Haalbaarheid van een anoniem internetmeldpunt - quickscan

53
Haalbaarheid van een anoniem misdaadmeldpunt via het Internet Een quickscan Auteurs: Jaap-Henk Hoepman Bert-Jaap Koops Wouter Lueks

description

Jaap-Henk Hoepman Bert-Jaap Koops Wouter Lueks

Transcript of Haalbaarheid van een anoniem internetmeldpunt - quickscan

Page 1: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Haalbaarheid van eenanoniem misdaadmeldpuntvia het Internet

Een quickscan

Auteurs:

Jaap-Henk HoepmanBert-Jaap KoopsWouter Lueks

Page 2: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Dit onderzoek is uitgevoerd door het Privacy & Iden-tity Lab (http://www.pilab.nl/), hierbij juridischvertegenwoordigd door de Radboud Universiteit Nij-megen.

c© 2014; Wetenschappelijk Onderzoek - en Docu-mentatiecentrum (WODC). Auteursrechten voorbehou-den. Niets uit dit rapport mag worden verveelvoudigden/of openbaar gemaakt door middel van druk, fo-tokopie, microfilm, digitale verwerking of anderszins,zonder voorafgaande schriftelijke toestemming van hetWODC.

Page 3: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Management Samenvatting

De onafhankelijke Stichting M. exploiteert sinds 2002de meldlijn ‘Meld Misdaad Anoniem’, waar mensen pertelefoon anoniem informatie kunnen geven over mis-drijven.

Dit onderzoeksrapport geeft antwoord op de vraag ofhet technisch, juridisch en organisatorisch ook moge-lijk is om de anonimiteit van melders te garanderen bijmeldingen via Internet. Daarnaast is onderzocht watde mogelijke voor- en nadelen van melden via Internetzijn voor de hoeveelheid en kwaliteit van de meldin-gen. Ook is in normatieve zin gekeken naar de rol diedeze meldingen spelen in de strafvordering en in hetmaatschappelijk verkeer.

De resultaten van dit onderzoek zijn gebaseerd op eenliteratuurstudie, een interview met Stichting M. en eenexpert workshop.

Bij het verkennen van de normatieve aspecten van eenanoniem Internetmeldpunt is de vraag gesteld of de in-richting van een anoniem meldpunt proportioneel is, isgekeken naar het risico van function creep, en is heteffect van een publiek-private samenwerking bij zo’nmeldpunt geanalyseerd.

Voor het bepalen van de technische haalbaarheid zijnde algemene risico’s die kleven aan een Internetmeld-punt geanalyseerd. Vervolgens is een zestal mogelijketechnische inrichtingen van een Internetmeldpunt ge-toetst tegen een aantal criteria die betrekking hebbenop de anonimiteit, kwaliteit en gebruikersvriendelijk-heid.

De juridische analyse heeft zich gericht op de verwer-king van persoonsgegevens door het meldpunt, de po-sitie van anonieme meldingen in het strafrecht, en dejuridische mogelijkheden voor opsporingsdiensten omde identiteit van melders te achterhalen. Ook is geke-ken naar aansprakelijkheidsrisico’s voor het meldpunt,en de hoeveelheid en kwaliteit van meldingen vanuitjuridisch perspectief.

Tenslotte is gekeken naar de organisatorische aspec-ten die van invloed zijn op de anonimiteit en kwali-teit van een Internetmeldpunt. Aandachtspunten wa-ren het (technisch) beheer, de noodzaak van regelma-tige audits, aandacht voor de integriteit van het perso-neel en de werkomgeving, en de invoeringsstrategie.

Onze belangrijkste conclusies wat betreft de haalbaar-heid van een anoniem Internetmeldpunt, en de te ver-wachten voor- en nadelen daarvan, worden hieronderkort samengevat.

Wij concluderen dat een technisch voldoende veilige in-richting van een anoniem Internetmeldpunt geen sine-cure is. Anonimiteit van een melder is lastiger te garan-deren dan voor een telefonisch meldpunt. Interactivi-teit van het meldpunt (d.w.z. de mogelijkheid om directeen dialoog met de melder aan te gaan) is essentieelom de kwaliteit (en anonimiteit) van de melding te ga-randeren. Een smartphone app of een web-gebaseerdechat toepassing voldoen om die reden het beste aande criteria, maar kennen nog wel technische beperkin-gen. Vanwege de hoge complexiteit verwachten wij datde kosten voor het inrichten van zo’n Internetmeldpunthoog zullen zijn. Nader onderzoek naar een specifiekeinrichting van een dergelijke smartphone app of zo’nweb-gebaseerde chat toepassing, en daaraan verbon-den risico’s, is gewenst.

Vanuit juridisch perspectief is het verschil tussen eenInternetmeldpunt en een telefonisch meldpunt mindergroot. Zolang de Instructie Meld Misdaad Anoniemvan het College van Procureurs-Generaal ook van toe-passing wordt verklaard op een Internetmeldpunt, vor-men de Wet bewaarplicht telecommunicatiegegevensen het zetten van Internettaps slechts een beperkt ri-sico. Wel kan een laagdrempelig Internetmeldpunt totongewenste neveneffecten leiden, zoals schadeclaimsen onrechtmatigedaadsacties. Ook de waarde van ano-nieme meldingen in het strafproces kan daardoor ver-minderen.

In organisatorische zin is de grotere technische com-plexiteit van een Internetmeldpunt ook een uitdaging.Het kennisniveau van de medewerkers zal hoger moe-ten liggen, en aan het beheer worden hogere eisen ge-steld. Regelmatige audits zijn essentieel om de anoni-miteit te blijven garanderen. Zoals gezegd verwachtenwij geen daling van de kwaliteit van de meldingen bijeen Internetmeldpunt. Over de te verwachten hoeveel-heid meldingen die via een Internetmeldpunt binnenkunnen komen is echter weinig te zeggen. Eventueleinvoering van een Internetmeldpunt zou daarom gefa-seerd plaats moeten vinden, te beginnen met een pilot.Om de meerwaarde van een Internetmeldpunt ten op-zichte van het reeds bestaand telefonisch meldpunt te

3

Page 4: Haalbaarheid van een anoniem internetmeldpunt - quickscan

kunnen bepalen, lijkt het verstandig eerst een breed ge-dragen nulmeting naar de kwaliteit van het telefonischmeldpunt op te maken.

Wat betreft het anoniem melden van misdrijven blijktdat er een reëel risico bestaat op function creep bij eenmeldpunt, zowel voor wat betreft het type misstandendat wordt gemeld als voor het gebruik buiten de op-sporing van anonieme meldingen die in politiebestan-den terechtkomen. Een brede reflectie op deze ontwik-keling is gewenst, die zou moeten leiden tot het op-stellen van een proportionaliteitstoets voor anoniememeldpunten. In een klimaat waarin politiële databan-ken op tamelijk intransparante wijze ook voor anderedoeleinden dan opsporing worden ingezet, is het be-langrijk om terughoudend te zijn met het voeden vanpolitiële databanken met ongecontroleerde informatie.Dit pleit voor terughoudendheid bij het faciliteren vananonieme meldingen.

4

Page 5: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Management Summary

Since 2002 the independent foundation Stichting M.operates the hotline "Meld Misdaad Anoniem ’ (ReportCrime Anonymously), where people can report crimi-nal offences anonymously by phone.

This report answers the question whether it is technic-ally, legally and organisationally possible to guaranteethe anonymity of informants when the Internet is usedto file reports instead. In addition, we investigated thepossible advantages and disadvantages of reporting viathe Internet for the quantity and quality of the reports.Also, we have looked at the role such reporting playsin criminal proceedings, and in society at large, from anormative perspective.

The results of this study are based on a literature re-view, an interview with Stichting M. and an expertworkshop.

When exploring the normative aspects of an anony-mous Internet hotline we studied whether the estab-lishment of an anonymous hotline is proportional, welooked at the risk of function creep, and analysed theeffect of a public private partnership in such a hotline.

To determine the technical feasibility , we analysed thegeneral risks associated with an Internet hotline. Sub-sequently, six possible technical designs of an Internethotline were tested against a number of criteria relatingto anonymity, quality and user-friendliness.

The legal analysis focused on the processing of personaldata by the hotline, the role of anonymous reports incriminal law, and the legal possibilities for investigatorsto retrieve the identity of the anonymous informants.We also looked at liability issues for the hotline, andthe quantity and quality of anonymous reports from alegal perspective.

Finally, we looked at the organizational aspects thataffect the anonymity and quality of an Internet hot-line. Attention was paid to (technical) management,the need for regular audits, the integrity of person-nel, the work environment, and the implementationstrategy.

Our main conclusions regarding the feasibility of ananonymous Internet hotline and the expected advant-ages and disadvantages are summarized briefly below.

We conclude that technically speaking a sufficiently se-cure design of an anonymous Internet hotline is not

easy. Anonymity of an informant is harder to ensurecompared to a telephone hotline. Interactivity of thehotline (i.e. the opportunity to directly engage in dia-logue with the informant) is essential to ensure qua-lity (and anonymity) of the report. For that reason, asmartphone app or a web-based chat application meetthe requirements best, although these do still havetechnical limitations. Due to the high complexity weexpect that the cost of setting up such an Internet hot-line will be high. Further study of a more detaileddesign of such smartphone app or web-based chat ap-plication, and the associated risks, is necessary.

From a legal perspective the difference between an In-ternet and a telephone hotline is less significant. Aslong as the instruction "Meld Misdaad Anoniem" of theBoard of Attorneys-General is also made applicable toan Internet hotline, data retention regulation and In-ternet taps pose a limited risk. An easily accessible In-ternet hotline can lead to undesirable side effects how-ever, such as claims for incurred damages and tort ac-tions. The value of anonymous reports in criminal casesmay decrease as a result.

In organizational terms, the increased technical com-plexity of an Internet hotline also poses a challenge.Staff must be properly trained, and more stringent de-mands will be imposed on technical support. Regularaudits are essential for a continuous protection of an-onymity. As said before we do not expect any decline inthe quality of the reports when using an Internet hot-line. However, it is hard to estimate the expected num-ber of reports that will be received through an Internethotline. The introduction of an Internet hotline wouldtherefore have to proceed in stages, starting with a pi-lot. To determine the value of an Internet hotline com-pared to the existing telephone hotline, it appears to bewise to perform a well founded baseline study on thequality of the telephone hotline first.

As for the reporting of crime using anonymous hotlines,there appears to be a real risk of function creep, bothwith regard to the type of criminal activity that is repor-ted as for the storage of information from anonymousreports beyond criminal investigations in police files. Abroad reflection on this development is desired, whichshould lead to the establishment of a proportionalitytest for anonymous hotlines. In a climate where policedatabases are used in a rather non-transparent man-

5

Page 6: Haalbaarheid van een anoniem internetmeldpunt - quickscan

ner for purposes other than criminal investigations, it isimportant to show restraint when feeding police data-bases with uncontrolled information. This calls for re-straint in facilitating anonymous reporting.

6

Page 7: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Inhoudsopgave

1 Inleiding 9

1.1 Onderzoeksopzet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.1.1 Onderzoeksvragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.1.2 Aanpak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.2 Leeswijzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2 Uitgangspunten 11

2.1 Huidige situatie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.2 Internet als nieuw kanaal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3 Normatieve aspecten: een reflectie op anoniem Internetmelden 13

3.1 Proportionaliteit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.2 Een klikcultuur? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3.3 Function creep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

3.4 Publiek-private samenwerking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

4 Technische aspecten 19

4.1 Communicatie en anonimiteit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

4.2 Infrastructuur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4.2.1 Inrichting melder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4.2.2 VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4.2.3 Inrichting meldpunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

4.3 Communicatievorm van de melding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

4.4 Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

4.5 Aanvallers en andere partijen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

4.6 Algemene risico’s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

4.6.1 Algemeen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

4.6.2 Risico’s aan de kant van de melder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4.6.3 Risico’s Internetverbinding en ISPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4.6.4 Risico’s op het Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

4.6.5 Risico’s bij ISP meldpunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

4.6.6 Risico’s van het meldpunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

7

Page 8: Haalbaarheid van een anoniem internetmeldpunt - quickscan

4.7 Bestaande anonieme meldsystemen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

4.7.1 Crime Stoppers International . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

4.7.2 Klokkenluiderssites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

4.8 Mogelijke technische inrichtingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4.8.1 Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4.8.2 E-mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

4.8.3 Chat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

4.8.4 App . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

4.9 Toetsing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4.9.1 Communicatievorm versus criterium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4.9.2 Oplossingsrichting versus communicatievorm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

4.9.3 Oplossingsrichting versus criterium . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

5 Juridische aspecten 33

5.1 Verwerking van persoonsgegevens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

5.2 Context van anonimiteit in het strafrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

5.3 Juridische mogelijkheden om identiteit van melders te achterhalen . . . . . . . . . . . . . . . . . . . . . . 34

5.3.1 Politie en justitie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

5.3.2 Overige overheidsinstanties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

5.3.3 Private partijen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

5.4 Aansprakelijkheidsrisico’s voor het meldpunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

5.5 Hoeveelheid, kwaliteit en rol van meldingen vanuit juridisch perspectief . . . . . . . . . . . . . . . . . . . 39

6 Organisatorische aspecten 41

6.1 Institutionele inbedding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

6.2 Beheer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

6.3 Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

6.4 Personeel en werkomgeving . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

6.5 Kosten/baten analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

6.6 Invoeringsstrategie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

7 Conclusies 43

7.1 Haalbaarheid garanderen anonimiteit Internetmeldpunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

7.2 Voor- en nadelen van een Internetmeldpunt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

7.3 Overwegingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

A Verklarende Woordenlijst 49

B Begeleidingscommissie 51

C Deelnemers expert workshop 53

8

Page 9: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Hoofdstuk 1

Inleiding

De onafhankelijke Stichting1 M. exploiteert (ondermeer) de meldlijn ‘Meld Misdaad Anoniem’, waar men-sen anoniem informatie kunnen geven over misdrijven.Hierbij is de anonimiteit van de melder bij StichtingM. van hoofdbelang. Naar aanleiding van een ano-nieme telefonische melding maakt de stichting een ‘call’(schriftelijke melding/verslag) aan en stuurt deze doornaar publieke en private partners, zoals de politie enandere opsporingsdiensten. De partners zijn verant-woordelijk voor wat er met de melding gebeurt.

In september is stichting M. gestart met een pilotdie het mogelijk maakt dat burgers, bij een telefoni-sche melding, anoniem ook aanvullend beeldmateriaalkunnen sturen naar de stichting. Meer in het alge-meen wordt verondersteld dat, indien de anonimiteitkan worden gegarandeerd, meldingen via Internet eengoede aanvulling kunnen zijn op de mogelijkheid tottelefonisch melden. Vooral omdat de verwachting isdat de drempel voor melden lager ligt dan die voor te-lefonisch melden.

De minister heeft aan de Tweede Kamer2 een onder-zoek toegezegd naar de mogelijkheid van melden viaInternet, waarbij de kwaliteit van de meldingen zogoed mogelijk geborgd is en de anonimiteit van de mel-der gegarandeerd blijft. Hierbij moet beoordeeld wor-den of (ook) bij meldingen via Internet de anonimi-teit van de melder vanuit technisch, juridisch en orga-nisatorisch perspectief gegarandeerd kan blijven. Ookmoet het onderzoek een overzicht geven van mogelijkeof verwachte voor- en nadelen van melden via Internetvoor de hoeveelheid en de kwaliteit van de meldingen.

1.1 Onderzoeksopzet

Het voorliggende rapport vult deze toezegging van deminister in.

1Stichting M. heet sinds 1 januari 2014 NL Confidential. Omdatin een groot aantal stukken waar dit rapport naar refereert nog ge-sproken wordt over stichting M., en het verwarrend is om met tweeverschillende namen naar dezelfde entiteit te verwijzen, kiezen wijervoor om ook in dit rapport de oude naam te gebruiken.

2Kamerstukken II, 29 628, nr. 400, p. 2.

Dit leidt tot de volgende doelstelling van het voorge-stelde onderzoek: het in kaart brengen van argumen-ten die relevant zijn voor de beoordeling of het wense-lijk en haalbaar is om anonieme meldingen via Internette doen plaatsvinden.

De vraagstelling die centraal staat is: In hoeverre is hettechnisch, juridisch en organisatorisch mogelijk om deanonimiteit van melders te garanderen bij meldingenvia Internet? Wat zijn, op technisch, juridisch en or-ganisatorisch vlak, de mogelijke voor- en nadelen vanmelden via Internet voor de hoeveelheid en kwaliteitvan de meldingen en voor de rol die deze meldingenspelen in de strafvordering en in het maatschappelijkverkeer?

1.1.1 Onderzoeksvragen

Het onderzoek is geordend aan de hand van de vol-gende deelvragen die tezamen een antwoord geven opde algemene vraagstelling.

1. In hoeverre is het haalbaar om de anonimiteit vanmelders te garanderen bij meldingen via Internet?

• In hoeverre is dit technisch mogelijk?– Welke partijen zijn in staat (en hebben

de motieven) om de anonimiteit van eenmelding te doorbreken?

– Welke mogelijke technische inrichtingenzijn er voor een anoniem meldpunt?

– In welke mate beschermen deze de ano-nimiteit tegen de hierboven genoemdepartijen? Wat zijn de eventuele nadelen(qua kosten of functionaliteit)?

• In hoeverre is dit juridisch mogelijk?– Hoe verhoudt een anoniem meldpunt

zich tot dataretentiewetgeving en tot be-voegdheden van opsporingsdiensten eninlichtingen- en veiligheidsdiensten om(verkeers)gegevens te vorderen?

– Zijn er aansprakelijkheidsrisico’s voorhet meldpunt in gevallen waarin anoni-miteit van melders wordt doorbroken?

9

Page 10: Haalbaarheid van een anoniem internetmeldpunt - quickscan

– Welke juridische maatregelen kunnenhelpen om de anonimiteit van melderste garanderen?

• In hoeverre is dit organisatorisch mogelijk?– Welke organisatorische maatregelen

kunnen helpen de anonimiteit vanmelders te garanderen?

• Wat betekent de combinatie van technische,juridische en organisatorische mogelijkhedenen obstakels voor de anonimiteit van meldin-gen via Internet?

2. Welke zijn, op technisch, juridisch en organisato-risch vlak, de mogelijke of verwachte voor- en na-delen van anoniem melden via Internet:

• voor de hoeveelheid van de meldingen?• voor de kwaliteit van de meldingen?• voor de rol van anonieme meldingen in de

opsporing?• voor de rol van anonieme meldingen in het

maatschappelijk verkeer?

Merk op dat anonimiteit geen zwart/wit-begrip is enhet niet zinvol is om te kijken naar het “garanderen”van anonimiteit. Absolute anonimiteit zal (vrijwel) on-mogelijk zijn, en is als zodanig ook niet nodig voor eenwerkbaar systeem van anoniem melden. Relevanter ishet te kijken naar de mate waarin anonimiteit bewerk-stelligd zou kunnen worden.

Het Internet kent een eigen dynamiek in het maat-schappelijk verkeer ten opzichte van de traditionele te-lefonie, die verder gaat dan een invloed op kwantiteiten kwaliteit van het communicatieverkeer. Het Internetfaciliteert, en beïnvloedt daarmee, de manier waaropcommunicatie en sociale contacten plaatsvinden. Het isdaarom van wezenlijk belang voor een onderzoek naarde mogelijkheden van anoniem melden via Internet omook de mogelijke gevolgen in kaart te brengen voor derol van anoniem melden in het strafrecht en de maat-schappij in bredere zin. In een apart hoofdstuk wordtin dit rapport op dit normatieve aspect ingegaan.

