Zijn tapdiensten een “soort commerciële digitale Stasi”?

Begin dit jaar postten wij een bericht over dat S3Group per 1 januari 2024 tapdiensten gaat aanbieden. Daarop kwam een relevante vraag van een lezer of dit een soort van commerciële digitale Stasi is. Om deze vraag uitgebreider te kunnen beantwoorden ga ik in gesprek met Pim van Stam, CTO en security specialist bij S3group. 

Stel je even voor!

“Ik ben Pim van Stam en ik ben al sinds 2001 betrokken bij het onderwerp aftappen voor internet aanbieders. Het is zo’n onderwerp waar providers niet bepaald enthousiast van worden en misschien zelfs helemaal niet aan mee willen werken. Maar ja, als het dan toch moet, laten we het dan maar zo makkelijk en goedkoop mogelijk maken, toch? Dat is de basis van de tapdienst waar ons team al sinds 2005 voor staat, en sinds 1 januari hebben we ons eigen label: S3LI”.

Wat houden Stasi Praktijken eigenlijk in?

“Stasi praktijken zijn de manieren waarop de voormalige Oost-Duitse geheime dienst, de Stasi, tijdens de Koude Oorlog mensen nauwlettend in de gaten hield. Dit omvatte spionage, infiltratie en inbreuk op persoonlijke levens. Het staat bekend om schendingen van privacy en onderdrukking van politieke tegenstand in een totalitaire staat, om het even kort samen te vatten”.

Wat is het doel van S3Li tapdiensten binnen S3Group op het gebied van veiligheid en informatie verzameling?

“Internet aanbieders zijn vanuit de wet verplicht hun netwerken aftapbaar te maken Dit betekent dat opsporingsinstanties, met een bevoegde vordering, kunnen eisen dat providers meewerken aan het aftappen van telefoon- en internetverkeer. De S3LI tapdienst is er om internetproviders te ondersteunen bij het correct en efficiënt uitvoeren van deze verplichting. Laten we eerlijk zijn, internetproviders vinden het niet bepaald leuk om vorderingen en taps te krijgen. Daarom is het fijn dat er een dienst is die het voor hen gemakkelijk maakt”.

Hoe waarborgt S3Li de privacy en voorkomt het misbruik bij het uitvoeren van tapdiensten?

“S3group en haar zusterorganisatie, SvSnet, hebben al bijna 20 jaar ervaring in het uitvoeren van taps. We hebben diverse maatregelen genomen om de informatie en gegevens te beveiligen. We voldoen aan alle beveiligingseisen die door de wetgever aan internetproviders worden gesteld. Onze infrastructuur wordt intern beheerd en we maken geen gebruik van publieke clouddiensten. Veiligheid zit in het DNA van onze organisatie en heeft altijd onze hoogste prioriteit. We begrijpen het belang van het beschermen van privacy en vertrouwelijkheid van de informatie die we behandelen, en we nemen alle noodzakelijke stappen om ervoor te zorgen dat deze veilig blijft”.

Welke richtlijnen en protocollen zijn er voor het gebruik van tapdiensten, en hoe worden deze gehandhaafd?

“De basis voor vorderingen en taps komt voort uit de Telecommunicatiewet en het wetboek van Strafvordering. Elke vordering wordt streng gecontroleerd volgens de wet, en als deze niet aan de eisen voldoet, wordt deze gewoonweg niet in behandeling genomen. 
Voor het tappen wordt gebruikt gemaakt van het ETSI 232 201 protocol, een Europees protocol. Software die gebruikt wordt door S3LI moet voldoen aan het ETSI protocol, zodat we zeker weten dat we op de juiste manier tappen en alleen de gevraagde gegevens krijgen. 
S3LI maakt gebruik van open source software in dit kader (OpenLI). We hebben de kennis en expertise in huis om ervoor te zorgen dat alles in lijn is met de geldende normen en beveiligingsstandaarden”.

Wordt het publiek geïnformeerd over het monitoren van communicatie door S3Li tapdiensten, en zo ja, hoe?

