCHQ. Verizon komt vaak terug in de gelekte documenten van Edward Snowden
De NSA dwingt nog meer bedrijven data af te staan. We weten niet welke bedrijven dit zijn en het is dus onbekend of ze ook in Nederland kabels, datacentra of andere infrastructuur bezitten. Ze gaan in ieder geval schuil achter exotische namen als MONKEYROCKET, SHIFTINGSHADOW, ORANGECRUSH, YACHTSHOP, ORANGEBLOSSOM, SILVERZEPHYR, BLUEZEPHYR en COBALTFALCON. Van een aantal van deze is wel bekend dat het Europese bedrijven zijn.
In de Snowden-onthullingen wordt ook een aantal Engelse telecomaanbieders genoemd, zoals Vodafone,Viatel en British Telecom. Die overhandigen data aan de Engelse GCHQ. Deze bedrijven zijn ook in Nederland actief.
Dat de Amerikanen vaak om data vragen, is zeker
Als de Amerikaanse autoriteiten willen, kunnen ze dus bij heel veel data komen. Benadrukt moet hier dat ik geen aanwijzingen heb dat de genoemde bedrijven ook daadwerkelijk via Nederlandse vestigingen en infrastructuur data onderscheppen en overdragen aan Amerikaanse opsporings- en veiligheidsdiensten. Daar is ook bijna niet achter te komen. Want, zo legt specialist Lokke Moerel uit: ‘Medewerkers van een Amerikaanse vestiging die de onderschepping daadwerkelijk uitvoeren, krijgen gagging orders. Ze mogen met niemand over de verzoeken praten, soms niet eens met hun eigen directie.’
Maar ondanks deze geheimzinnigheid is Moerel stellig over wat de Amerikaanse diensten kunnen. ‘Staat het hoofdkantoor van een bedrijf in de Verenigde Staten en bezit het in Nederland netwerken of andere infrastructuur, dan kunnen de Amerikaanse veiligheidsdiensten bij de data komen. Geen twijfel over mogelijk. Dit wordt doorgaans ook niet ontkend.’
En dat de Amerikaanse diensten inzageverzoeken doen, wordt inmiddels door president Obama erkend. Sinds vorige week weten we ongeveer hoe vaak dat gebeurt. Enkele technologiebedrijven, waaronder Google, Facebook en Twitter, hebben bedongen dat ze een indicatie van het aantal verzoeken op basis van de FISA mogen publiceren.
In de eerste helft van 2013 kreeg Facebook bijvoorbeeld tussen de nul en tweeduizend aparte verzoeken om informatie die betrekking hadden op vijf- tot zevenduizend accounts of gebruikers. Die verzoeken hebben betrekking op buitenlanders, en mogelijk ook Nederlanders. De data bevinden zich misschien in de Verenigde Staten, maar kunnen ook op een server in Amsterdam staan.
Bij Yahoo! werd informatie over ongeveer 30.000 buitenlandse accounts opgevraagd. Microsoft moest van zeker 15.000 buitenlanders informatie afstaan en Google ruim 10.000 keer. Op welke landen deze verzoeken betrekking hebben, mag niet bekend gemaakt worden. Het is goed mogelijk dat het ook Nederlandse data betreffen, die via onze kabels naar die bedrijven gevloeid zijn.
Sancties uit de VS óf de wet overtreden in Nederland
Het zou niet de eerste keer zijn dat Amerikaanse diensten gebruikmaken van hun bevoegdheden om in Nederland data op te vragen. In 2005 woedde kort de SWIFT-affaire. Dit bedrijf handelt de berichten voor internationaal betalingsverkeer af. Verkeer dat via de Verenigde Staten loopt, maar ook rechtstreeks tussen andere landen. The New York Times bracht naar buiten dat de Amerikaanse autoriteiten zich met behulp van onder meer de PATRIOT Act toegang hadden verschaft tot de data. Dit was in overtreding met Europese wetgeving.
Ook Nederlandse banken krijgen te maken met het Amerikaanse spierballenvertoon. In 2007 ontdekten NRC Handelsblad-journalist Joep Dohmen en ik dat onder andere de Rabobank klantgegevens aan de Amerikaanse autoriteiten had verstrekt. Bij weigering riskeerde de bank sancties in Amerika, maar door toe te geven overtrad zij de Nederlandse wet. Na onderzoek van het ministerie van Financiën bleken meer banken dit soort verzoeken te krijgen.
En daarmee zijn we aanbeland bij de grote vraag die overblijft: wat doet de Nederlandse staat om de data en netwerken tegen de Amerikaanse surveillancedrang te beschermen? Morgen een uitgebreid vervolgartikel waarin ik daarop een antwoord hoop te geven.
Update 11:58. In een eerste versie van dit artikel meldde ik dat Ziggo wordt overgenomen door UPC. Dat klopt niet. Ziggo wordt formeel overgenomen door Liberty Global.