1.1.2 Aanpak

Vanwege de beperkte beschikbare doorlooptijd heefthet onderzoek zich beperkt tot een ‘quick scan’, waarbijde ervaring van stichting M. betrokken is middels eeninterview (dat plaatsvond op dinsdag 7 Januari 2014)en de expertise van andere organisaties die ervaringhebben met (anonieme) publieke meldingen betrokkenis middels een expert meeting die op vrijdag 31 januari2014 heeft plaatsgevonden (zie bijlage C). Daarnaastheeft een literatuurstudie plaatsgevonden en zijn ver-schillende bestaande systemen met vergelijkbare func-tionaliteit (met name voor klokkenluiders) onderzocht.

Het concept rapport is aan stichting M. ter controle opfeitelijke onjuistheden voorgelegd.

1.2 Leeswijzer

We beginnen het rapport met een beschrijving van debelangrijkste uitgangspunten van ons onderzoek. Denormatieve aspecten van de wenselijkheid van een ano-niem Internetmisdaadmeldpunt worden onderzocht inhoofdstuk 3. In hoofdstuk 4 beschrijven we de moge-lijke technische inrichtingen van een anoniem Internet-meldpunt, en gaan we in op de risico’s daarvan. Hoofd-stuk 5 belicht de voor- en nadelen van anoniem mel-den via het Internet vanuit het juridisch perspectief.Tenslotte behandeld hoofdstuk 6 de organisatorischeaspecten die relevant zijn voor het beantwoorden vande onderzoeksvraag. We eindigen dit rapport met eenaantal conclusies en aanbevelingen waarin de onder-zoeksvragen beantwoord worden.

10

Page 11: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Hoofdstuk 2

Uitgangspunten

Zoals in de inleiding reeds beschreven, bestaat er aleen meldpunt waar burgers telefonisch melding kun-nen doen van een misdrijf. In dit hoofdstuk zal kort dewerking van en ervaringen met dit telefonisch meld-punt beschreven worden, en iets verder ingegaan wor-den op de aanleiding om over een Internetmeldpunt nate denken. Dit om ons onderzoek naar de mogelijkheiden wenselijkheid van een vergelijkbaar meldpunt viaInternet in het juiste perspectief te plaatsen.

2.1 Huidige situatie

Sinds december 2003 exploiteert Stuichting M. hetmeldpunt “Meld Misdaad Anoniem” [3]. Via het meld-punt kunnen burgers telefonisch, via een 0800 num-mer, anoniem informatie doorgeven over ernstige straf-bare feiten. Getrainde telefonisten, in dienst van destichting, beantwoorden binnenkomende gesprekkenen maken een verslag van iedere bruikbare melding.

Stichting M. is een private partij, die naast publiekepartijen (zoals de KLPD, de FIOD, de AIVD) ook pri-vate partijen (zoals het Verbond van Verzekeraars ende energienetbeheerders) als afnemers1 kent. De stich-ting zet een verslag van binnenkomende meldingendoor aan deze afnemers. Welke meldingen doorgege-ven worden aan welke afnemers hangt af van de aardvan de melding en de afspraken die met de individueleafnemers daarover zijn gemaakt. Zo worden bijvoor-beeld meldingen over illegale hennepkwekerijen ookdoorgegeven aan de energienetbeheerders. Of een mel-ding ernstig genoeg is om anoniem te doen dan wel afte handelen wordt dus bepaald door Stichting M., haarafnemers en natuurlijk de beller zelf (door te beslissenom contact op te nemen met het meldpunt).

Meldingen worden via ’Meldnet’ verstrekt aan die af-nemers waarvoor de informatie is bestemd. Meldnetis een speciaal voor Stichting M. voor dit doel ontwor-pen systeem. In de rest van dit onderzoek gaan we ervan uit dat ook voor melden via Internet de uiteinde-lijke meldingen via Meldnet aan de afnemers worden

1Door stichting M. partners genoemd.

doorgegeven. In die zin verandert melden via Internetdus niets aan de ’backoffice’ van Stichting M., en dusook niets aan het koppelvlak waarmee de afnemers demeldingen ontvangen.

Stichting M. heeft zowel de computersystemen als detelefonie geoutsourced aan Pink Elephant [25]. Beideworden door Stichting M. van Pink Elephant afgeno-men als een clouddienst. Hierbij is ook de mogelijk-heid ingebouwd voor medewerkers om vanuit huis tewerken.

De unique selling point van het meldpunt is haar ga-rantie van anonimiteit. Daar wordt dus zwaar doorStichting M. op ingezet. Bij telefonisch binnenkomendemeldingen wordt de anonimiteit van zowel de melderals de melding als volgt gewaarborgd.

• Meldingen worden aangenomen door getraindetelefonisten, die er voor zorgen dat het verslag vande melding anoniem is, en daarnaast concreet ge-noeg voor de afnemers om actie op te onderne-men.• Een tweede lezer (ook in dienst van Stichting M.)

controleert of het verslag voldoende anoniem is.• Verslagen worden niet bewaard. Na goedkeuring

van de tweede lezer wordt de melding via Meldnet(zie boven) doorgegeven aan de relevante afne-mers. Er wordt geen registratie bijgehouden waar-uit af te leiden is welke telefonist welke meldingheeft aangenomen.• Er is een Instructie Meld Misdaad Anoniem van het

College van Procureurs-Generaal (CPG) waarin isvastgelegd dat verkeersgegevens (zoals de wordenverzameld in het kader van de wet op de bewaar-plicht) betreffende het meldpunt alleen wordenopgevraagd in situaties van onmiddellijk dreigendlevensgevaar, waarbij de gegevens alleen mogenworden gevorderd als de inlichtingen nodig zijnom het desbetreffende leven te redden [9].• Het 0800 nummer van de dienst “Meld Misdaad

Anoniem” wordt niet vermeld op de specificatievan de telefoonrekening van de melder.

11

Page 12: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Uit het interview met stichting M. komen ook de vol-gende significante punten naar voren.

• Ondanks de specifieke Instructie van het CPG tenaanzien van het meldpunt, probeert de politie in-cidenteel om via de stichting alsnog de identiteitvan de melder te achterhalen.• De indruk van Stichting M. is dat het telefonische

kanaal door een diverse groep mensen wordt ge-bruikt, met als kanttekening dat jongeren duidelijkondervertegenwoordigd zijn.• De kwaliteit van de melding staat of valt met de

mogelijkheid een dialoog te voeren met de mel-der. In één enkel telefoongesprek zijn de telefo-nisten in staat om een vertrouwensband met demelder op te bouwen, die hen in staat stelt deserieusheid van de melding in te schatten, en ervoor te zorgen dat de melding voldoende aankno-pingspunten voor vervolgstappen bevat. Subtielesignalen tijdens het gesprek zelf, zoals omgevings-geluiden, of hoe de melder overkomt tijdens hetgesprek, kunnen hierbij ook behulpzaam zijn.• Naast de kwaliteit is ook de anonimiteit van de

melding gebaat bij een dialoog met de melder.Zo kan bijvoorbeeld bepaald worden of de melderwellicht de enige is die van het gemelde feit op dehoogte kan zijn. In dat geval is de melder in feiteniet anoniem.• Documenten als ondersteuning van een melding

zijn zelden gewenst, omdat deze vaak identifice-rende kenmerken en/of niet de juiste informatiebevatten. Soms ontvangt de stichting meldingenper post. Deze worden direct vernietigd.

Niet onbelangrijk, ook in de context van het voorlig-gende onderzoek, is de bruikbaarheid van de meldin-gen zoals die op dit moment via het telefonisch meld-punt binnenkomen. Hierover verschillen de meningen.De Stichting M. schat de bruikbaarheid van de doorhaar doorgegeven meldingen aanzienlijk hoger in danhierover door onderzoek binnen de politiekorpsen [19]wordt gerapporteerd. Volgens Stichting M. gaf zij in2012 13.660 meldingen door aan de politie, waarvan92% bruikbaar was. 68% van deze bruikbare meldin-gen werden in onderzoek genomen, waarvan 32% re-sultaat opleverde. Van Kuik e.a. [19] geven echter devolgende cijfers. Op de bij de politie binnengekomenmeldingen is in 35% van de gevallen actieve actie on-dernomen. Hiervan heeft 32% (dus 11% van alle aande politie doorgegeven meldingen) in meer of minderemate bijgedragen aan de opsporing in de zaak.

Bovenstaande is slechts een zeer korte samenvattingvan de meest relevante gegevens over de opzet enwerkwijze van Stichting M., zoals zij het meldpunt“Meld Misdaad Anoniem” exploiteert. Voor verdere in-formatie verwijzen we graag naar het onderzoek vanBoes [3] uit 2010, en van Kuik e.a. [19] uit 2012.

2.2 Internet als nieuw kanaal

Het denken over Internet als een nieuw kanaal voor hetanoniem melden van misdrijven is voornamelijk inge-geven door een zekere mate van opportunisme. Het in-zetten van Internet als nieuw kanaal biedt kansen optwee vlakken. Ten eerste verwacht Stichting M. datInternet een lagere drempel biedt om een melding tedoen (een telefoongesprek is intiemer dan een afstan-delijker contact via Internet). Ook de politiek lijkt diegedachte toegedaan.2 Ten tweede constateert de stich-ting dat jongeren duidelijk minder melding maken vanmisdrijven via het op dit moment telefonisch aange-boden meldpunt. De verwachting is dat via Interneteen ander publiek (en dan met name jongeren) aange-boord kan worden. Wel dient opgemerkt te worden datons geen onderzoeken bekend zijn die deze verwachtevoordelen van een Internetmeldpunt met concrete cij-fers onderbouwen.

Daarnaast is stichting M. zich er van bewust dat hetgebruik van Internet als nieuw kanaal ook tot nieuwerisico’s of een andere inschatting van dergelijke risico’sleidt. Dit is niet beperkt tot de technische risico’s diehet gebruik van Internet kan hebben ten aanzien vande anonimiteit van de melder.

Zo kan een lagere drempel (één van de doelstellin-gen van een eventueel in te richten Internet-gebaseerdmeldpunt) leiden tot een grote toestroom van meldin-gen. Deze stroom moet niet alleen door het meldpuntzelf maar ook door de afnemers verwerkt kunnen wor-den. Als bij de afnemers een bottleneck ontstaat, rijstde vraag waar de beslissing wordt genomen om eenmelding op te nemen, door te zetten of op te pakken.Moet de inrichter van het meldpunt, op dit moment eenprivate partij, een keuze maken over de ernst van eenbinnenkomende melding om zo de afnemers te ontlas-ten. Of is dit een verantwoordelijkheid van de afnemerszelf?

Daarnaast kan een lagere drempel leiden tot een lagerekwaliteit van de meldingen. Afhankelijk van de inrich-ting van het meldpunt via Internet kan dit opgevangenworden door het meldpunt zelf. In andere gevallen zaldit leiden tot lagere kwaliteit van de meldingen zoalsdie uiteindelijk bij de afnemers terecht komen

Juist ook deze vragen en afwegingen worden in ditvoorliggende onderzoek nader geanalyseerd.

2Kamerstukken II, 29 628, nr. 368, p. 6.

12

Page 13: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Hoofdstuk 3

Normatieve aspecten: een reflectie opanoniem Internetmelden

Zoals in het vorige hoofdstuk al is aangegeven, is hetdenken over het Internet als nieuw kanaal voor ano-nieme misdaad meldingen vooral ontstaan uit de ver-wachting dat een Internetmeldpunt mogelijk een la-gere drempel opwerpt voor anonieme meldingen, endat daarmee ook een andere, vooral jongere, doel-groep anonieme meldingen zal gaan doen. Bij de be-oordeling van de wenselijkheid en de verschillendemogelijkheden om een anoniem Internetmisdaadmeld-punt op te richten moeten naast technische, juridi-sche en organisatorische factoren ook normatieve as-pecten in bredere zin worden onderzocht. Een nor-matieve reflectie was niet in de oorspronkelijke vraag-stelling van de onderzoeksaanvraag besloten; de Mi-nister heeft de Kamer een onderzoek toegezegd ‘naarhoe [anoniem melden via internet] kan worden gere-geld waarbij de kwaliteit van de meldingen zo goedmogelijk geborgd is en de anonimiteit van de meldergegarandeerd blijft’1, zonder de vraag of dit in alge-mene zin wenselijk zou zijn. Hoewel de Kamer beseftdat een Internetmeldpunt ‘meer inhoudt dan even eenwebsiteje bouwen’2, lijkt men vooral te denken aan detechnisch-organisatorische borging van anonimiteit enniet aan de normatieve kant van een anoniem Internet-meldpunt. Daarmee wordt volgens ons miskend dat hetInternet een eigen dynamiek kent in het maatschappe-lijk verkeer ten opzichte van de traditionele telefonie,die verder gaat dan een invloed op kwantiteit, kwali-teit en identificeerbaarheid van het communicatiever-keer. Het Internet faciliteert, en beïnvloedt daarmee,de manier waarop communicatie en sociale contactenplaatsvinden. Het is in dat licht van wezenlijk belangvoor een onderzoek naar de mogelijkheden van ano-niem melden via Internet om te wijzen op de mogelijkegevolgen van de rol van anoniem melden voor maat-schappelijke processen in bredere zin.

De onderzoekers hebben er daarom voor gekozen om,naast een overzicht van technische, juridische en orga-

1Kamerstukken II 2012/13, 29 628, nr. 400, p. 2, cursivering toe-gevoegd.

2Kamerstukken II 2012/13, 29 628, nr. 368, p. 6.

nisatorische aspecten, eerst te wijzen op enkele norma-tieve aspecten die in elk geval om nadere reflectie vra-gen, alvorens tot de oprichting van een anoniem Inter-netmisdaadmeldpunt zou kunnen worden overgegaan.In dit hoofdstuk bespreken wij vier normatieve aspec-ten: de rechtsstatelijke eis van proportionaliteit, het be-staan van een ‘klikcultuur’, het reële risico van functioncreep en de rol van private partijen in de strafrechts-pleging. Deze aandachtspunten zouden een startpuntmoeten zijn van een bredere reflectie op de effectivi-teit, rechtvaardiging en proportionaliteit van anoniememisdaadmeldpunten. Daarnaast bevelen wij aan dat inhet kader van de rechtvaardiging van mogelijke inbreu-ken op de grondrechten van degenen over wie wordtgemeld, naast de technische bescherming van de mel-der ook effectief aandacht wordt besteed aan techni-sche en organisatorische bescherming van degenen diedaarmee verdacht worden gemaakt.

3.1 Proportionaliteit

Vanuit rechtsstatelijk perspectief is het wezenlijk dateen adequate proportionaliteitstoets wordt uitgevoerd,die aan de orde is wanneer de overheid maatrege-len neemt die een inbreuk vormen op grondrechten.In dit geval gaat het om de grondrechten op privacy,op gegevensbescherming, non-discriminatie en de on-schuldpresumptie in brede zin. Terwijl degene die ge-bruik maakt van een anoniem meldpunt daarmee bij-zondere bescherming verkrijgt, zijn de rechten van de-gene over wie verdenkingen of andere negatieve infor-matie wordt gemeld in het geding. Voor zover het gaatom een natuurlijk persoon worden persoonsgegevensverwerkt en afhankelijk van de inhoud van de meldingis een inmenging van de privacy aan de orde (er wordtbijvoorbeeld informatie gegeven over het privéleven,de thuissituatie, levenswandel die langs vertrouwelijkeweg is verkregen), negatieve beeldvorming over perso-nen met een andere etnische achtergrond of seksuelevoorkeur kan leiden tot het zwartmaken van bepaalde

13

Page 14: Haalbaarheid van een anoniem internetmeldpunt - quickscan

categorieën individuen die daardoor een grotere kanslopen aan nader onderzoek te worden onderworpen,en de desbetreffende persoon kan zich niet verwerentegen de aantijgingen totdat het de politie behaagt omhem daarvan op de hoogte te brengen. Hoewel de on-schuldpresumptie juridisch-technisch gezien pas ingaatop het moment dat sprake is van strafrechtelijke vervol-ging in enge zin, moeten erkend worden dat anoniemeverdachtmakingen ook kunnen leiden tot de inzet vanstrafvorderlijke maatregelen in de vroegsporing, die opgespannen voet staan met de rechtsstatelijke achter-grond van de onschuldpresumptie. In samenhang methet feit dat mensen zich niet kunnen verdedigen tot-dat zij formeel als verdachte worden aangemerkt, moetworden vastgesteld dat hier sprake is van mogelijkeinbreuken op grondrechten die rechtvaardiging behoe-ven. Die rechtvaardiging zal allereerst moeten bestaanuit de proportionaliteitstoets: weegt het voordeel datwordt behaald met het legitieme doel van misdaadbe-strijding op tegen de mogelijke inbreuken? (Zie hier-over de recente opinie van de Artikel 29-Werkgroepover de toepassing van de noodzakelijkheids- en pro-portionaliteitstoets in de strafvordering [24].) Daarbijrijst de vraag naar de effectiviteit van anoniem mel-den. Is er empirisch onderzoek beschikbaar en wordtempirisch onderzoek voorzien, dat toestaat om uit-spraken te doen over effectiviteit van het meldpunt,met inachtneming van bijvoorbeeld de volgende onder-scheidingen: welk type klachten (burenruzies of bouw-fraude), welk type klagers (allochtoon, autochtoon,achtergrond, opleiding, rancuneus, gefrustreerd), inwat voor domeinen (commune criminaliteit, belasting-of sociale-zekerheidsfraude, misbruik van voorkennis)?Daarbij gaat het dan ook steeds om de vraag in hoe-verre de melding niet op andere wijze had kunnenplaatsvinden, waarbij geen of in mindere mate sprakeis van de aantasting van grondrechten. Dit alles is nietalleen van belang bij de vraag naar de proportionali-teit maar ook—mocht duidelijk zijn dat in bepaalde ge-vallen wel degelijk sprake is van een gerechtvaardigdeinbreuk—bij de vraag naar de waarborgen die wordengetroffen om de inbreuken te beperken en in rechteaanvechtbaar te maken. Het is goed mogelijk dat inbepaalde gevallen anoniem melden heel zinvol is, van-wege de machtsverhoudingen die in het spel zijn, ter-wijl het in andere gevallen juist ongewenste machts-verhoudingen verder versterkt. Een gedetailleerde enonderbouwde beoordeling van de proportionaliteit isbinnen het kader van deze quickscan niet mogelijk enzou daarom in nader onderzoek moeten worden uitge-voerd.

3.2 Een klikcultuur?

De oprichting en het functioneren van de Meld MisdaadAnoniem-telefoonlijn is door velen geplaatst in een bre-der kader van een mogelijke ‘klikcultuur’. Vrij alge-meen wordt onderkend dat de rol van anonieme mel-dingen in de maatschappij het afgelopen decenniumof de afgelopen decennia is toegenomen. Zo begonNRC Handelsblad op 28 februari 2002 een stuk geti-teld ‘Nederland klikland’ met de opmerking ‘Nederlandkent tientallen kliklijnen’, en zo kopte cultuurfilosoofHans Schnitzler in 2012: ‘We leven in een “klikspaanboterspaan”-land’ [26]. Buruma [7, p. 171] wijst ophet kennelijk toenemende belang dat in het strafrechtwordt gehecht aan afgeschermde informanten, ano-nieme meldingen, anonieme aangifte en discrete mel-dingen van geheimhouders bij meldpunten.

Hoewel men het er wel over eens lijkt dat het anoniemmelden van misdaad past in een bredere maatschap-pelijke tendens van anonieme meldingen, verschilt dewaardering van deze tendens. Aan de ene kant zijn ermensen die de tendens als negatief ervaren en wijzenop de risico’s voor de manier waarop we in de maat-schappij met elkaar omgaan. Zo stelt criminologe Lis-senberg in haar afscheidsrede dat anoniem informatieverstrekken het onderlinge wantrouwen bestendigt ofvergroot. In die zin heeft volgens haar ‘de introduc-tie van meldlijn M. niet bijgedragen tot goed burger-schap’ [21, p. 9].