“Absoluut, er bestaat altijd een balans tussen geheimhouding en transparantie met betrekking tot activiteiten van de overheid. In de wet is vastgelegd dat aanbieders – en daarmee ook S3group – verplicht zijn om de inhoud van vorderingen en taps geheim te houden. We houden ons strikt aan de wet en kunnen daarom niet veel communiceren over het tappen. Het waarborgen van de vertrouwelijkheid van deze informatie is van het grootste belang”.

Hoe verschilt S3Li tapdiensten van de perceptie van ‘Stasi praktijken’ en hoe reageert u hierop?

“Elke overheid wil de zware criminaliteit en bedreiging van de samenleving bestrijden. Tappen is een middel dat ze gebruiken om verdachte mensen op te sporten en bewijs te verzamelen. Dit gebeurt uiteraard ook in Nederland, het is in de wet vastgesteld. Ons doel is om ervoor te zorgen dat opsporingsinstanties zich aan de wet houden en de regels naleven. Voldoet een vordering niet aan de regels die we met elkaar afspreken, dan wordt die niet uitgevoerd. Door onze kennis en ervaring zijn we daar beter toe in staat dan een willekeurige internet aanbieder, die vooral bezig wil zijn met het aanbieden van, juist, internet. 
Juist door het bestaan van S3LI willen we voorkomen dat er Stasi praktijken ontstaan. Kortom: Als we het dan toch moeten, laten we het dan zo goed mogelijk doen en elkaar scherp houden op wat we met elkaar willen bereiken”.

Welke waarborgen zijn er om ervoor te zorgen dat tapdiensten alleen voor legitieme doeleinden worden gebruikt?

“Om misbruik te voorkomen, worden taps zoveel mogelijk geautomatiseerd uitgevoerd. Bovendien worden alle handelingen persoonlijk geregistreerd en maken we gebruik van multifactor authenticatie om identiteitsfraude te voorkomen. 
Een vordering voor een tap kan alleen afkomstig zijn van een bevoegde instantie. We kunnen de legitimiteit van deze instanties niet controleren, daar zijn andere organisaties voor, zoals het RDI (Rijksinspectie Digitale Infrastructuur), de rechtelijke macht en TIB (Toetscommissie Inzet Bevoegdheden). Zij houden toezicht op het correcte gebruik van deze bevoegdheden. We werken samen met deze instanties om ervoor te zorgen dat de taps op een legitieme en rechtmatige manier worden uitgevoerd”.

Zijn er succesvolle gevallen bekend waarin S3Li tapdiensten hebben bijgedragen aan het voorkomen van veiligheidsincidenten?

“Er wordt bij S3LI, vanwege de geheimhouding, vrijwel niets bekend gemaakt over de specifieke redenen voor het inzetten van een tap en de resultaten daarvan. Af en toe deelt het Openbaar Ministerie een succesvolle zaak, maar wij als S3LI kunnen die informatie helaas niet met anderen delen. Veiligheidsincidenten die de samenleving aangaan, worden überhaupt niet met S3LI gedeeld. Informatie daarover kan hoogstens in het nieuws terechtkomen, waar wij dan ook onze informatie uit halen”.

Hoe handhaaft S3Group de balans tussen veiligheid en individuele vrijheden, en hoe worden ethische aspecten van tapdiensten aangepakt?

“Bij S3group hechten we veel waarde aan individuele vrijheden. Jezelf ontwikkelen is essentieel en fouten maken mag, zolang je maar bereid bent daarvan te leren en oplossingen te vinden. Tegelijkertijd zijn we ons ervan bewust dat we ons aan regels moeten houden, zoals geheimhouding. Dit onderwerp wordt voortdurend besproken en we houden elkaar hierin scherp. Voor ons is, bijvoorbeeld, het melden van security-incidenten bijna een sport! We moedigen elkaar aan om alert te zijn en eventuele incidenten direct te melden, zodat we snel kunnen handelen en de juiste maatregelen kunnen treffen. Door deze open communicatie en focus op veiligheid, streven we ernaar om een veilige omgeving te creëren en continu te verbeteren”.

Meer weten?

Neem contact op met:
Pim van Stam
info@s3group.nl
+31 (0)318 230006