Een vergelijkbaar geluid liet Kees Schuyt als voorzittervan het Landelijk Orgaan Wetenschappelijke Integriteitonlangs horen in een pleidooi tegen anoniem meldenvan wetenschapsfraude. ‘Je geeft op die manier ruimteaan roddel en achterklap en creëert een sfeer van ach-terdocht en wantrouwen aan de universiteit. Integri-teitsklachten kunnen op deze manier misbruikt wordenom concurrenten uit te schakelen’ [17]. Ook cultuurfi-losoof Schnitzler plaatst anoniem melden van misstan-den in het brede perspectief van het wantrouwen ineen maatschappij die in tijden van identiteitscrisis ‘deander’ zwart maakt [26].

Buruma wijst op de gevaren van deze tendens voor destrafrechtspleging. Reflecterend op de zaak Lucia de B.stelt hij dat de omgang met (valse of verkeerde) aan-giften in de strafvordering aan verandering onderhevigis, mede vanwege het feit ‘dat in de afgelopen 10 jaareen krachtige impuls is gegeven aan het belasteren vanmedeburgers. Ik denk in de eerste plaats aan het ver-gemakkelijken van anonieme tips en aangiften’ [6, p.694].

Naast de gevolgen van anoniem melden voor burger-schap, wijst Lissenberg ook op de mogelijke gevolgenvoor de integriteit van bestuurlijk en bedrijfsmatig han-delen. ‘Geheime tips wakkeren het onderlinge wan-trouwen aan, terwijl integriteit gebaat is bij vertrou-

14

Page 15: Haalbaarheid van een anoniem internetmeldpunt - quickscan

wen. Een grotere openheid en ontvankelijkheid voorkritiek en een andere mentaliteit in de omgang met re-geloverschrijdingen vergroten de integriteit van werk-gevers en werknemers in een organisatie. ’ [21, p. 17]Ook Buruma signaleert risico’s voor de integriteit vande politie. Agenten kunnen een anonieme tip gebrui-ken om een ‘bekende’ na te trekken en zonder een juri-disch adequate aanleiding over te gaan tot opsporings-handelingen in de hoop dat er iets boven water komt.Dit is ‘problematisch omdat op deze manier vrij baanwordt gegeven aan agenten die met iemand een appel-tje te schillen hebben.’ [7, p. 207] In dat licht moet ookworden gewezen op het kleine maar niet verwaarloos-bare risico dat de politie het meldpunt kan misbruikenom onrechtmatig verkregen informatie wit te wassen ofom informanten af te schermen (zie verderop, par. 5.5).

Aan de andere kant zijn er mensen die de positievekanten van de tendens van anoniem melden benadruk-ken. Zo bekritiseert Brinkhoff de uitspraken van Lis-senberg omdat het niet duidelijk is waarop zij de ver-wachting baseert dat het onderling wantrouwen groeit:‘Even goed zou kunnen worden betoogd dat de invoe-ring van de M-lijn het gevoel van veiligheid en ver-trouwen van burgers (onder meer in politie en justitie)juist vergroot’ [5]. Ook Boes [3, p. 25 e.v.] plaatstkanttekeningen bij de feitelijkheid van de door tegen-standers gehanteerde argumenten. Zij trekt een tegen-overgestelde conclusie over de bredere effecten van deanonieme meldlijn op de maatschappij: ‘ Stichting M.bevordert de informele controle en versterkt daarmeede sociale structuren in de samenleving. Dit gebeurtniet alleen door de exploitatie van de anonieme meld-lijn, ook de wijkgerichte acties van Stichting M. hebbendaar een belangrijke rol in’ [3, p. 4]. Zij concludeertdat M. juist een uiting is van goed burgerschap, om-dat misdaadmelden niet klikken maar een burgerplichtbetekent.

Ook de evaluatie van het proefproject Meld MisdaadAnoniem concludeerde op basis van een representa-tieve steekproef onder de bevolking dat de meldlijn ineen behoefte voorziet en ‘kan rekenen op een breeddraagvlak onder de bevolking. (. . . ) Opvallend is dateen zeer groot deel van de bevolking zich medeverant-woordelijk voelt voor de veiligheid in Nederland en hetmelden van misdaden als burgerplicht beschouwt’ [2,p. 43]. Bij dat laatste is overigens niet duidelijk of datook het anoniem melden van misdaden betreft, en daargaat het hier natuurlijk om. In een media-analyse vanartikelen over meldlijn M. bleek dat weliswaar ‘klikken’in de artikelen vaker werd genoemd dan ‘melden’ of‘tippen’, maar, zo menen de onderzoekers desondanks,‘[v]an een negatieve associatie lijkt in de berichtgevingechter geen sprake te zijn’ [2, p. 30].

Hoewel sommigen zullen vinden dat de oprichting vaneen Internetmeldpunt meer een uitbreiding dan een

substantiële verandering of versterking van het reedsbestaande telefonische meldpunt zou zijn, zal uit devolgende hoofdstukken blijken dat de verschillen tus-sen een telefonisch meldpunt en een Internetmeldpuntwellicht groter zijn dan gedacht. Daarom moet welworden nagedacht wat de gevolgen zijn van een In-ternetmeldpunt voor de tendens van anoniem meldenin het algemeen, in het licht van de lopende discussietussen voor- en tegenstanders van de ‘kliklijn’. Zoalsin de workshop over een Internetmeldpunt werd opge-merkt: ‘Je versterkt een klikcultuur, die we toch al eenbeetje hebben in Nederland.’ Aangezien er verschil-lende perspectieven bestaan op de normatieve waar-dering van deze versterking van een ‘klikcultuur’, valthet aan te bevelen eerst een bredere maatschappelijkeen politieke discussie te voeren over deze materie, al-vorens men over zou gaan tot de oprichting van eenInternetmeldpunt.

3.3 Function creep

Function creep is een term die in de sociale weten-schappen wordt gehanteerd voor het geleidelijk uitbrei-den van de functionaliteit of toepassingen van syste-men of gegevens. Een systeem dat voor een bepaalddoel wordt ontwikkeld, wordt later vaak ook toegepastvoor andere doelen; gegevens die voor het ene doel zijnverzameld, worden vervolgens ook gebruikt voor an-dere doelen. Hoewel er als zodanig niets mis lijkt methet uitbreiden van de toepassing van systemen of her-gebruik van gegevens, gebeurt de uitbreiding vaak im-pliciet en zonder reflectie op de mogelijke neveneffec-ten en risico’s van de nieuwe toepassingen—men denktvaak dat de beheersmaatregelen die zijn getroffen voorhet oorspronkelijke doel ook wel zullen werken voorhet nieuwe doel. Wanneer het gaat om overheidshan-delen is het uitbreiden van bevoegdheden of het ne-men van maatregelen die inbreuken op grondrechtenmogelijk maken wel degelijk een probleem, zoals in deinleiding reeds beschreven. Daarbij kan een legitimi-teitstekort ontstaan (de oorspronkelijke juridische endemocratisch gelegitimeerde basis dekt niet noodzake-lijk ook de nieuwe toepassingen) en kunnen gaten inrechtsbescherming ontstaan omdat de nieuwe toepas-sing vaak in een andere context plaatsvindt, waarin an-dere regels en risico’s spelen.

Function creep is een relevant aandachtspunt vooranonieme misdaadmeldingen. Het oorspronkelijke enhoofddoel van de anonieme meldlijn is om opsporingvan misdrijven te faciliteren die anders onbekend zou-den blijven, omdat mensen soms om uiteenlopende re-denen geen aangifte of melding bij de politie willendoen. Waar het meldpunt primair een rol heeft omernstiger vormen van criminaliteit in beeld te krijgendie anders onbekend zouden blijven, zou de norm in

15

Page 16: Haalbaarheid van een anoniem internetmeldpunt - quickscan

de loop der tijd verlaagd kunnen raken wanneer ookminder ernstige strafbare feiten of een ruimer scalaaan maatschappelijke misstanden wordt gemeld. Hetis zaak dat gedegen empirisch onderzoek beschikbaarkomt naar de vraag waarom en wat mensen anoniemmelden: in hoeveel gevallen gaat het bijvoorbeeld omangst voor contact met de politie, angst voor repre-sailles, om gemakzucht, of om frustratie of onvermo-gen die niets met te maken hebben met datgene of de-gene waarover wordt gemeld? Daar komt bij dat mel-dingen bij het telefonische meldpunt niet alleen wor-den gebruikt door de politie voor opsporingsdoelen,maar ook door andere overheidsdiensten en privatepartijen. Meldingen worden door het meldpunt door-gegeven aan onder andere sociale-zekerheidsdiensten,energienetbeheerders en het verbond van verzekeraars(Boes 2010, p. 48-53). De beslissingen die derge-lijke afnemers nemen op basis van anonieme meldin-gen, vinden plaats in een andere context dan het straf-proces. De bestaande jurisprudentie over de bruikbaar-heid van meldingen, waarbij enige aanvullende infor-matie of verificatie wordt geëist alvorens de politie overmag gaan tot opsporingshandelingen, is hierop nietvan toepassing. Dit roept vragen op over het begin-sel van ‘due process’ in de andere contexten waarinbeslissingen worden genomen over in anonieme mel-dingen genoemde individuen: vindt er hoor en weder-hoor plaats? Is het voldoende transparant voor de be-trokkene dat een beslissing mede is gebaseerd op eenanonieme melding? Kan de betrokkene klagen overhet gebruik van anonieme startinformatie? En vol-doet het gebruik van anonieme misdaadmeldingen aanhet subsidiariteitsbeginsel? Tegelijkertijd zijn hier ver-plichtingen uit het gegevensbeschermingsrecht aan deorde: op welke grondslag mag bijvoorbeeld de des-betreffende instantie de persoonsgegevens uit de mel-ding verwerken en is hier nog sprake van een com-patibel doel? Deze vragen verschillen overigens nietvoor een eventueel op te richten Internetmeldpunt tenopzichte van het huidige telefonische meldpunt, en indeze quickscan kunnen wij ook niet ingaan op alle con-texten waarin anonieme meldingen worden gebruikt.Het is wel van belang om deze vragen te beantwoor-den bij de afweging om een Internetmeldpunt op tezetten, omdat daarbij zorgvuldig moet worden overwo-gen wie de mogelijke afnemers van meldingen zoudenmoeten zijn, en of de legitimiteit en rechtsbeschermingvan niet-opsporingsgerelateerd gebruik van anoniememeldingen wel voldoende gewaarborgd zijn.

Naast het gebruik voor andere doelen wanneer meldin-gen aan andere afnemers dan de politie worden ge-stuurd, is het vooral ook van belang om te bekijkenwelke rol anonieme meldingen spelen die aan de politieworden doorgegeven maar die buiten de opsporing instrikte zin worden gebruikt. Het strafrechtelijk systeemraakt meer en meer verweven met bestuursrechtelijke,

en soms civielrechtelijke beslissingen, zoals gebiedsver-boden en uithuisplaatsingen van kinderen. De opnamevan anonieme meldingen in politiesystemen kan aller-lei consequenties hebben, ook zonder dat de meldingleidt tot een opsporingshandeling. ‘Politie- en justitie-bestanden maken het mogelijk een klasse van perma-nent gestigmatiseerde personen te scheppen (. . . ). Jehoeft echt niet veroordeeld te zijn om op grond vaneen analyse van bureau bibob geen vergunning te krij-gen’ [7, p. 209]. Het risico van stigmatisering doorongecontroleerde beschuldigingen in anonieme mel-dingen wordt aanzienlijke groter naarmate politiege-gevens ook function creep ondergaan.

Tekenend voor function creep bij politiegegevens zijntwee politieke proefballonnen die recent werden op-gelaten. De gemeenten Eindhoven en Tilburg willenzelf politiegegevens analyseren, omdat de politie daarniet altijd aan toekomt, zodat zij deze gegevens kun-nen gebruiken bij onder andere het preventieve jeugd-beleid (‘Steden runnen hun eigen “inlichtingendienst”’,Trouw, 29 januari 2014). Staatssecretaris Teeven be-oogt om de wet te veranderen zodat een verklaring om-trent het gedrag ook kan worden geweigerd louter opbasis van politiegegevens en niet, zoals nu, op basisvan justitiële gegevens omtrent een veroordeling of op-gelegde OM-boete of -transactie3. Overigens kan naarhuidig recht al een verklaring omtrent het gedrag wor-den geweigerd zonder dat een veroordeling of sanctieis opgelegd. Blijkens een uitspraak van de Raad vanState4 mag een verklaring omtrent het gedrag ook wor-den geweigerd op basis van justitiële gegevens over’strafbare feiten ter zake waarvan een beslissing totdagvaarding of seponering of een andere beslissing vanhet openbaar ministerie is genomen.’ In dit geval hadde weigering om een verklaring omtrent het gedrag afte geven tot gevolg dat de betrokkene geen baan kreeg.Politiegegevens gebaseerd op anonieme meldingen dievia een opsporingsonderzoek leiden tot een dagvaar-ding of seponering van de zaak kunnen op deze manieringrijpende gevolgen hebben. Dergelijke toepassingenvan politiegegevens buiten de strafvordering raken bur-gers op een significante manier, door vergunningwei-geringen, verzwaard toezicht door de jeugdzorg of hetniet krijgen van een baan wegens het ontbreken vaneen verklaring omtrent het gedrag. Ook hier is het devraag of er voldoende rechtsbeschermingsmaatregelenzijn die ‘due process’ waarborgen. Aangezien in dezesituaties geen rechterlijk toezicht plaatsvindt, is het devraag of getroffen burgers de betrouwbaarheid van po-litiegegevens die gebaseerd zijn op een anonieme mel-ding wel kunnen aanvechten5 en of er voldoende aan-

3Kamerstukken II 2013/14, 33 750 VI, nr. 99, p. 24ABRvS 29 januari 2014, ECLI:NL:RVS:2014:205.5Merk op dat volgens het Europees Hof voor de Rechten van de

Mens het ondervragingsrecht van (belastende) getuigen ook van toe-passing is in civiele zaken: ‘the requirement of fairness in Article 6§ 1 and the principle of equality of arms embody a right to examine

16

Page 17: Haalbaarheid van een anoniem internetmeldpunt - quickscan

vullend onderzoek plaatsvindt om de inhoud van eenanonieme melding te verifiëren. Ook in dit verband iseen strakke proportionalisteitstoets, die we hierbovenal aan de orde stelden, noodzakelijk.

In een klimaat waarin politiële databanken op tame-lijk intransparante wijze ook voor andere doeleindendan opsporing worden ingezet (vgl. [7]), is het belang-rijk om terughoudend te zijn met het voeden van poli-tiële databanken met ongecontroleerde informatie. Ditpleit voor terughoudendheid bij het faciliteren van ano-nieme meldingen.

3.4 Publiek-private samenwerking

Stichting M. is een private partij die een rol vervult inde strafrechtspleging door meldingen van misdaad opte nemen, te filteren en door te geven aan de politie.Ook worden misdaadmeldingen doorgegeven aan an-dere partners, waaronder private partijen als energie-netbeheerders en verzekeraars, die ook acties kunnenondernemen op basis van de anonieme misdaadmel-dingen.

Het toebedelen van taken aan private partijen in hetkader van de strafrechtspleging, en breder in de vei-ligheidszorg, past in een tendens van toenemendepubliek-private samenwerking (PPS). Het vervullendoor private partijen van een bij uitstek van oudsherpublieke taak vraagt om normatieve reflectie. Omdatde normatieve aspecten van een privaat Internetmeld-punt niet verschillen van die van het bestaande telefo-nische meldpunt, gaan we hier niet als zodanig op in.We verwijzen naar bestaande literatuur die een kaderbiedt voor reflectie.

Hoogenboom en Muller [16] bespreken vele perspec-tieven op publiek-private samenwerking in de veilig-heidszorg, waaronder samenwerkingsverbanden waar-binnen strafrechtelijke informatie wordt gedeeld. Zijschetsen de ambivalentie van PPS-constructies, waarbijenerzijds het beleid veelal tamelijk kritiekloos en re-torisch de rol van private partijen omarmt vanuit eengedeelde maatschappelijke verantwoordelijkheid voorveiligheid, en anderzijds in de beleidsdiscussie rechts-statelijke bezwaren tegen PPS worden geformuleerd(zie Hoogenboom en Muller [16], met name hun be-spreking van dogma 12: ‘PPS is goed en moet (I)’ endogma 15: ‘PPS is goed en moet (II)’). Van Steden [28]stelt in aansluiting hierop pertinente normatieve vra-

witnesses against one in civil cases.’ EHRM 26 maart 2002, B.H. t.Verenigd Koninkrijk, appl.nr. 59580/00. De reikwijdte van het onder-vragingsrecht in civiele of bestuurlijke zaken is echter niet duidelijk,aangezien hier veel minder jurisprudentie over is dan in strafrecht-zaken. Het gebruik van anonieme meldingen buiten de context vanstrafrechtelijke beslissingen roept daarom wezenlijke vragen op overde rechtsbescherming van degenen die belast worden in anoniememeldingen.

gen, die beantwoord moeten worden in de beleidsafwe-ging rond een anoniem Internetmeldpunt en het door-geleiden van misdaadmeldingen aan private afnemers:‘Wat kunnen of gaan al die private partijen met uniekeen vaak vertrouwelijke overheidsinformatie doen? Wiewaarborgt de zekerheid dat die informatie voor het be-oogde doel wordt gebruikt en aan wie moeten ze ver-antwoording afleggen?’

Aanknopingspunten voor het borgen van het publiekbelang (waaronder ook de rechtsbescherming van indi-viduen over wie anonieme meldingen worden gedaan)kunnen worden gevonden in het WRR-rapport Het bor-gen van publiek belang. Omdat organisaties vaak uitzichzelf niet uitsluitend oog hebben voor het publiekbelang, moeten zij worden gedisciplineerd om de pu-blieke belangenbehartiging veilig te stellen. Het rap-port schetst vier mechanismen om het publiek belangte borgen:

• ‘regels (vastgelegd in wetten of contracten);• concurrentie (zowel concurrentie op als om de

markt, bij uitbestedingen van taken);• hiërarchie (de politieke bestuurder geeft aanwij-

zingen aan zijn ondergeschikten);• institutionele waarden (versterking van de waar-

den en normen binnen een organisatie die de be-hartiging van het betreffende publieke belang on-dersteunen).’ [34, p. 10]

Aangezien in het onderhavige geval van een anoniemmisdaadmeldpunt niet veel kan worden verwacht vanconcurrentie, noch van hiërarchie in de constructie vaneen private stichting en machtige private afnemers,zal bij de beleidsafweging rond een Internetmeldpuntvooral aandacht moeten worden besteed aan de bor-ging van het publieke belang in contractuele regels eneen wettelijke basis, en vooral in institutionele veran-kering van publieke waarden als rechtsbescherming,non-discriminatie, privacy en ‘due process’. De over-heid dient daarbij een strakke regie te voeren [34, p.12].

17

Page 18: Haalbaarheid van een anoniem internetmeldpunt - quickscan

18

Page 19: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Hoofdstuk 4

Technische aspecten

In dit hoofdstuk gaan we in op de technische aspectendie van belang zijn bij Internetmelden. De inhoud vandit hoofdstuk is in ruwweg twee delen te splitsen. Inhet eerste deel behandelen we aandachtspunten en ri-sico’s in het algemeen, terwijl we in het tweede deelspecifiek ingaan op een aantal mogelijke oplossings-richtingen. De inhoud van dit hoofdstuk is gebaseerdop gesprekken met experts, analyse van bestaande sys-temen en interne brainstormsessies. Technische afkor-tingen worden verklaard in bijlage A.

4.1 Communicatie en anonimiteit

De vorm van communicatie over het Internet heeft in-vloed op de mate van anonimiteit. Figuur 4.1(b) geefteen abstracte weergave van de communicatie tussen demelder en het meldpunt via het Internet. Ter referen-tie is in figuur 4.1(a) het communicatiepad via de tele-foon weergegeven. We onderscheiden vijf componen-ten: de melder, de ISP (Internet Service Provider) vande melder, het (tussenliggende) Internet, de ISP vanhet meldpunt en het meldpunt zelf. Het Internet fun-geert hier als communicatienetwerk tussen de ISPs. Hetprecieze pad dat de data afleggen ligt van tevoren nietvast: afhankelijk van de aanwezigheid en drukte van deverbindingen wordt telkens geprobeerd de beste routevoor de data te gebruiken. Elk van deze vijf componen-ten heeft andere risico’s ten aanzien van de anonimiteitvan de melder.

Bij anonieme communicatie tussen een melder en hetmeldpunt zijn twee aspecten van belang: de metadata(wie communiceert er met het meldpunt), en de in-houd (waarover wordt er gecommuniceerd). Het isvan groot belang ook de inhoud te beschermen, om-dat deze nog niet gefilterd is door een medewerker inhet meldpunt. Het is dus zeer goed mogelijk dat deinhoud direct of indirect kan leiden tot de identificatievan de melder, net zoals metadata dat kunnen. In hethuidige systeem met telefonische meldingen worden demetadata en de inhoud op de volgende manieren be-schermd:

Metadata De weg die een gesprek aflegt is weergege-ven in figuur 4.1(a). Op ieder van deze puntenis metadata in principe beschikbaar. Echter, eenverzameling van maatregelen maakt het zo lastigmogelijk om toegang te krijgen tot deze metadata:

• de melder wordt aangespoord het telefoon-nummer van het meldpunt uit zijn bellijst teverwijderen;• de telecomproviders (van de melders) heb-

ben toegezegd het telefoonnummer van hetmeldpunt niet op de rekening van de melderte zetten;• het meldpunt ontvangt geen nummerweer-

gave van zijn telecom provider; en• een afspraak met het College van Procureurs-

Generaal garandeert dat opsporingsdienstenslechts in uitzonderlijke gevallen de meta-informatie op mogen vragen bij de telecom-providers.1

Inhoud De inhoud van de conversatie wordt nergensfysiek opgeslagen (tenzij er een tap aanwezig is,zie paragraaf 5.3.1 voor de juridisch analyse hier-van). Deze kan immers identificerende informatiebevatten. Eventuele aantekeningen van de mede-werkers van het meldpunt worden na afloop vande melding vernietigd.

Ook een Internet-gebaseerde oplossing zal afdoendebescherming van zowel de metadata als de inhoudmoeten bieden. In paragraaf 4.4 zullen we deze tweeeigenschappen classificeren als respectievelijk onobser-veerbaarheid en confidentialiteit.

Bovenstaande analyse voor het telefoonnetwerk illu-streert de invloed die de vijf verschillende componen-ten in figuur 4.1(a) hebben op de anonimiteit van deoplossing. Dit geldt ook voor een Internet-oplossing.In paragraaf 4.6 zullen we de risico’s analyseren dievoortvloeien uit deze vijf elementen.

1De Wet bewaarplicht telecommunicatiegegevens bepaalt dat te-lecomproviders deze meta-informatie gedurende één jaar moeten be-waren, zie ook paragraaf 5.3.1.

19

Page 20: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Figuur 4.1: Een overzicht van het communicatiekanaal tussen melder en meldpunt via (a) het telefoonnetwerk en (b) hetInternet.

Figuur 4.2: Gedetailleerde weergave van het communi-catiekanaal tussen de melder en het Internet. De externeISP kan de ISP van het Internetcafé zijn, maar zal in veelgevallen een openbaar hotspot zijn in een trein, café ofhotel.

4.2 Infrastructuur

Voor de analyse van de risico’s is de specifieke infra-structuur van de melder en het meldpunt van belang.De schets in figuur 4.1 is erg abstract. In de praktijk isde infrastructuur ingewikkelder, zowel aan de kant vande melder als aan de kant van het meldpunt. De melderkan met verschillende apparaten, via verschillende ka-nalen en via verschillende ISPs verbinding maken methet Internet, zie figuur 4.2. Ook voor het meldpunt isde situatie ingewikkelder, zie paragraaf 4.2.3.

4.2.1 Inrichting melder

Niet alle apparaten hoeven in eigendom te zijn van demelder, of volledig onder zijn beheer te vallen. In eenInternetcafé heeft de melder noch de computer in ei-gendom noch heeft hij beheertoegang daartoe. Ookbij een laptop of vaste PC kan het voorkomen dat demelder geen beheertoegang heeft indien deze bijv. in

bedrijfseigendom is. Dit betekent dat het installerenvan software niet altijd mogelijk is, noch dat beveiligdeverbindingen te vertrouwen zijn (zie paragraaf 4.6.2).

Naast het apparaat zelf is ook de verbinding tussen ap-paraat en ISP van belang. Een bedrade verbinding isredelijk veilig, maar een draadloze verbinding kan ex-tra risico’s met zich mee brengen. Dit geldt ook vooreen externe ISP. Zie paragraaf 4.6 voor een meer gede-tailleerde analyse. Tot slot kan de draadloze verbindingtussen de telefoon en de eigen ISP een WIFI verbindingzijn, maar ook een mobiele dataverbinding. In het laat-ste geval treedt de telecomprovider op als ISP.

4.2.2 VoIP

Als de melder de telefonische meldlijn belt via VoIP is ersprake van een hybride situatie. De melder maakt ge-bruik van zijn Internetverbinding als transportmediumom op deze manier zijn VoIP provider te bereiken. Dezezal uiteindelijk de telefoonverbinding die eerst over hetInternet liep overzetten naar het traditionele telefonienetwerk. Op deze manier is een combinatie ontstaanvan melden via telefonie en via het Internet.

Er zijn verschillende implementaties van VoIP mogelijk:(1) aangeboden door de eigen ISP met fysieke telefoon,(2) aangeboden door een externe partij met fysieke te-lefoon en (3) aangeboden door een externe partij via decomputer (het veelgebruikte Skype valt in deze laatstecategorie als het gebruikt wordt om met het bestaandetelecomnetwerk te verbinden). Een uitgebreide risico-analyse valt buiten scope van deze quickscan. Echter,de veiligheid van (1) en (2) zal niet veel verschillen vande bestaande telefonische situatie (mits (2) gebruiktmaak van versleuteling). In geval (3) zijn in ieder gevalalle risico’s uit paragraaf 4.6.2 zonder meer van toepas-sing.2 Tot slot, omdat het gesprek uiteindelijk via het

2Crimestoppers UK raadt het gebruik van Skype en andere VoIPoplossingen zelfs expliciet af, zie https://crimestoppers-uk.org/most-wanted/how-to-give-information bezocht op 26februari 2014.

20

Page 21: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Figuur 4.3: Overzicht van de infrastructuur bij het meld-punt met drie varianten: (a) de bestaande telecomsitu-atie; (b) een Internet-oplossing met een lokale server; en(c) een Internet-oplossing met een externe server (zie tekstvoor nadere uitleg).

telecomnetwerk verloopt is hierop dezelfde tap- en da-taretentiewetgeving van toepassing die ook voor tradi-tionele telefonie geldt.

4.2.3 Inrichting meldpunt

De interne netwerkarchitectuur van het meldpunt heeftgrote invloed op de veiligheid van het meldpunt. Fi-guur 4.3 illustreert mogelijke situaties aan de kant vanhet meldpunt. Bij telefonische meldingen garandeertde opzet dat informatie uit een telefoongesprek nooitzomaar in een melding in het meldsysteem terecht-komt, aangezien een medewerker in het meldpunt be-wust een rapport schrijft naar aanleiding van het ge-sprek.

Wij zijn van mening dat een dergelijke scheiding tus-sen binnenkomende informatie en uitgaande informa-tie ook in een Internet-gebaseerd systeem essentieel is.We gaan daarom uit van de volgende architectuur. Inhet meldpunt worden voor iedere medewerker tweesystemen ingericht: (1) het systeem waarmee de me-dewerker met de melder communiceert (in figuur 4.3 isdit de terminal) en (2) een fysiek ander systeem waarinde medewerker uiteindelijk de melding invoert in hetmeldsysteem (dit is in figuur 4.3 niet weergegeven).Het eerste systeem moet zoveel mogelijk afgeschermdworden en alleen gebruikt worden voor communicatiemet melders. In het bijzonder mag er geen verbindingmogelijk zijn tussen beide systemen. Op deze manier

is het weer de medewerker die meldingen screent enoverzet.

Voor iedere Internet-oplossing zal het meldpunt moe-ten voorzien in een server waar de communicatie metde melders in eerste instantie terechtkomt. De serververvult daarmee een soortgelijke rol als de telefoon-centrale. De telefoon van de medewerker is vervangendoor een terminal of computer die de communicatiemet de melder weergeeft.

We maken onderscheid tussen een lokale server (fi-guur 4.3(b)) en een externe server (figuur 4.3(c)). On-der een externe server verstaan we zowel een serverin een extern datacentrum als een server als onderdeelvan een clouddienst. Als de server extern is onderge-bracht moet de terminal verbinding maken met de ser-ver via het Internet. De conceptuele verbinding tussende terminal en de server die zo ontstaat is gestreeptweergegeven in figuur 4.3.

4.3 Communicatievorm van demelding

Er zijn verschillende manieren waarop een digitalemelding binnen kan komen bij het meldpunt. Dit kaninvloed hebben op de kwaliteit van de melding, maarook op de daarbij behorende risico’s. Hier besprekenwe kort de verschillende vormen.

In de onderstaande classificatie spreken we over ses-sies. Een sessie is een aaneengesloten uitwisseling vanberichten tussen melder en meldpunt die niet wordtonderbroken door een andere activiteit. Ter illustratie:het versturen van een brief is een sessie, het voeren vaneen telefoongesprek is dat ook.

De eerste classificatie behelst de interactiviteit van desessie. In het geval van niet-interactieve sessies makenwe nog een verder onderscheid tussen gestructureerdemeldingen en ongestructureerde meldingen:

Interactief We noemen een sessie interactief als demelder en een medewerker bij het meldpunt inreal-time met elkaar interacteren, d.w.z. meerdereberichten over een weer uit wisselen. Typischevoorbeelden hiervan zijn een telefoongesprek ofeen chatgesprek.

Niet-interactief Een sessie is niet-interactief als decommunicatie tussen de melder en het meldpuntslechts in één richting verloopt (van de meldernaar het meldpunt, of van het meldpunt naar demelder). Typische voorbeelden hiervan zijn: hetinvullen en versturen van een formulier, het stu-ren van een brief en het sturen van een e-mail. Bijniet-interactieve sessies kunnen we de volgendetwee situaties onderscheiden:

21

Page 22: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Gestructureerde meldingen De melder kan on-dersteund worden door een intelligent for-mulier dat aangeeft welke informatie aan hetmeldpunt verstrekt moet worden en welkeniet. Uitbreidingen hierop waarbij lokaal deinvoer van de gebruiker gevalideerd wordtvoordat die verstuurd wordt zijn ook denk-baar. Deze manier van melden kan relevanten nuttig zijn indien het type melding voorafbekend is, bijvoorbeeld bij het melden vanhennepteelt.

Ongestructureerde meldingen Aan de anderekant is het mogelijk de vereiste informatieniet gestructureerd uit te vragen. Dit is bij-voorbeeld het geval bij het versturen van eene-mail.

Een andere classificatie is hoe vaak er een sessie is tus-sen de melder en het meldpunt. Hierbij onderschei-den we eenmalige meldingen en meermalige meldin-gen. Dit onderscheid is belangrijk omdat bij een meer-malige melding gevoelige informatie voor langere tijdbewaard moet worden.

Eenmalig Bij een eenmalige melding vind er slechtséén sessie plaats tussen de melder en het meld-punt. Voorbeelden zijn een telefoongesprek, eenchatgesprek of een enkele e-mail.

Meermalig Een melding kan ook meermalig zijn. Indat geval zijn er meerdere sessies tussen de mel-der en het meldpunt waarin de melder informatieaan het meldpunt kan verstrekken. Het meldpuntmoet in dit geval een koppeling kunnen makentussen deze sessies. We maken onderscheid tus-sen de volgende drie situaties:

Geen terugkoppeling Het meldpunt heeft geenmogelijkheid om berichten naar de melder testuren.

Passieve terugkoppeling Bij passieve terugkop-peling kan het meldpunt (indien nodig) be-richten achter laten voor de melder. Hetis echter aan de melder om deze berichtente controleren en waar nodig meer informa-tie te verstrekken in een nieuwe sessie (bijv.door meer documenten te versturen, of eennieuwe interactieve sessie op te zetten).

Actieve terugkoppeling Bij actieve terugkoppe-ling kan het meldpunt zelf direct de melderbereiken. Een voorbeeld hiervan is het sturenvan een antwoord op een e-mail van de mel-der of, in het telefonische geval, het terugbel-len van de melder. Om dit te kunnen doenheeft het meldpunt dus contactgegevens vande melder nodig.

In de hedendaagse praktijk van stichting M. zijn demeldingen altijd telefonisch en worden ze afgerond

binnen hetzelfde telefoon gesprek, waardoor deze mel-dingen altijd interactief en eenmalig zijn. Bij het mel-den via Internet zijn ook andere combinaties mogelijk,deze komen aan bod in paragraaf 4.8.

4.4 Criteria

We geven een aantal criteria aan de hand waarvande kwaliteit van een technische oplossing getoetst kanworden. We zullen deze criteria gebruiken om eenaantal mogelijke oplossingsrichtingen te scoren in pa-ragraaf 4.8. De hier weergegeven criteria zijn het resul-taat van gesprekken met experts en interne brainstorm-sessies.

Anonimiteit kan op twee conceptueel verschillende ty-pen componenten geschonden worden. Ten eerste kun-nen er in de eindpunten fouten gemaakt worden waar-door daar gedurende of na afloop van de melding deanonimiteit in gevaar kan komen. Ten tweede kan deanonimiteit geschonden worden op de verbinding tus-sen de melder en het meldpunt. We onderscheidendeze criteria.

Anonimiteit in de eindpunten De mate waarin deanonimiteit gewaarborgd kan worden in de eind-punten hangt af van de risico’s die specifieke op-lossingen daarin veroorzaken.

Anonimiteit m.b.t. de verbinding De volgende tweecriteria samen bepalen in welke mate een gekozenoplossing anoniem is met betrekking tot de ver-binding (zie het begin van dit hoofdstuk voor eengedetaileerde analyse).

Onobserveerbaarheid Een verbinding is onob-serveerbaar als partijen niet kunnen detecte-ren of een melder met het meldpunt commu-niceert of gecommuniceerd heeft. Merk opdat het hier dus niet gaat om de inhoud vande communicatie, maar alleen om de meta-data.

Confidentialiteit De verbinding is confidentieelals alleen de melder en het meldpunt kenniskunnen nemen van de inhoud van de com-municatie.

Daarnaast zijn ook de volgende criteria van belang bijhet toetsen van een oplossing.

Technische eenvoud De technische eenvoud verschiltper oplossing. Hoe complexer een oplossing des temeer punten er zijn waarop uiteindelijk de anoni-miteit van de melder in gevaar kan komen. Eenhoger technische complexiteit zal dus de anonimi-teit in de eindpunten verminderen. De analyse vaneen aantal bestaande oplossingen (met name klok-

22

Page 23: Haalbaarheid van een anoniem internetmeldpunt - quickscan

kenluider sites) heeft aangetoond dat er veel aan-dachtspunten zijn en dat het veilig inrichten vaneen oplossing soms ingewikkeld kan zijn, zelfs alsde oplossing al bestaat.

Gebruiksgemak gebruiker Het gemak voor de ge-bruiker verschilt per oplossing. Lastigere oplossin-gen kunnen resulteren in slechtere adoptie van hetmeldpunt, of fouten die de anonimiteit reduceren.Als de gebruiker bijv. eerst nieuwe software moetinstalleren om veilig verbinding te maken met hetmeldpunt werpt dit ofwel een extra drempel opom een melding te doen ofwel een risico als ookeen onveilige melding zonder de software gedaankan worden.

Kwaliteit van de melding De te verwachten kwaliteitvan de melding verschilt per oplossing. Dit crite-rium is van belang omdat de keuze voor een tech-nische inrichting de kwaliteit zeer kan beïnvloe-den. Zo zal een eenmalige niet-interactieve oplos-sing waarschijnlijk leiden tot kwalitatief slechteremeldingen omdat medewerkers in het meldpuntniet extra relevante informatie kunnen uitvragen.

4.5 Aanvallers en andere partijen

Risico’s onstaan niet alleen door zwakheden in de tech-nische inrichting maar ook door partijen die er belangbij hebben de anonimiteit van de melder of de meldingte ondermijnen. In dit document houden we rekeningmet de volgende aanvallers (Engels: adversaries) vanhet systeem.

Omgeving De omgeving van de melder heeft van na-ture makkelijk toegang tot de apparatuur van demelder. Het is belangrijk dat het melden ook voorde omgeving verborgen blijft. Vooral als de mel-ding iemand uit de omgeving betreft.

Externen Externe partijen kunnen om vele redenenproberen om de anonimiteit van het systeem teondermijnen. ‘Hackers’ kunnen proberen om sys-temen binnen te dringen om zo de anonimiteit vanéén of meerdere melders te onthullen. Zowel ide-ële motieven als financiële motieven zijn moge-lijk. Criminelen en criminele organisaties kunnener belang bij hebben de anonimiteit van meldin-gen te ondermijnen als ze vermoeden dat ze regel-matig door anonieme meldingen worden dwarsge-zeten (denk aan hennepkwekerijen). Ook andere‘slachtoffers’ van anonieme meldingen, te denkenvalt aan fraudeurs, kunnen proberen om achter deidentiteit van de melder te komen. Voor al dezepartijen geldt dat ze kunnen proberen de indruk tewekken achter de identiteit van de melders te kun-nen komen om zo potentiële melders af te schrik-ken.

Opsporingsdiensten Opsporingsdiensten kunnenachteraf verbindingsgegevens opvragen en com-municatiekanalen tappen. Daarnaast kunnen zegrote belangen hebben bij het leren kennen vande identiteit van anonieme melders. We verwijzennaar paragraaf 5.3.1 voor een uitgebreiderejuridische analyse.

De melder en het meldpunt spelen ook een rol. Ze kun-nen een risico vormen voor de veiligheid en anonimiteitvan het systeem.

Melder Als de melder de instructies niet opvolgt kande melder zelf er voor zorgen dat zijn identiteitbekend wordt bij één van de andere partijen. Inveel gevallen is er interventie van de melder no-dig om te voorkomen dat er sporen aan zijn kantachterblijven. Bij het bellen naar het meldpunt ishet bijvoorbeeld van belang om na afloop het te-lefoonnummer van het meldpunt uit de bellijst tehalen.

Meldpunt Ook het meldpunt kan onzorgvuldig om-gaan met de ontvangen informatie en zodoendede identiteit van de melder prijsgeven. In eersteinstantie komt er heel veel informatie bijeen in hetmeldpunt. Als daar delen van achterblijven, bij-voorbeeld aantekeningen van een gesprek, kan ditleiden tot identificatie van de melder.

4.6 Algemene risico’s

Hoewel er een aantal verschillende oplossingsrichtin-gen mogelijk zijn, zijn onafhankelijk daarvan een aan-tal risico’s vrijwel altijd aanwezig. We zullen deze ineen aantal groepen behandelen. Eerst behandelen wealgemene risico’s. De overige risico’s groeperen we on-der de relevante infrastructuurcomponenten. Indienmogelijk geven we een indicatie van de grootte van hetrisico.

4.6.1 Algemeen

We beginnen met een risico dat over de hele linie geldt.

Communicatie is vrijwel altijd observeerbaar. Decommunicatie tussen de melder en het meldpunt door-loopt alle vijf componenten die zijn aangegeven in fi-guur 4.1(b). Om deze communicatie mogelijk te ma-ken weten alle tussenliggende partijen de herkomst enbestemming van een bericht. Als gevolg hiervan kun-nen dus ook al deze partijen zien (als ze dat willen) wieer met het meldpunt communiceert.

23

Page 24: Haalbaarheid van een anoniem internetmeldpunt - quickscan

De standaard manier om dit te voorkomen is doorTor3—een anonimiseringssysteem—te gebruiken. Torzorgt er voor dat de partijen aan de kant van de melderniet zien met wie de melder communiceert en partijenaan de kant van het meldpunt, inclusief het meldpuntzelf, niet kunnen zien wie met het meldpunt commu-niceert. Echter, voor een normale gebruiker is het nieteenvoudig om Tor correct op te zetten en te gebruiken.Daarnaast is de aanwezigheid en het gebruik van Torop zichzelf mogelijk verdacht.

In de traditionele telecomwereld is dit risico mindergroot. Er spelen minder partijen mee—met wie je dusafspraken kan maken—en de infrastructuur is mindertoegankelijk dan bij het Internet.

4.6.2 Risico’s aan de kant van de melder

We bekijken nu de risico’s aan de kant van de melder.

Onzorgvuldigheid melder. Veel van de oplossingenvereisen enige zorgvuldigheid van de gebruiker die ver-der gaat dan het wissen van een telefoonnummer ach-teraf. Soms moet alleen informatie achteraf verwijderdworden, bijvoorbeeld het weggooien van een meldinguit de verzendbox van de e-mailclient, maar veelal ishet ook sterk aan te raden vooraf maatregelen te ne-men, door bijvoorbeeld de browser in private modusop te starten. De browser zal dan proberen om, nahet sluiten van het venster, geen sporen achter te latenop de computer die informatie geven over de bezochtewebsites. Hieronder vallen in ieder geval tijdelijke be-standen, cookies en de surfgeschiedenis.

Sporen zijn voor de gebruiker niet goed te over-zien. De informatie die wordt opgeslagen is niet goedte overzien voor een reguliere gebruiker van het sys-teem. Zo vormen o.a. de surfgeschiedenis, eventuelecookies en tijdelijk bewaarde afbeeldingen allemaal in-dicatoren dat de melder op de website van het meld-punt is geweest. Het verwijderen van deze informa-tie biedt geen garantie dat deze niet toch nog terug-gehaald kan worden van bijvoorbeeld de harde schijf.Ook het gebruiken van private modus van de browserhelpt niet tegen eerder al geplaatste informatie (bij-voorbeeld toen de melder las op de website van hetmeldpunt dat hij beter private modus kon gebruiken).

Systeem van melder is kwetsbaar. Met name als demelder een computer gebruikt is deze kwetsbaar voorallerhande malware, waaronder virussen en keylog-gers. Als deze software aanwezig is is het voor kwaad-willenden relatief eenvoudig om de communicatie met

3https://www.torproject.org/

het meldpunt te detecteren of af te luisteren. Dit ri-sico is iets minder groot op mobiele platformen zoalsAndroid en iOS.

Hoewel veel computers besmet zijn met malware, is hetverwachte risico hiervan m.b.t. de anonimiteit niet heelgroot. De partijen die de malware beheren zijn welis-waar op jacht naar persoonsgegevens, maar zullen inhet algemeen geen belang hebben bij het achterhalenvan de identiteit van de anonieme melder. Dit is uiter-aard anders wanneer de aanvaller gericht het systeemvan de melder besmet.

Melding over lokale partij. Iedereen die toegangheeft tot het lokale netwerk of de machine van de mel-der kan in principe alle communicatie zien, zie ook hetvorige punt. Normaal gesproken is dit risico niet zogroot. Dit is echter anders als de melding iemand uitde directe omgeving betreft (bijv. bij een melding overeen partner of werkgever).

In het bijzonder kunnen in dit geval niet alleen alle ver-bindingsgegevens worden opgeslagen, maar zelfs even-tuele versleutelde verbindingen zijn niet meer veilig.4

Het is dus belangrijk dat de persoon over wie de mel-ding gaat geen toegang heeft tot de machine en hetlokale netwerk van de melder.

4.6.3 Risico’s Internetverbinding en ISPs

De ISP die door de melder wordt gebruikt vormt de toe-gangspoort tot het Internet. Al het verkeer tussen mel-der en meldpunt loopt dus ook hier langs. Dit brengtde volgende risico’s met zich mee.

Onbeveiligde draadloze netwerken. Het is mogelijkdat de melder gebruikt maakt van een openbaar draad-loos netwerk, zie figuur 4.2. In vrijwel alle gevallenis deze verbinding om praktische redenen niet versleu-teld. Ook privénetwerken zijn soms slecht geconfigu-reerd waardoor deze effectief onbeveiligd zijn. Dit be-tekent dat eventuele aanvallers in de buurt van de mel-der de communicatie kunnen observeren.

We merken op dat zelfs als de communicatie zelf ver-sleuteld is, de aanvaller in ieder geval kan zien met wiede melder communiceert, en dus bijvoorbeeld kan ziendat de melder de website van het meldpunt bezoekt.

Een melder kan zich beschermen tegen dit soort aan-vallen door gebruik te maken van goed geconfigu-reerde VPN-verbinding, maar dit verhoogt de complexi-teit van de oplossing. Het is lastig uit te leggen dateen VPN-verbinding nodig is om te zorgen voor een

4Het is mogelijk deze bescherming te omzeilen als je beheertoe-gang hebt tot de computer.

24

Page 25: Haalbaarheid van een anoniem internetmeldpunt - quickscan

veilige verbinding. Ook moet de VPN-provider zelf nuvertrouwd worden.

Externe ISPs zijn niet altijd betrouwbaar. ExterneISPs leveren veelal een gratis dienst5; denk aan de In-ternetverbinding in een café, in de trein, op een sta-tion of luchthaven. Om aansprakelijkheid te beperkenkan de ISP bijhouden wie waarmee verbinding heeftgemaakt. Daarnaast kan de gekozen technische oplos-sing soms (bijvoorbeeld in het geval van transparanteproxies, die bezochte pagina’s tijdelijk opslaan om zesneller te kunnen leveren, of bewerken om reclame toete voegen) er voor zorgen dat al dan niet opzettelijkverbindingsinformatie wordt opgeslagen.

Tot slot zou de ISP er voor kunnen kiezen om geld teverdienen door het surfgedrag van de gebruiker te ver-kopen en/of advertenties te plaatsen naar aanleidingvan het surfgedrag van de gebruiker. In dit geval krij-gen externe derde partijen informatie over het surfge-drag van de eventuele melder.

Als deze verbindingsinformatie gecombineerd wordtmet andere gegevens over de gebruiker van het net-werk is het zeker mogelijk dat de identiteit van de mel-der achterhaald kan worden door (partners van) de ex-terne ISP. De inhoud van de bijbehorende melding zalechter in de meeste gevallen niet achterhaald kunnenworden.

Aanvallen op de eigen ISP. Al het verkeer van demelder loopt via de ISP van de melder. Het verkeerkan hier dus goed afgeluisterd worden (zoals bijvoor-beeld gebeurt als er een IP-tap is geplaatst). Echter,reguliere ISPs zijn in de regel goed beveiligd. Dit geldtniet automatisch voor externe ISPs, zie ook de vorigeparagraaf, deze zullen juist vaak minder goed bevei-ligd zijn, maar nog steeds beter dan de machine vande melder. Externe aanvallers zullen niet zomaar eenISP binnendringen om verkeer af te luisteren. Als hetdoel is de melder aan te vallen is het veel effectieverde computer van de melder zelf aan te vallen. Vergelijkook met paragraaf 4.6.4 en met name paragraaf 4.6.5.Dit risico is dus klein.

4.6.4 Risico’s op het Internet

De communicatie tussen melder en meldpunt gaat, na-dat het de ISP van de melder is gepasseerd, het Internet

5Merk op dat we hier de aanbieder van bijv. het gratis draadlozenetwerk als ISP beschouwen. Juridisch gesproken zijn deze aanbie-ders overigens geen aanbieders van openbare electronische commu-nicatiediensten en zij vallen dus niet onder de Telecommunicatiewet.In plaats daarvan geeft de dienstaanbieder de gebruiker slechts toe-gang tot zijn randapparatuur.

op. In de weergave van figuur 4.1 bestaat het Inter-net uit een netwerk van computersystemen waarbin-nen ieder paar computersytemen met elkaar kan com-municeren. In de regel zijn dit ISPs of andere grotepartijen. Strikt genomen maakt iedere machine meteen Internetverbinding onderdeel uit van het Internet,maar voor deze discussie beschouwen we alleen diecomputersystemen die actief communicatie doorgeven.

De route die de communicatie aflegt hangt af van deherkomst en bestemming van de communicatie, de ver-bindingen in het netwerk en de drukte op het netwerk.Het is daarmee niet van te voren te zeggen welke routede communicatie af zal leggen. Systemen op de routezien de herkomst en bestemming van de communicatie,maar zullen deze, gezien de hoeveelheid data, nooit zo-maar opslaan.

We verwachten niet een groot risico van aanvallenop het Internet zelf. De route is onvoorspelbaar, dusom een substantieel effect te bereiken moet op vrij-wel ieder mogelijk pad een machine aangevallen zijn.Daarnaast zijn deze machines vrijwel altijd goed bevei-ligd. De meeste aanvallers zullen dit niet kunnen (metde mogelijke uitzondering van de veiligheidsdiensten).Voor alle aanvallers geldt (als ze tenminste het meld-punt zelf gericht aanvallen) dat ze de weg van de min-ste weerstand zullen kiezen. Het is veel effectiever deISP van de melder (zie paragraaf 4.6.3) dan wel hetmeldpunt (zie paragraaf 4.6.5) af te luisteren om zo-doende al het verkeer te kunnen onderscheppen.

4.6.5 Risico’s bij ISP meldpunt

Zoals de ISP van de melder het verzamelpunt is vanal het verkeer van en naar de melder (vergelijk para-graaf 4.6.3), zo is de ISP van het meldpunt het verza-melpunt van al het verkeer van en naar het meldpunt.Al dit verkeer kan hier dus afgeluisterd worden.

In de regel zal de ISP goed beveiligd zijn en deze in-formatie niet zomaar vrijgeven. Echter, waar het mis-schien niet interessant is een ISP van een melder aan tevallen kan het wel degelijk interessant zijn voor externeaanvallers om de ISP van het meldpunt aan te vallenen zo achter veel vertrouwelijke informatie te komen.Daarnaast zal de server van het meldpunt zelf (hope-lijk) beter beschermd zijn tegen externe aanvallen danbijvoorbeeld de machine van de melder. Hierdoor kanhet opeens interessanter zijn om de ISP van het meld-punt aan te vallen dan de server van het meldpunt. Totslot, hoewel de opsporingsdiensten in theorie een tapkunnen aanvragen op de verbinding tussen de ISP enmeldpunt, zijn ze in juridische zin beperkt, zie para-graaf 5.3.1.

In het algemeen geldt dat het risico op het aanvallenvan de ISP sterk verminderd kan worden door alle com-

25

Page 26: Haalbaarheid van een anoniem internetmeldpunt - quickscan

municatie te versleutelen. De communicatie is dan nogwel observeerbaar, d.w.z. bij de ISP is het zichtbaar wiemet het meldpunt communiceert, maar wel confiden-tieel, d.w.z. de inhoud van de communicatie is niet tezien.

4.6.6 Risico’s van het meldpunt

Het meldpunt vormt het eindpunt van alle communica-tie met de buitenwereld; eventueel wordt deze commu-nicatie intern nog verder geleid. Dit maakt in het bij-zonder de server van het meldpunt erg kwetsbaar. Allecommunicatie is hier in ruwe ongecensureerde vormaanwezig en de eventueel versleutelde data wordt hiernormaal gesproken ontsleuteld. Tot slot zal de server,in tegenstelling tot de telefooncentrale waar nummer-weergave al was uitgeschakeld, vrijwel altijd zien wieverbinding maakt met het meldpunt.6 Dit resulteert inde volgende risico’s.

Computers zijn niet geheugenloos. Bij het meldenvia een telefoon is er een een-op-een overdracht van ge-sproken informatie naar de medewerker van het meld-punt. Het gesprek wordt niet opgenomen, behalve inhet uitzonderlijke geval dat er een tap aanwezig is, enderhalve is de originele inhoud van het telefoongesprekniet te achterhalen (m.u.v. wat de medewerker ont-houdt). Ook bij VoIP wordt de inhoud van het gesprekin principe7 niet bewaard. Het voordeel hiervan is dateventuele versprekingen van de melder die kunnen lei-den tot zijn/haar identificatie niet te achterhalen zijn.Dit is niet het geval voor een digitale oplossing.

Ontvangen berichten, in welke vorm dan ook, moetentijdelijk bewaard worden om ze weer te kunnen gevenop het scherm van de medewerker bij het meldpunt.De architectuur van het systeem moet er op gericht zijndat dergelijke informatie niet achteraf te achterhalenis. Dit is technisch mogelijk, maar vereist een zeerzorgvuldig ontwerp. Het ontwerp wordt eenvoudigerals enig informatieverlies acceptabel is (net zoals datgebeurt wanneer een telefoongesprek halverwege ver-broken wordt), bijvoorbeeld door de informatie slechtstijdelijk op te slaan in het werkgeheugen van de com-puter.

Langere opslag is lastig. Als meldingen niet-interactief zijn (denk hierbij aan e-mails, ingevuldewebformulieren en toegevoegde documenten) moeten

6Overigens is het technisch mogelijk dat de ISP, als die hieraanmeewerkt, de herkomst van het verkeer verbergt voor het meldpunt,net zoals thuisrouters verbergen dat er binnenshuis meerdere machi-nes gebruik maken van het Internet in plaats van één.

7Tenzij de VoIP-aanbieder dat doet, maar dat ligt niet voor dehand.

deze voor langere tijd bewaard worden totdat ze ver-werkt kunnen worden door een medewerker. Dit geldtook voor meermalige meldingen waar het systeem eenkoppeling tussen meldingen (voor meermalige meldin-gen zonder terugkoppeling en met passieve terugkop-peling), dan wel een koppeling tussen melder en mel-ding (voor meermalige meldingen met actieve terug-koppeling) moet bijhouden.

Na het verwerken van de melding moet al deze infor-matie veilig verwijderd worden uit de systemen van hetmeldpunt. Aan de andere kant mag een melding nietzomaar verloren gaan.8 In dit laatste opzicht verschiltdit risico van het hierboven genoemde risico: bij inter-actieve communicatie is informatieverlies mogelijk ac-ceptabel; bij niet-interactieve communicatie en meer-malige communicatie niet, omdat dit leidt tot een (voorde melder) ondetecteerbaar verlies van meldingen.

Documenten niet ontdaan van metadata. Indienhet mogelijk is documenten (we verstaan hieronderalle typen bestanden waaronder foto’s) te versturennaar het meldpunt—Stichting M. gaf eerder aan daarop dit moment het belang niet van in te zien—danbrengt dit extra risico’s met zich mee. Allereerst is hetvoorgaande risico van toepassing op het langer bewa-ren van meldingen. Daarnaast kunnen ingestuurde be-standen metadata, zoals de auteur, datum en machinewaarop het document gemaakt is, bevatten die de ver-zender kan identificeren (zelfs als de inhoud van debestanden zelf daar niet voor zorgt).

Er bestaat software, zoals MAT9 (Metadata Anonymi-sation Toolkit), die gebruikt kan worden om metadatate verwijderen. Echter, dergelijke software ondersteuntniet altijd alle mogelijke bestandsformaten en bepaaldemetadata—zoals watermerken—zijn lastig te verwijde-ren [33].

Terminals in het meldpunt zijn kwetsbaar. Infor-matie over meldingen is in ieder geval voor enige tijdbeschikbaar op de systemen van het meldpunt. Daar-mee zijn deze systeem ook kwetsbaar voor gerichteaanvallen van buitenaf en besmetting met malware. Integenstelling tot de eventuele fysieke aanvallen, zoalsafluisteren met richtmicrofoons en liplezen, die moge-lijk zijn bij telefoonsystemen zijn deze aanvallen ookmogelijk van grotere afstand. Daarnaast is het lastigerom je er tegen te beschermen.

Dit risico is te verminderen door de systemen in hetmeldpunt strikt te scheiden, zie de architectuurschetsin paragraaf 4.2.3, zodat de terminals nooit direct vanbuitenaf bereikbaar zijn. Door de terminals voor één

8Voor de technici: opslag in het werkgeheugen voldoet dus niet.9https://mat.boum.org/, bezocht op 5 januari 2014

26

Page 27: Haalbaarheid van een anoniem internetmeldpunt - quickscan

heel specifiek doel in te richten is het makkelijker zeveilig te houden.

Fysieke toegang tot de server. De server van hetmeldpunt waarop de meldingen binnenkomen is kwets-baar en bevat veel informatie.10 Iedereen die fy-siek toegang heeft tot de server kan redelijk makkelijknieuwe communicatie afluisteren. Merk op dat geziende locatie van de aanval de versleuteling van de data alverbroken is. Het is dus belangrijk om de server fysiekgoed te beschermen.

Indien de server buiten de muren van het meldpuntgeplaatst wordt (zie figuur 4.3c), en zich bijvoorbeeldin een extern datacenter of in de cloud bevindt, hebbenmeer partijen toegang tot de server. Aan de andere kantis de beveiliging in een datacenter misschien wel beterdan de beveiliging die in het meldpunt bereikt kan wor-den, bijvoorbeeld omdat er een sterkere nadruk is opfysieke beveiliging. Daarnaast heeft ook de specifiekeinrichting van het beheer van een lokaal datacentruminvloed op de veiligheid (zie hoofdstuk 6).

4.7 Bestaande anonieme meldsys-temen

Ter ondersteuning van onze analyse van mogelijketechnische oplossingsrichtingen geven we een korteschets van een aantal bestaande oplossingen.

4.7.1 Crime Stoppers International

Stichting M. is aangesloten bij de internationale orga-nisatie Crime Stoppers International.11 Met name in deAngelsaksische landen zijn veel zusterorganisaties vanStichting M. actief. Echter, waar Stichting M. heel Ne-derland bestrijkt bedienen veel van deze zusterorgani-saties een veel kleinere regio. Het is dan ook onmoge-lijk om een enigszins representatief overzicht te gevenvan deze verschillende organisaties.

Hoewel er veel verschillende organisaties zijn, lijkt heterop dat veel van deze gebruik maken van de TipSoftsoftware.12 De volgende twee pakketten zijn relevantvoor dit onderzoek:

TipSoft WebTips Het TipSoft WebTips platform [31]is een website waarop melders met behulp vaneen gestructureerd formulier een melding kunnen

10De server die de uiteindelijk door de medewerker opgemaaktemeldingen verwerkt bevat alleen geanonimiseerde meldingen en is,net als in de telefonische situatie, alleen een risico voor de persoonwaarover gemeld is, niet voor de melder zelf.

11www.csiworld.com bezocht op 26 februari 2014.12http://www.tipsoft.com/, bezocht op 26 februari 2014.

doorgeven. De verbinding met de TipSoft organi-satie is versleuteld. Daarnaast geeft TipSoft aandat dit platform sinds kort interactieve chat tussende melder en het meldpunt ondersteunt.

TipSubmit Mobile Het TipSubmit Mobile pakket [30]levert applicaties voor mobiele platformen (zo-wel Android als iOS) waarmee melders meldin-gen kunnen versturen naar het meldpunt. Dezeapplicaties leveren in eerste instantie een gestruc-tureerd formulier, maar na het invullen hiervan ishet ook mogelijk om een interactieve chat met hetmeldpunt te starten. Indien gewenst kan de mel-der beeldmateriaal uploaden naar het meldpunt.

In beide gevallen geldt dat alle data die door de mel-der worden doorgegeven aan het meldpunt (waaron-der logs van de gesprekken, ingevulde formulieren enfoto’s) daar letterlijk worden opgeslagen en later in tezien zijn. Dit is risicovol aangezien deze data nog nietgeanonimiseerd zijn, zie ook paragraaf 4.6.6. Daar-naast bewaart de mobiele applicatie de inhoud van demeldingen, waardoor deze later bij de melder te her-kennen zijn en dus een risico vormen voor de melder,zie ook paragraaf 4.6.2. We constateren dat beide sys-temen de nadruk leggen op gebruikersgemak, en nau-welijks aandacht besteden aan de bescherming van deanonimiteit.

Ook veel overheden richten tegenwoordig anoniememeldpunten in voor het melden van bijvoorbeeld terro-risme en belastingfraude. De precieze werking hiervanvalt buiten het bereik van dit onderzoek.

4.7.2 Klokkenluiderssites

Een duidelijk andere categorie wordt gevormd doorklokkenluiderssites. Hier wordt veelal uitgegaan vanveel krachtigere aanvallers (bijvoorbeeld van het kali-ber inlichtingendiensten) en de beveiligingsmaatrege-len zijn dan ook navenant groter.

Voor dit onderzoek hebben we kort gekeken naar Secu-reDrop13, Zeit Briefkasten14, en GlobaLeaks15. In allegevallen is er door de makers veel moeite gedaan omde oplossingen zo anoniem mogelijk te maken. Zo zijnSecureDrop en GlobaLeaks alleen via Tor te bereikenen moet er een apart werkstation ingericht worden omdocumenten veilig in te zien. De ontwerpdocumen-ten [1, 13, 20, 27] en de beveiligingsanalyses [10, 14]illustreren de complexiteit van dergelijke oplossingen.

13https://pressfreedomfoundation.org/securedrop,voorheen DeadDrop en door The New Yorker gebruikt onder denoemer Strongbox.

14http://www.zeit.de/briefkasten/index.html, aange-boden door het Duitse nieuwsblad Zeit.

15https://globaleaks.org/, onder ander gebruikt doorpubleaks.nl.

27

Page 28: Haalbaarheid van een anoniem internetmeldpunt - quickscan

4.8 Mogelijke technische inrich-tingen

In deze paragraaf schetsen we een aantal mogelijketechnische oplossingen. Deze oplossingsrichtingen zijnvoortgekomen uit gesprekken met experts, internebrainstormsessies en een analyse van bestaande syste-men. Het doel is uitdrukkelijk niet om een uitputtendoverzicht te genereren. We geven een korte analyse vandeze oplossingen in termen van voor- en nadelen.

4.8.1 Web

Veel van de bestaande oplossingen (zie paragraaf 4.7)zijn gebaseerd op webpagina’s. In dit geval biedt hetmeldpunt een webpagina aan waarmee gebruikers eenmelding kunnen doen. Webpagina’s zijn tegenwoordigerg flexibel (het zijn bijna volwaardige programma’sdie binnen de browser draaien) en bieden daarmee velemogelijkheden voor interactieve meldingen, maar ookvoor niet-interactieve gestructureerde meldingen metuitgebreide vragenlijsten. Juist omdat de mogelijkhe-den zo divers zijn zullen we een aantal kort verder uit-werken.

Er bestaan goede standaarden voor het versleutelenvan webverkeer (SSL/TLS). We gaan er dan ook vanuitdat alle oplossingen alleen via een versleutelde verbin-ding te benaderen zijn. Ook aan de client kant is er delaatste jaren veel vooruitgang geboekt. Alle browsersbieden tegenwoordig een incognito of private modusaan, zodat het aannemelijk is dat er weinig tot geensporen op het systeem van de melder achterblijven.

Voordelen:

• Een website is een concept waar de melder al meebekend is. De melder hoeft zich niet te bekwamenmet een volledig nieuw systeem.• De melder kan gebruik maken van iedere compu-

ter met Internet. Systemen in publieke ruimten(Internetcafé, bibliotheek, etc.) zijn dus ook te ge-bruiken.

Nadelen:

• Het aanbieden van een website behelst een com-plexe combinatie van verschillende elementen dieallemaal correct geconfigureerd moeten worden.Met name webservers zijn dusdanig ingewikkelddat vergaande kennis van het systeem vereist is omzowel directe als indirecte opslag van verkeersge-gevens uit te schakelen.• De veiligheid van een versleutelde verbinding

staat en valt met de controle van de melder. Demelder moet zelf controleren of de versleuteling

in orde is en of de partij waarmee hij communi-ceert ook echt het meldpunt is. Dit vereist enigetechnische kennis. Vooral omdat juist in het gevalvan een aanval eventuele informatie hierover opde pagina’s van het meldpunt uiteraard ook ver-valst wordt.

Webgebaseerd formulier

De oplossing die door veel buitenlandse meldpun-ten wordt aangeboden is een webformulier (zie pa-ragraaf 4.7). De melder beantwoordt een aantalvragen—en is er vaak zelf voor verantwoordelijk geenidentificerende informatie achter te laten.

Een oplossing met een formulier is vrijwel altijd eenma-lig en niet-interactief (zie de webgebaseerde berichten-box hieronder voor een meermalige oplossing), maarhet kan zowel gestructureerd als ongestructureerd zijn.

Voordelen:

• Een van de eenvoudigste websystemen om op tezetten.

Nadelen:

• Het systeem is eenmalig en niet-interactief. Deverwachte kwaliteit van de meldingen is daarmeelager dan wanneer interactie wel mogelijk is.

Webgebaseerd chatten

Een oplossing die wordt aangeboden door een aantalonline hulpdiensten, waaronder het meldpunt kinder-porno16, is een online chatdienst (deze diensten zijnwebgebaseerd, voor ‘echte’ chatdiensten via bestaandechat-oplossingen verwijzen we naar paragraaf 4.8.3).Ook voor een anoniem meldpunt kan een dergelijkedienst ingericht worden. Melders chatten dan met eenmedewerker van het meldpunt.

Deze oplossing is interactief en normaal gesproken een-malig (hoewel meermalige oplossingen altijd denkbaarzijn).

Voordelen:

• Door de interactiviteit van de oplossing is de kwa-liteit van de melding waarschijnlijk hoger dan dievan niet-interactieve oplossingen.

Nadelen:

• Volwassenen typen, naar ervaring van de expertsuit de expertmeeting, te langzaam voor een derge-lijke dienst.

16http://www.meldpunt-kinderporno.nl/

28

Page 29: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Webgebaseerde berichtenbox

De laatste mogelijkheid is een webgebaseerde berich-tenbox. Bij de bestaande oplossingen worden dezevaak gebruikt voor zogenaamde klokkenluiderssites(zie paragraaf 4.7). Klokkenluiders kunnen hier berich-ten en documenten achter laten. Vaak is een voorzie-ning getroffen om later nog vragen te stellen aan deklokkenluider (klokkenluiders ontvangen hiertoe eenspeciale code waarmee ze zich later opnieuw bij hetmeldpunt kunnen identificeren). Echter, de klokkenlui-der moet altijd zelf het initiatief nemen opnieuw in teloggen en deze berichten ook daadwerkelijk te bekij-ken. Dit geldt ook voor de TipSoft WebTips-oplossing.Deze systemen zijn niet-interactief, meermalig en metpassieve terugkoppelmogelijkheid.

Het grote verschil met de formulieroplossing hierbovenis dus de mogelijkheid tot het doen van een meerma-lige melding. Hiertoe ontvangt de melder een specialecode, waarmee hij zich later nogmaals bij het meldpuntkan identificeren.

Voordelen:

• Er is al expertise op dit gebied en de software ver-krijgbaar (in het geval van de klokkenluiderssiteszelf vrij beschikbaar).• Doordat de meldingen meermalig zijn wordt een

functionaliteit mogelijk die lijkt op die van een in-teractieve melding. Deze mogelijkheid is wel be-perkt. Ten eerste is de terugkoppeling passief: demelder zal zelf het initiatief moeten nemen om tecontroleren of er berichten voor hem zijn achtergelaten. Ten tweede zal het in het algemeen langduren (langer dan bij bijv. chatten) voordat hetmeldpunt een reactie ontvangt van de melder.

Nadelen:

• De oplossing is technisch complex.• Doordat meldingen meermalig zijn is de afhande-

ling ervan door het meldpunt een stuk lastiger.• De speciale code moet veilig bewaard worden

door de melder. Ten eerste is deze code nodigom later meer informatie aan het meldpunt te ver-strekken, en ten tweede is het in je bezit hebbenvan de code op zichzelf een risico.• Hoewel de functionaliteit aanwezig is die lijkt op

die van een interactieve melding levert echte inter-actie (binnen één sessie) waarschijnlijk een hogerekwaliteit.

4.8.2 E-mail

Het meldpunt kan een eenvoudige oplossing realiserendoor een e-mailadres te publiceren dat beheerd wordt

door het meldpunt. Melders sturen simpelweg een e-mail met de volgens hun relevante informatie. Een e-mail bevat standaard, meer dan de andere oplossingen,allerlei metadata. Het is daarom belangrijk dat de ont-vangende mailserver aan de kant van het meldpunt aldeze data direct verwijdert.

E-mail biedt normaal gesproken geen confidentialiteitvan de verbinding. Een manier om dit op te lossen isdoor gebruik te maken van versleuteling met bijvoor-beeld PGP. Er zijn reguliere oplossingen beschikbaarvoor de verschillende besturingssystemen. Daarnaastkan PGP eventueel—de veiligheidsimplicaties hiervanzijn niet te analyseren binnen deze quickscan—in eenwebbrowser worden geïntegreerd.17 In alle gevallendient het meldpunt een publieke sleutel beschikbaar testellen, zodat melders meldingen kunnen versleutelenvoor ontsleuteling door de juiste ontvanger.

Er is een onderscheid te maken tussen een lokale e-mailclient (deze zal vrijwel altijd gekoppeld zijn aanhet e-mailadres van de melder) en een online webmail-client (hier kan de melder er voor kiezen om een nieuwanoniem e-mailadres aan te maken). In het tweede ge-val is het gebruik van PGP wel een stuk lastiger.

Een e-mailoplossing is niet-interactief. Ze kan eenmaligof meermalig (met eventueel actieve terugkoppeling)zijn afhankelijk van de inrichting.

Voordelen:

• De melder kan een online webmailclient met eenspeciaal nieuw e-mailadres gebruiken voor extraanonimiteit. In dit geval is zelfs meermalige com-municatie met terugkoppeling mogelijk zodat deoplossing bijna interactief is.• Als er geen versleuteling gebruikt wordt is dit een

eenvoudig te begrijpen concept.• Als er correcte versleuteling (d.w.z. met een vei-

lig algoritme en voldoende lange sleutels) gebruiktwordt is de confidentialiteit van de berichten gega-randeerd.

Nadelen:

• Als er geen versleuteling gebruikt wordt is de in-houd voor iedere tussenliggende mailserver lees-baar.• Voor het installeren van versleutelsoftware is be-

heertoegang nodig tot de machine.• Als wel versleuteling gebruikt wordt is er een groot

risico op misconfiguratie van de PGP-client danwel het versturen van onversleutelde e-mail.• Als er meermalige communicatie met terugkoppe-

ling plaats vindt moet ook de melder een sleutel-paar genereren, wat op zich weer risico op iden-

17bijv. WebPG, https://webpg.org

29

Page 30: Haalbaarheid van een anoniem internetmeldpunt - quickscan

tificeerbaarheid en misconfiguratie met zich meebrengt.• Als versleuteling gebruikt wordt kan de aanwezig-

heid van de daartoe te gebruiken software een hintzijn voor de omgeving dat een melding is gedaan.• Als versleuteling wordt gebruikt kan de aanwezig-

heid van een sleutelpaar voor het meldpunt eenduidelijke aanwijzing zijn voor het doen van eenmelding.

4.8.3 Chat

Het gaat hier om het gebruiken van bestaande chat-oplossingen (zoals bijvoorbeeld Google Talk, IRC,Skype, en Jabber). Een website die een directe chat-functionaliteit biedt met het meldpunt valt onder para-graaf 4.8.1. De gebruiker maakt gebruik van zijn be-staande chat-oplossing, en communiceert daarmee methet meldpunt dat een chat-account publiek beschikbaarheeft gemaakt.

Het meldpunt zorgt er voor dat lokaal geen logs op-geslagen worden van de chat-sessies en dat na afloopalle contactgegevens verwijderd worden. Als de meldereen nieuw chat-account aanmaakt (vergelijkbaar meteen nieuw e-mailaccount) kan de het meldpunt lateropnieuw contact opnemen met de melder. Een chat-oplossing is daarmee interactief, meermalig en met ac-tieve terugkoppeling.

Voordelen:

• Deze oplossing is interactief, met als gevolg waar-schijnlijk een melding van hogere kwaliteit.• De gebruiker kan gebruik maken van zijn be-

staande chat-oplossing.• Het is waarschijnlijk makkelijker een initiële op-

lossing op te zetten.

Nadelen:

• Vrijwel altijd is het nodig een apparaat van de mel-der te gebruiken. Publieke systemen staan instal-latie van chatclients vaak niet toe.• De communicatie verloopt via andere servers. In

de meeste chatprotocollen betekent dit dat decommunicatie via één of meerdere (de)centraleservers verloopt die niet allen onder het beheervan de stichting vallen. (Meta-)informatie kanhier dus achterblijven, geanalyseerd en eventueelopgevraagd worden.• De communicatie is niet altijd/overal versleuteld.

Afhankelijk van het protocol is de communicatieniet versleuteld, of kan die op z’n minst op eencentrale server gelezen worden. Dit risico is af tevangen door het gebruik van een oplossing als Off-the-Record (OTR) Messaging [15] die end-to-end

encryptie garandeert. Dit maakt het gebruik ech-ter wel veel ingewikkelder, met name omdat nietalle clients OTR ondersteunen en/of dit standaardaanbieden.• Vrijwel alle chatapplicaties slaan de gevoerde ge-

sprekken op. Na het doen van een melding moetde melder deze opgeslagen gesprekken verwijde-ren. Ook moet het meldpunt weer uit de contac-tenlijst verwijderd worden.• Afhankelijk van het chatprotocol heeft het meld-

punt veel tot weinig controle over welke informa-tie op de server achterblijft—met name informatiedie de melder kan identificeren is extra kwetsbaar.

4.8.4 App

Een andere methode om gebruikers een melding te la-ten doen is via een smartphone applicatie. Deze appli-catie zorgt er voor dat op een veilige manier verbindinggemaakt kan worden met het meldpunt, zonder dat erop de telefoon informatie achter blijft. Zie bijvoorbeeldde WebSubmit Mobile applicatie in paragraaf 4.7 alsvoorbeeld.

Het is mogelijk de applicatie zo in te richten dat zo-wel interactieve communicatie als eenweg communi-catie met al dan niet gestructureerde formulieren mo-gelijk zijn. Omdat de applicatie vertrouwd is, is hetzelfs mogelijk om meerweg-communicatie met actieveterugkoppeling mogelijk te maken.

Voordelen:

• Er is veel controle over de omgeving waarbinnende applicatie draait en welke informatie naar bui-ten prijsgegeven wordt. Dit voorkomt veel van deproblemen die optreden met eerder genoemde op-lossingen. In het bijzonder zou Tor geïntegreerdkunnen worden in de applicatie waardoor de com-municatie niet langer observeerbaar is.• Het is een bekend concept voor gebruikers en

zorgt daarmee voor veel gebruiksgemak.• In het geval van meermalige meldingen kan er een

koppeling opgezet worden met het apparaat vande gebruiker om zo terugkoppeling of meermaligemelding mogelijk te maken zonder dat de meldereen speciale code hoeft te onthouden.

Nadelen:

• Het vereist altijd een apparaat dat in bezit is vande gebruiker.• Het vereist een smartphone en veroorzaakt veel

ontwikkelwerk omdat voor meerdere platformeneen veilige applicatie ontwikkeld moet worden.• De aanwezigheid van de applicatie verraad het ge-

bruik ervan. Het is lastig achteraf de applicatie

30

Page 31: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Tabel 4.1: Samenvatting van de mogelijke communica-tievormen gegeven een oplossing. Alle oplossingen zijnmeervoudig te maken. De kolom terugkoppeling geeft aanof het mogelijk is voor het meldpunt om contact op te ne-men met de melder.

Interactief Terug-koppeling

Websiteformulier nee, gestructureerd geenchatten ja geenberichtenbox ja passief

E-Mail nee, ongestructureerd actiefChatten ja actiefApp ja actief

grondig te verwijderen zodanig dat er geen sporenachterblijven. Dit kan opgelost worden door dezeapplicatie onderdeel te maken van een andere ap-plicatie waarvan de installatie algemeen geaccep-teerd is, zoals bijvoorbeeld de Amber Alert app.• Als (actieve) terugkoppeling wordt gebruikt is dit

een risico voor de gebruiker, zijn apparaat zou danlater aan de melding gekoppeld kunnen worden.

4.9 Toetsing

In deze paragraaf zullen we de hiervoor besprokentechnische oplossingen, de communicatie vormen ende gegeven criteria met elkaar vergelijken.

4.9.1 Communicatievorm versus crite-rium

We beginnen met een aantal algemene observaties overde invloed die de verschillende communicatievormenhebben op de criteria.

• Meermalige oplossingen, en dan met name diemet een terugkoppelmogelijkheid, leveren extragrote risico’s op ten aanzien van de anonimiteitvan de gebruiker, zijn technisch complexer om uitte voeren en lastiger voor de gebruiker (immersde koppeling moet aan de kant van de gebruikergemaakt worden).• Oplossingen met actieve terugkoppeling zijn bij-

zonder risicovol omdat er een directe koppelingnaar de melder voor handen is.• Bij de keuze tussen interactieve oplossingen en

meermalige oplossingen wordt dan ook de voor-keur gegeven aan de eerste.

• De verwachte kwaliteit van een melding is hogerbij een interactieve oplossing (of een meermaligeoplossing met terugkoppeling).• Eenmalige, niet-interactieve communicatievor-

men zijn technisch eenvoudiger in te richten, hoe-wel er wel zorgvuldig met de ingestuurde data om-gegaan moet worden.

4.9.2 Oplossingsrichting versus commu-nicatievorm

In tabel 4.1 geven we een samenvatting van welke com-municatievormen mogelijk zijn met welke geschetstetechnische oplossing. In het algemeen geldt dat ie-dere oplossing, zelfs een webformulier, uitgebreid kanworden tot een meermalige oplossing (bijv. doordat demelder extra informatie aan een melding toevoegt).Daarom geven we in tabel 4.1 alleen weer of de op-lossing interactief of niet-interactief is en welke vormvan terugkoppeling mogelijk is. Dit wil overigens nietzeggen dat het gebruiken van een meermalige oplos-sing met terugkoppeling veilig of aan te raden is.

4.9.3 Oplossingsrichting versus criterium

Tabel 4.2 toetst de geschetste oplossingsrichtingen aande gegeven criteria. We geven per criterium aan hoetot deze scoring gekomen is:

Onobserveerbaarheid Tenzij Tor gebruikt wordt iscommunicatie altijd observeerbaar, zie para-graaf 4.6.1. Daaruit volgt een negatieve beoorde-ling voor alle oplossingen, behalve voor de app,waar Tor direct in de applicatie geïntegreerd kanworden. Als Tor wel gebruikt wordt is de onobser-veerbaarheid ook goed voor alle web oplossingen.Bij de e-mail en chat-oplossingen helpt Tor niet, enblijft de onobserveerbaarheid slecht.

Confidentialiteit Bij alle oplossingen behalve chattenen e-mail garandeert een versleutelde verbindingconfidentialiteit. Bij chatten en e-mail is dat in the-orie ook mogelijk, maar de verwachting is dat veelmelders dit niet goed kunnen toepassen.

Anonimiteit in de eindpunten Bij chatten en e-mailkan de gebruiker eenvoudig een fout maken bijhet gebruik—waardoor bijvoorbeeld verzondenberichten of logs achterblijven. Ook is het lastigom metadata van mail- en chatservers te verwijde-ren. Daarnaast moet bij chatten een externe partijvertrouwd worden. Voor webgebaseerde oplossin-gen geldt dat de anonimiteit in de eindpunten overhet algemeen redelijk gewaarborgd kan worden.

18Dit geldt alleen als het installeren van de app op zichzelf nietverdacht meer is, bijvoorbeeld omdat de applicatie is ingebed in eenniet-verdachte applicatie.

31

Page 32: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Tabel 4.2: Scoring van oplossingsrichtingen versus criteria. Mogelijke waarderingen: −, +/− en +. Hierbij betekent een+ dat een oplossing beter is, dat wil zeggen, een hoge anonimiteit biedt, technisch eenvoudig is, een hoog gebruiksgemakkent, of een kwalitatief goede meldingen op zal leveren.

Anonimiteit m.b.t. de verbinding

Onobser- Confiden- Anonimiteit in Technische Gebruiksgemak Kwaliteitveerbaarheid tialiteit de eindpunten eenvoud gebruiker melding

Websiteformulier − + +/− +/− +/− +/−chatten − + +/− − + +berichtenbox − + +/− − +/− −

E-Mail − − − +/− − −Chatten − − − +/− − +App + + +/−18 − + +

De grootste risico’s zijn onoplettende gebruikers(waardoor confidentialiteit in het geding kan ko-men) en een ingewikkelde oplossing aan de kantvan het meldpunt. Bij een app is risico van mis-bruik door de gebruiker beter te minimaliseren.

Technische eenvoud Deze vloeit direct voort uit de bijde oplossingen gegeven voor- en nadelen.

Gebruiksgemak gebruiker Hoewel e-mail en chat opzich makkelijk te gebruiken zijn is het veilig ge-bruik ervan dat niet. In het bijzonder vallen demetadata van e-mailverkeer onder de datareten-tiewet, zie ook paragraaf 5.3.1. Dit verklaart delage score voor deze twee. In het algemeen zijnde app en de website makkelijk te gebruiken, weverwachten dat de gebruiker een voorkeur zal ge-ven aan de interactieve oplossingen die gebodenworden door de webchat en de app.

Kwaliteit melding In het algemeen verwachten wedat de kwaliteit van een melding hoog zal zijnbij interactieve oplossingen: webchatten, chattenen app. Verder verwachten we dat de meerma-lige niet-interactieve oplossingen e-mail en berich-tenbox niet voldoende mogelijkheden bieden omkwalitatieve informatie uit te vragen. De uitzon-dering hierop is een webformulier dat gericht in-gezet kan worden voor bepaalde meldingen (denkaan hennepplantages), waar de vraagstelling vante voren al bekend is.

32

Page 33: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Hoofdstuk 5

Juridische aspecten

In dit hoofdstuk worden de voor- en nadelen van ano-niem melden via het Internet belicht vanuit juridischperspectief. Hierbij ligt de nadruk op de positiefrech-telijke aspecten, dat wil zeggen welke rechtsregels re-levant zijn. De meer abstracte normatieve aspecten,die ook een juridische component hebben, zijn al eer-der aan bod geweest (in hoofdstuk 3. Het hoofdstukbeoogt een overzicht op hoofdlijnen te geven van rele-vante juridische aspecten, waarbij we vooral ingaan oponderdelen waarbij mogelijk verschillen bestaan tussenhet bestaande telefonische meldpunt en een eventueelop te zetten Internet-meldpunt.

5.1 Verwerking van persoonsgege-vens

Misdaadmeldingen zullen meestal persoonsgegevensbevatten, hetzij van een slachtoffer hetzij (wat bij ano-nieme meldingen vaak het geval kan zijn) van een ver-moedelijke of vermeende dader. (Persoonsgegevensvan de melder worden, als de anonimiteit van het sys-teem goed werkt, niet verwerkt.) Het meldpunt is, alsde instantie die het doel en de middelen van de ver-werking van de meldingen bepaalt, de verantwoorde-lijke voor de verwerking van deze persoonsgegevens enmoet dus voldoen aan de verplichtingen van de Wetbescherming persoonsgegevens (Wbp).1 Het CBP heeftde verwerking van persoonsgegevens in anonieme mel-dingen bij Stichting Meld Misdaad Anoniem als recht-

1Wanneer de meldingen later worden doorgegeven aan de politie,worden de gegevens politiegegevens en moet de verwerking voldoenaan de Wet politiegegevens. Er is overigens discussie mogelijk ofde meldingen aan een anoniem misdaadmeldpunt niet van begin afaan al politiegegevens zijn, nu de definitie daarvan luidt ‘elk gegevenbetreffende een geïdentificeerde of identificeerbare natuurlijke per-soon dat in het kader van de uitoefening van de politietaak wordtverwerkt’ (art. 1 onder a Wet politiegegevens). Ook al wordt eenmeldpunt door een private instantie beheerd, kan een misdaadmeld-punt mogelijk worden gezien als een onderdeel van de politietaak.Wij gaan niet verder op deze discussie in, omdat het College Bescher-ming Persoonsgegevens (CBP) bij Stichting M. ervan uit is gegaan dathet telefonische misdaadmeldpunt onder de Wbp valt, en een Inter-netmeldpunt in dit opzicht gelijk behandeld zou moeten worden alseen telefonisch meldpunt.

matig beoordeeld, omdat er sprake is van een legitiemegrondslag (een belang dat zwaarder weegt dan het pri-vacybelang van betrokkenen, art. 8 onder f Wbp), be-trokkenen vanwege de aard van het meldpunt niet ge-ïnformeerd kunnen worden, en inzage- en correctie-rechten nauwelijks van belang zijn aangezien de gege-vens te kort door het meldpunt worden verwerkt [8].Aannemend dat een Internetmeldpunt dezelfde zorg-vuldigheidsnormen betracht als Stichting M., en dat demeldingen niet langer dan een paar dagen bij het meld-punt blijven opgeslagen, zal de verwerking van per-soonsgegevens door het meldpunt even rechtmatig zijnals bij een telefonisch meldpunt.

Een kanttekening daarbij is dat wanneer zou blijken dathet Internetmeldpunt veel meer meldingen krijgt danhet telefonische meldpunt, en/of als de gemiddeldekwaliteit van de meldingen veel lager is, de belangen-afweging anders kan uitvallen: de verwerking van per-soonsgegevens zou dan relatief ernstiger zijn voor be-trokkenen (onterechte beschuldigingen) terwijl het pu-bliek belang van de melding relatief kleiner zou zijn(minder wezenlijke bijdrage aan de opsporing). Datheeft gevolgen voor de legitieme grondslag. Bij te veelmeldingen en/of te lage gemiddelde kwaliteit, biedt ar-tikel 8 onder f Wbp geen grondslag meer en is een an-dere grondslag nodig. Dat betekent hetzij een wette-lijke basis voor het meldpunt waarbij expliciet de be-heerder van het meldpunt wordt aangewezen (grond-slag artikel 8 onder c Wbp) hetzij het meldpunt on-derbrengen bij een bestuursorgaan (artikel 8 onder eWbp).

5.2 Context van anonimiteit in hetstrafrecht

In dit rapport gaan we niet uitgebreid in op de dis-cussie over de rol van anonieme verklaringen in hetstrafrecht, maar beperken we ons tot het wijzen op deglobale context hiervan. Anonieme verklaringen in hetstrafrecht staan op gespannen voet met het recht opeen eerlijk proces. De verdediging moet bewijs kunnen

33

Page 34: Haalbaarheid van een anoniem internetmeldpunt - quickscan

aanvechten, en daarvoor is het belangrijk om een ge-tuige te kunnen ondervragen tijdens de terechtzittingover zijn verklaring. Dergelijke ondervraging is lastigals de getuige anoniem is. In de jaren ’80 en ’90 was erveel discussie over dit spanningsveld.2 Inmiddels zijnde contouren van het gebruik van anoniem getuigenbe-wijs wel uitgekristalliseerd, passend in een internatio-nale tendens dat het gebruik van anoniem getuigenbe-wijs steeds verder wordt genormaliseerd [22].

Het Wetboek van Strafvordering erkent drie vormenvan min of meer anoniem bewijs: de verklaring van eenbedreigde getuige afgelegd bij de rechter-commissaris,de verklaring van een beperkt anonieme getuige ende schriftelijke verklaring van een anoniem geblevengetuige [11, p. 4]. Bij de eerste twee vormen is deidentiteit van de getuige niet bekend bij de verdachtemaar is de getuige wel bekend bij justitie zodat dezeondervraagd kan worden via de rechter-commissaris ofde zittingsrechter. Voor de context van dit rapport isde derde vorm het meest relevant: ‘een schriftelijk be-scheid houdende de verklaring van een persoon wiensidentiteit niet blijkt’ (art. 344a lid 3 Sv), oftewel deverklaring die een anonieme getuige bij de politie ofelders heeft afgelegd; een dergelijke verklaring kan al-leen voor het bewijs worden gebruikt als er ‘in belang-rijke mate steun’ is in andersoortig bewijsmateriaal enals de verdediging niet te kennen geeft de persoon tewillen (doen) ondervragen (art. 344a lid 3 Sv). Derechter zal de betrouwbaarheid van de verklaring, diedus alleen als steunbewijs kan dienen, moeten moti-veren in het vonnis [11, p. 6]. In de praktijk blijkt deverklaring van (bedreigde) anonieme getuigen over hetalgemeen weinig bruikbare informatie te bevatten voorhet bewijs [11, p. 4]. Als bewijsmateriaal heeft eenanonieme verklaring daarom maar beperkt nut, maareen anonieme verklaring kan wel waardevol zijn alssturingsinformatie voor het opsporingsonderzoek [11,p. 6 en 8].

Ondanks de beperkingen van (beperkt) anonieme ver-klaringen als bewijs, stimuleert het beleid sinds en-kele jaren wel het doen van (beperkt) anonieme aan-gifte. Binnen het programma Veilige Publieke Taak(VPT) zijn ter verhoging van de aangiftebereidheid in-formatiebladen ontwikkeld voor werkgevers, werkne-mers en getuigen/slachtoffers, waarin mogelijkhedenvan (deels) anonieme aangifte worden uitgelegd.3 Zokan een werknemer aangifte doen op naam met domi-ciliekeuze (waarbij wel de naam wordt geregistreerdmaar een ander correspondentieadres wordt opgeno-men, zodat het woonadres onbekend blijft) of aangiftedoen onder nummer, waarbij een uniek nummer wordt

2Zie EHRM 20 november 1989, Kostovski t. Nederland, App.nr.11454/85 (dat de Nederlandse praktijk van anonieme getuigenver-klaringen als onrechtmatig beoordeelde), de daaropvolgende Wet ge-tuigenbescherming, Stb. 1993, 603 en de kritiek op de op die wetgebaseerde uitspraken van Garé [12].

3Kamerstukken II 2011/12, 28 684, nr. 344, p. 6.

toegekend en de identiteit en het feitelijke adres vande werknemer alleen bekend zijn bij het Slachtoffer-loket van de politie. De werknemer kan dan wel, zonodig, worden verhoord of opgeroepen om bij de rech-ter de aangifte toe te lichten, maar de identiteit kandan worden afgeschermd (via videoconferentie, ver-momming of stemvervorming, als de rechter dat toe-staat), zodat verdachte en diens advocaat de identiteitniet leren kennen [23]. Voor getuigen van agressie inde zorgsector die deze vormen van (gedeeltelijke) ano-nimiteit niet voldoende vinden en die echt anoniemwillen blijven, verwijst het beleid naar Stichting M.:‘Deze landelijke meldlijn is niet van de politie, maarvan een onafhankelijke stichting. Er werkt een kleinteam van zeer goed opgeleide mensen met maar ééndoel voor ogen: uw anonimiteit beschermen. M. biedteen vangnet voor als u wel wilt melden, maar niet be-kend wilt worden’ [32]. Dit geeft tegelijkertijd aan datde bestaande vormen om anonimiteit bij aangifte in hetstrafproces te faciliteren, uitgaan van gedeeltelijke enophefbare anonimiteit en niet, zoals bij het meldpuntin onderhavige studie, van zo sterk mogelijke anonimi-teit. Het nut van anoniem (Internet)melden moet danook alleen worden gezocht in het verkrijgen van start-of sturingsinformatie voor de opsporing en niet (ook)in de eventuele bewijswaarde van meldingen. Een aan-dachtspunt in dat licht is, zoals uit de voor dit onder-zoek gehouden expertworkshop naar voren kwam, datburgers die misdaad anoniem melden vaak denken datze een belangrijke bijdrage aan het ‘oplossen’ van demisdaad leveren en zich meestal niet realiseren dat hunmelding niet bruikbaar is als bewijs; verwachtingsma-nagement bij potentiële melders is daarom een belang-rijk aandachtspunt bij de profilering van het meldpunt.

5.3 Juridische mogelijkheden omidentiteit van melders te ach-terhalen

Voor zover anonimiteit technisch niet absoluut kanworden afgedwongen en er dus een zekere mogelijk-heid bestaat om de identiteit van een melder te achter-halen, is het relevant te kijken welke juridische moge-lijkheden er zijn om de anonimiteit van een melder tedoorbreken. We maken daarbij onderscheid tussen po-litie/justitie, andere overheidsdiensten en private par-tijen.

5.3.1 Politie en justitie

Het meest relevant is de vraag onder welke omstandig-heden politie of justitie de identiteit van een anoniememelder zou kunnen achterhalen. Vier typen bevoegd-

34

Page 35: Haalbaarheid van een anoniem internetmeldpunt - quickscan

heden zijn daarvoor van belang. Ten eerste het onder-scheppen van communicatie. We nemen aan dat depolitie het meldpunt zelf niet zal willen afluisteren (endat de rechter-commissaris daar in elk geval geen toe-stemming voor zal geven), maar het is mogelijk dat ereen tap loopt op iemand die een melding doet. Bij hettelefonisch meldpunt is de afspraak gemaakt dat er eentechnische voorziening wordt getroffen om te voorko-men dat in zo’n situatie het gesprek met het meldpuntwordt opgenomen: via nummerherkenning wordt het0800-nummer van het meldpunt herkend en dan wordthet gesprek automatisch uitgefilterd [29]; dit is verge-lijkbaar met de technische regeling die bij advocaten isgetroffen (zie Bongers et al. [4]).

Een dergelijke oplossing om het tappen van een mel-ding te voorkomen is relatief eenvoudig bij een tele-foontap, maar mogelijk ingewikkelder bij Internet. EenInternettap kan bestaan uit een e-mailtap (waarbij alleingaande en/of uitgaande e-mail van een bepaald IP-adres of e-mailadres wordt getapt) of een IP-tap (waar-bij al het IP-verkeer wordt getapt en vervolgens uitge-filterd). Om het automatisch herkennen en filteren vaneen bericht aan het meldpunt te faciliteren, moet hetmeldpunt daarom in elk geval een vast e-mailadres ofIP-adres gebruiken. Of een dergelijke filtering bij eenInternettap zo kan worden geconfigureerd dat de inte-griteit van de Internettap als geheel niet wordt gecom-promitteerd, kan binnen het bestek van deze quicks-can niet worden onderzocht; dat is een aandachtspuntvoor nader onderzoek. Indien een filtering op basis vannummerherkenning niet mogelijk is, kan filtering welplaatsvinden in de fase van analyse en selectie van hetIP-verkeer, maar daarbij bestaat het risico dat de mel-ding wordt gelezen. In dat geval zijn organisatorischemaatregelen nodig die voorkomen dat de politie kennisneemt van de inhoud van de melding, waarbij selec-tie en filtering van IP-verkeer door een andere instantiedan de politie plaatsvindt, maar dat past niet goed bin-nen de huidige opzet van IP-taps. Hoewel het risico dater een IP-tap loopt bij iemand die een anonieme mel-ding doet klein is, moet dit punt wel afgedicht worden,bij voorkeur via een technische oplossing van automa-tische filtering via nummerherkenning van het IP- ofe-mailadres.

Het tweede type bevoegdheid is het vorderen van ge-gevens. Vooral belangrijk is het vorderen van ver-keersgegevens (art. 126n/u/zh Sv). Bij het telefonischmeldpunt is een regeling getroffen waarbij de politie inzeer uitzonderlijke gevallen verkeersgegevens kan op-vragen, bijv. wie er met het meldpunt heeft gebeld.Volgens artikel 5.1 van de Aanwijzing opsporingsbe-voegdheden4 is hiervoor toestemming nodig van hetCollege van Procureurs-Generaal (CPG) na advies vande Centrale Toetsingscommissie; volgens de Instructie

4Staatscourant 2011, 3240.

Meld Misdaad Anoniem van het CPG mogen verkeers-gegevens betreffende het meldpunt alleen worden op-gevraagd in situaties van onmiddellijk dreigend levens-gevaar, waarbij de gegevens alleen mogen gevorderdals de inlichtingen nodig zijn om het desbetreffende le-ven te redden [9][3, p. 35]. Volgens Boes [3, p. 36] istussen 2005 en 2009 vijf maal een verzoek ingediendom verkeersgegevens over het meldpunt te mogen vor-deren en is in geen van deze gevallen het verzoek ge-honoreerd.

In plaats van verkeersgegevens te vorderen betreffendehet meldpunt, kan het ook voorkomen dat een contactmet het meldpunt voorkomt bij verkeersgegevens dieover een persoon worden gevorderd, als die persoon inde voorkomende periode met het meldpunt heeft ge-beld. Ook op die situaties is de Instructie Meld Mis-daad Anoniem van toepassing en moet de procedurevan CTC-advies en toestemming van het College vanProcureurs-Generaal worden gevolgd. De Instructiestelt: ‘Ook indien in een lopend opsporingsonderzoekaan de hand van verkeersgegevens of een tap blijkt dateen persoon met M. heeft gebeld, dient deze instruc-tie te worden gevolgd’ [9, p. 2]. Het is niet helemaalduidelijk wat dit betekent: het gaat dan immers nietmeer om toestemming om het verkeersgegeven te mo-gen vorderen en daarmee de identiteit van een melderte achterhalen; in dit geval heeft de politie het gege-ven al. Vermoedelijk betekent het dat de politie hetverkeersgegeven alleen mag gebruiken nadat de beno-digde toestemming is verkregen, in een acuut levens-bedreigende situatie. Praktisch betekent dit dat wan-neer het telefoonnummer van het meldpunt in een lijstmet gevorderde gegevens voorkomt, dit verwijderd zoumoeten worden, om te voorkomen dat het gegeven ineen politiebestand terecht komt en onverhoopt alsnogergens voor wordt gebruikt. De Instructie meldt echterniets over vernietiging als er geen toestemming wordtgevraagd of verkregen. Ons is niet bekend hoe in depraktijk met deze situatie wordt omgegaan.

Voor een meldpunt via Internet kan dezelfde lijn wor-den gevolgd als bij het telefonisch meldpunt; de Aan-wijzing opsporingsbevoegdheden en de Instructie MeldMisdaad Anoniem zouden simpelweg uitgebreid kun-nen worden met een verwijzing naar het Internetmeld-punt. Er zijn wel twee relevante verschillen tussenInternet en telefonie. Ten eerste bepaalt de Wet be-waarplicht telecommunicatiegegevens5 dat verkeersge-gevens betreffende vaste en mobiele telefonie gedu-rende één jaar moeten worden bewaard door de tele-comaanbieder, terwijl verkeersgegevens betreffende In-ternet (Internettoegang, e-mail, Internettelefonie) zesmaanden moeten worden bewaard. Vooral van belangis dat alleen bij e-mail de contactadressen (wie mailtmet wie) bewaard worden; bij andere vormen van In-

5Stb. 2009, 333, aangepast bij wet van 6 juli 2011, Stb. 2011, 350.

35

Page 36: Haalbaarheid van een anoniem internetmeldpunt - quickscan

ternetverkeer (zoals chat of webformulieren) valt hetadres niet onder de bewaarplicht. Om de situatie tevoorkomen dat via een vordering verkeersgegevens be-treffende een persoon naar voren zou komen dat dezepersoon (of preciezer: diens aansluiting) contact heeftgehad met het meldpunt, kan dus beter een configu-ratie via web, webchat, instant messaging of een appworden gekozen dan een configuratie via e-mail. Daar-bij moet wel weer worden aangetekend dat verkeers-gegevens betreffende web-, chat- of appgebruik wel be-waard kunnen worden door de aanbieder op basis vandiens bedrijfsbelang, ook al vallen ze niet onder de be-waarplicht, en dat het theoretisch mogelijk is dat eenaanbieder dergelijke gegevens langer dan zes maan-den bewaart als het bedrijfsbelang dat rechtvaardigt.Dat zal in de praktijk vermoedelijk nauwelijks het ge-val zijn.

Ten tweede is relevant dat het onderscheid tussen ver-keersgegevens en inhoud van communicatie moeilij-ker te maken is bij Internet dan bij telefonie. Zoalseen recente analyse van dit onderscheid van Koops enSmits [18] aantoont, is het weliswaar bij bepaalde toe-passingen nog steeds mogelijk om de verkeersgegevenstechnisch te onderscheiden van de inhoud, maar wordtdie scheiding allengs moeilijker naarmate er een gro-tere variëteit aan snel veranderende Internetprotocol-len komt. Bovendien geven verkeersgegevens, zeker ineen Internetomgeving, steeds meer zicht op de (somsletterlijke en soms globale) inhoud van communicatie.Koops en Smits [18, p. 146] concluderen dan ook datverkeersgegevens behorende bij Internet (met uitzon-dering van e-mail) integraal onder het juridische be-schermingsregime van inhoud van communicatie zou-den moeten vallen, omdat ze er onlosmakelijk mee ver-knoopt of anderszins even gevoelig van aard zijn. Nu isdit punt minder van belang, zolang de Instructie maarvan toepassing is op alle gevallen waarin verkeersge-gevens worden gevorderd, en ook wordt nageleefd ingevallen waarin bij verkeersgegevens die over een per-soon worden gevorderd contactgegevens met het meld-punt omvatten.

Naast verkeersgegevens kunnen ook andere gegevensworden gevorderd waaruit de identiteit van een melderzou kunnen blijken (art. 126nc/uc/zk en volgende Sv).Daarvan zijn geen voorbeelden uit de praktijk bekend.Het telefonisch meldpunt vernietigt aantekeningen vangesprekken direct na het gesprek [3, p. 34], wat ver-moedelijk betekent direct nadat de aantekeningen ver-werkt zijn in een melding die wordt doorgegeven danwel zodra besloten wordt de melding niet door te zet-ten. In de korte tijd dat de aantekeningen van gesprek-ken wel voorhanden zijn, kan de politie deze in theorievorderen; naar de geest van de wet zou daarop ook deInstructie van toepassing moeten zijn, hoewel de letterniet over deze vorm van gegevensgaring spreekt (vgl.[3, p. 36]).

Hetzelfde geldt voor het derde type bevoegdheid: door-zoeking en inbeslagneming. De Instructie heeft geenbetrekking op doorzoeking van het Meldpunt, maar wemogen aannemen dat die er wel op van toepassing zoumoeten zijn, en dat geldt evengoed voor een eventueelop te zetten Internetmeldpunt waarop de aangepasteInstructie van toepassing zou worden. Dat de Instruc-tie ook op dit soort situaties van toepassing wordt, isbelangrijk voor een Internetmeldpunt, aangezien daar-bij, anders dan bij het telefonische meldpunt, meer spo-ren achterblijven. Het vernietigen van sporen van chatsof webmeldingen is ingewikkelder dan het vernietigenvan aantekeningen in een papierversnipperaar. Met fo-rensische software kunnen sporen van uitgewiste gege-vens op harde schijven worden achterhaald; om dezemogelijkheid uit te sluiten zouden meldpuntmedewer-kers voor de vernietiging van chats, webmeldingen enaantekeningen ook gespecialiseerde software moetengebruiken. Aangezien het wissen van sporen technischeen uitdaging is (zie par. 4.6.6), bestaat er enig risicodat de politie, indien zij per se de identiteit van eenmelder zouden willen achterhalen, doorzoeking doetbij het meldpunt en computers in beslag neemt om fo-rensisch onderzoek te doen. Dit onderstreept het be-lang van het van toepassing maken van de Instructieop alle opsporingshandelingen, inclusief vorderen vangegevens en doorzoeking.

Belangrijk is verder dat in het kader van een door-zoeking of inbeslagneming elders dan bij het Meld-punt zelf ook informatie boven water kan komen overeen melding. Zo kan bij een doorzoeking de compu-ter onderzocht worden van iemand die contact heeftgehad met het meldpunt, waarbij—afhankelijk van deconfiguratie—sporen van dat contact in de computerachtergebleven zijn (denk aan tijdelijke Internetbestan-den of verwijderde chatlogs die met forensische pro-grammatuur te traceren zijn). Wat ons betreft is dezesituatie vergelijkbaar met de situatie waarin de politievia verkeersgegevens erachter komt dat iemand contactmet het meldpunt heeft gehad—een situatie waaropals boven geconstateerd de Instructie van toepassing is(hoewel onduidelijk is wat dit in de praktijk betekent).De Instructie zou in dat licht generiek van toepassingmoeten zijn niet alleen op een eventueel op te zet-ten Internetmeldpunt naast het telefonische meldpunt,maar ook op alle handelingen waarbij de politie gege-vens verkrijgt over contact met het meldpunt, ongeachtde precieze bevoegdheid die is uitgeoefend. Het maaktvoor de anonimiteitsopheffing immers niet uit of dezevia een tap, gegevensvordering, doorzoeking of anders-zins plaatsvindt; in alle gevallen is er bij anonimiteits-opheffing immers een afbreukrisico van het anoniememeldpunt als hulpmiddel in de opsporing (vgl. [9]).

Het vierde type ten slotte is het oproepen van getuigen:theoretisch is denkbaar dat de politie een medewerkervan het meldpunt oproept om te getuigen in een straf-

36

Page 37: Haalbaarheid van een anoniem internetmeldpunt - quickscan

zaak, waarbij de medewerker verplicht zou zijn om teantwoorden op vragen rond de identiteit van een mel-der. (De medewerker heeft immers geen beroepshalveverschoningsrecht, noch een verschoningsrecht op ba-sis van zelfbelasting van zichzelf of een naaste.) ZoalsBoes [3, p. 36] aangeeft, is het echter onmogelijk bijhet meldpunt M. te achterhalen wie precies welke mel-ding heeft opgenomen (tenzij dit wellicht binnen eenof twee etmalen na de melding bij een opvallende zaakgebeurt, maar bij getuigenoproepen zal er veel meertijd zitten tussen de melding en de getuigenverklaring).Ook hiervoor geldt onzes inziens dat de Instructie vantoepassing zou moeten zijn, ook in het geval van eenInternetmeldpunt.

In aanvulling op deze bespreking van bevoegdhedenmoet nog worden opgemerkt dat, waar de Instructie oppapier een heldere keuze maakt om anonimiteit alleenin uitzonderlijke, levensbedreigende situaties te kun-nen opheffen, er aanwijzingen zijn dat de politie in depraktijk toch regelmatig druk uitoefent op medewer-kers van het meldpunt om achter de identiteit van eenmelder te komen, een enkele keer zelfs door te dreigenmet gijzeling. Hoewel dergelijke druk van de politie inde voor dit onderzoek gehouden expertworkshop een‘gezonde spanning’ werd genoemd, bestaat er een aan-zienlijk risico voor de anonimiteit als de medewerkersvan het meldpunt niet stevig genoeg in hun schoenenstaan. Dit is van belang indien bij een Internetmeld-punt aanzienlijk meer meldingen zouden binnenkomendie door aanzienlijk meer medewerkers zouden wor-den behandeld; de medewerkers zouden op dit puntgoed geïnformeerd en getraind moeten worden. Min-stens zo belangrijk lijkt ons training van politiemede-werkers om de geest van de Instructie Meld MisdaadAnoniem ook tussen de oren van de politie op de werk-vloer te krijgen.

Op basis van de bespreking van opsporingsbevoegd-heden kunnen we constateren dat er weinig relevanteverschillen zijn, in juridisch opzicht, tussen een telefo-nisch en een Internetmeldpunt. Onderzocht zou moe-ten worden of bij een Internettap automatisch de com-municatie met een Internetmeldpunt afdoende wegge-filterd kan worden, zoals dat bij de telefoontap mo-menteel wordt beoogd. Vanuit het oogpunt van da-taretentie heeft een Internetmeldpunt, in het bijzon-der de configuraties die niet via e-mail werken, zelfsde voorkeur boven een telefonisch meldpunt, omdat erminder sporen van het contact tussen melder en meld-punt (verplicht) worden opgeslagen, die via een vorde-ring aan de communicatieaanbieder over het commu-nicatieverkeer van de gebruiker bij de politie terechtzouden kunnen komen. Die situatie valt weliswaar on-der de Instructie, zodat de gegevens alleen in levens-bedreigende situatie ter levensredding mogen wordengebruikt, maar ons is niet bekend of in de praktijk gege-

vens worden vernietigd als het niet levensbedreigendesituaties betreft.

5.3.2 Overige overheidsinstanties

Hoewel de politie het meeste belang lijkt te hebbenom in incidentele gevallen de identiteit van een mel-der te achterhalen, kunnen ook andere overheidsdien-sten een dergelijk belang hebben—denk aan de AIVD,de Belastingdienst, de gemeente of sociale zekerheids-diensten. In het kader van deze quickscan is het nietmogelijk om de bevoegdheden van al deze diensten inkaart te brengen. Wat we wel kunnen zeggen is dat debevoegdheden van de AIVD als vastgelegd in de Wet opde inlichtingen- en veiligheidsdiensten 2002 zeer ruimzijn, en dat deze dienst bijvoorbeeld via aftappen (art.25 Wiv 2002), hacken (art. 24 Wiv 2002) of het opvra-gen van verkeersgegevens (art. 28 Wiv 2002) informa-tie kan verkrijgen over wie een melding gedaan heeft.Voor zover ons bekend bestaat er voor inlichtingen- enveiligheidsdiensten (ivd’s) geen soortgelijke instructieals die voor politie en justitie geldt, die aangeeft datalleen in acuut levensbedreigende situaties anonimiteitmag worden opgeheven. Deze diensten zouden dus,in juridisch opzicht, alle tot hun beschikking staandebevoegdheden kunnen gebruiken om in voorkomendegevallen de identiteit van een melder te achterhalen.Het is niet bekend in welke praktijksituaties de dienstendaar daadwerkelijk belang bij zouden hebben en vanhun bevoegdheden gebruik zouden maken. Hoewelwij niet verwachten dat de wetenschap dat ivd’s ano-nimiteit zouden kunnen doorbreken in het algemeeneen verkillend effect zou hebben op de bereidheid vanburgers om misdaad te melden, gaat het niet om eenpuur theoretisch risico voor anonimiteitsdoorbreking:denkbaar is bijvoorbeeld dat een jongere die zijn vrien-dengroep langzaam ziet radicaliseren en plannen hoortvan sommigen om naar Syrië te reizen, geen meldingzal doen bij een anoniem meldpunt, uit vrees voor so-ciale uitstoting of ergere represailles indien zijn identi-teit via de AIVD onverhoopt achterhaald en bekend zouworden. Aangezien gegevens ontbreken over situatieswaarin ivd’s anonimiteit van melders (zouden willen)doorbreken, is het moeilijk om het risico van anonimi-teitsdoorbreking, en een mogelijk verkillend effect opmelders, in dit opzicht in te schatten.

Voor andere overheidsdiensten geldt dat deze welis-waar als bestuursorganen aanzienlijke bevoegdhedenhebben om inlichtingen of bescheiden te vorderen,maar geen aftapbevoegdheden hebben en ook geenspecifieke bevoegdheid om verkeersgegevens te vorde-ren. Het risico van anonimiteitsdoorbreking door an-dere overheidsdiensten is navenant kleiner dan bij ivd’sen lijkt ons geen rol te spelen in de afweging over eenInternetmeldpunt.

37

Page 38: Haalbaarheid van een anoniem internetmeldpunt - quickscan

5.3.3 Private partijen

Private partijen mogen geen communicatie aftappen(wat strafbaar is onder art. 139c Wetboek van Straf-recht). Wel mag een telecomaanbieder (van de melderof het meldpunt) rechtmatig de inhoud van commu-nicatie inzien als dat noodzakelijk is voor technischecontrole van de dienstverlening, maar het risico datdaardoor de communicatie tussen melder en meldpuntwordt afgetapt is verwaarloosbaar.

Private partijen mogen wel verzoeken om inzage ingegevens. Denkbaar is dat een private partij die be-trokken is bij de zaak waaromtrent een anonieme mel-ding is gedaan, de identiteit van de melder zou wil-len achterhalen. Zij zouden dan bij de telecomaanbie-der van het meldpunt verkeersgegevens kunnen opvra-gen. Telecomaanbieders maken dan een belangenaf-weging tussen het belang van de verzoeker om gege-vens in te zien en het belang van de betrokkene (demelder) om de gegevens afgeschermd te houden. Inde enigszins vergelijkbare situatie waarin een bena-deelde een Internethostingaanbieder vraagt om NAW-gegevens of andere beschikbare identificerende gege-vens te leveren van degene die hem (naar zijn mening)heeft benadeeld (bijvoorbeeld door een smadelijke ui-ting), moet de aanbieder adresgegevens verstrekken alsde inhoud aannemelijkerwijs onrechtmatig is, de ver-zoeker een belang heeft bij de identificerende gegevensen deze niet op een andere manier kunnen wordenachterhaald, en de belangenafweging in het voordeelvan de verzoeker uitvalt.6 Nu zal in het geval van eenanoniem Internetmeldpunt de belangenafweging vrij-wel altijd in het voordeel van de anonieme melder uit-vallen. Nu er een normatief kader ligt waarbij de po-litie alleen in acuut levensbedreigende situaties identi-ficerende gegevens van een melder mag opvragen, zo-dat in de publiekrechtelijke belangenafweging vrijwelaltijd het belang van de anonieme melder prevaleert,zal in de privaatrechtelijke belangenafweging alleen ineven uitzonderlijke—levensbedreigende—situaties hetbelang van de verzoekende partij zwaarder wegen.Dergelijke situaties zijn moeilijk voorstelbaar, zodat hetjuridische risico van anonimiteitsopheffing door privatepartijen ook als verwaarloosbaar klein kan worden ge-zien. Een voorwaarde daarvoor is echter wel dat detelecomaanbieder van het meldpunt, die de belangen-afweging maakt, geheel doordrongen is van het norma-tieve kader dat geldt voor de politie en van het grotebelang van anonimiteit van melders; dit zou met voor-lichting, maar wellicht ook contractueel of via een ge-dragscode, kunnen worden bewerkstelligd.

6HR 25 november 2005 (Lycos/Pessers),ECLI:NL:HR:2005:AU4019.

5.4 Aansprakelijkheidsrisico’svoor het meldpunt

Indien de anonimiteit van een melder onverhooptwordt doorbroken en deze daardoor schade lijdt (bij-voorbeeld omdat zij moet verhuizen of ontslagenwordt), kan het meldpunt of de politie dan aanspra-kelijk worden gesteld? Dat zal afhangen van de juridi-sche status en de reikwijdte van het meldpunt (bij eenoverheidsmeldpunt in het kader van de publiekrechte-lijke taak van misdaadbestrijding ligt het aansprakelijk-heidsrisico lager dan bij een privaat meldpunt betref-fende maatschappelijke misstanden). Verder hangt hetvooral af de manier waarop de identiteit bekend raakten de mate van (on)zorgvuldigheid die in acht is ge-nomen om de anonimiteit te waarborgen. We mogenaannemen dat het meldpunt veel moeite doet (zoweltechnisch als organisatorisch) om de anonimiteit vanmelders te waarborgen; alleen als medewerkers vanhet meldpunt aanmerkelijk nalatig zijn (bijvoorbeelddoor aantekeningen van gesprekken bij het oud papierop straat te zetten), bestaat er een zeker aansprakelijk-heidsrisico. Gezien de gevoeligheid van de anonimiteitvan misdaadmelders, rust er wel een relatief grote ver-antwoordelijkheid op het meldpunt en haar medewer-kers om zorgvuldig om te gaan met meldingen en omtechnische, organisatorische en mogelijk ook juridischemaatregelen te treffen om het risico op het bekend ra-ken van de identiteit van melders zo klein mogelijk tehouden. Dat zal voor een Internetmeldpunt op zichniet anders zijn dan voor het telefonische meldpunt.Wel is van belang dat aansprakelijkheidsrisico’s toene-men naarmate er meer meldingen worden gedaan ofmeldingen een ruimer scala aan gedragingen dan ern-stige misdrijven zouden betreffen; mocht een Internet-meldpunt door laagdrempeligheid leiden tot een sig-nificante toename aan meldingen, dan zou het aan-sprakelijkheidsrisico groter kunnen worden en zouden(nog) zwaardere maatregelen nodig zijn om het risicoop identiteitsdoorbreking van melders zo klein moge-lijk te houden.

Wel moet erop worden gelet, afhankelijk van de ge-kozen configuratie, dat de gegevens die een melderaanlevert —indien deze worden overgenomen in eenmelding die vervolgens aan de politie of andere afne-mers wordt gestuurd—geen (direct of indirect) iden-tificerende gegevens bevat. Bij het telefonisch meld-punt zit er een natuurlijke vertaalslag tussen het ver-haal van de melder en wat de medewerker opschrijftin de melding; bij een Internetmeldpunt zou de verlei-ding kunnen bestaan om teksten van de melder recht-streeks te kopiëren in een melding, waarbij het risicovan (ook indirect) identificerende gegevens groter is.Zoals al in technische analyse (zie par. 4.2.3) is opge-merkt, zou het systeem zodanig moeten worden inge-richt dat er geen dataverkeer mogelijk is tussen de ter-

38

Page 39: Haalbaarheid van een anoniem internetmeldpunt - quickscan

minal waarop informatie zichtbaar is en het systeemwaarin de uiteindelijke melding gemaakt wordt. Ver-der zijn strakke procedures zoals Stichting M. die han-teert, bijvoorbeeld om elke melding door een anderemedewerker te laten tegenlezen op potentieel identifi-cerende informatie, evenzeer belangrijk voor een Inter-netmeldpunt.

Vanuit juridisch oogpunt valt te overwegen om de zorg-vuldigheid van de omgang met meldingen te versterkendoor de technisch-organisatorische maatregelen ook ju-ridisch te verankeren, bijvoorbeeld door een verwijzingin het arbeidscontract met medewerkers naar zorgvul-digheidsnormen en de te volgen procedures voor zorg-vuldige omgang met meldingen, die bijvoorbeeld ineen gedragscode zijn vastgelegd. Dat is niet alleenvan belang voor medewerkers die meldingen opnemen,maar vooral ook voor de systeembeheerder van een In-ternetmeldpunt, die uit de aard van de functie meermogelijkheden heeft om de IP-afkomst van een mel-ding te traceren. Door verwijzing naar de gedragscodein het arbeidscontract (of anderszins een adequate be-kendmaking onder werknemers) zal de open norm vanhet goed werknemerschap (art. 7:611 Burgerlijk Wet-boek) worden ingekleurd door de verplichting zich tehouden aan de gedragscode, wat kan bijdragen aan denaleving ervan op de werkvloer. Juridische (contrac-tuele) verankering van technische of organisatorischegedragsnormen om anonimiteit te waarborgen is daar-naast noodzakelijk wanneer de verwerking of opslagvan meldingen extern zou worden uitbesteed, bijvoor-beeld op een server in een datacentrum of in de cloud,waarbij externe partijen toegang hebben tot de server.

5.5 Hoeveelheid, kwaliteit en rolvan meldingen vanuit juri-disch perspectief

Een van de onderzoeksvragen betreft de te verwach-ten gevolgen van anoniem melden via Internet voor dehoeveelheid en kwaliteit van meldingen en de rol vananonieme meldingen in de opsporing. Vanuit juridischperspectief valt weinig te zeggen over de te verwach-ten hoeveelheid of kwaliteit van Internetmeldingen—er zijn geen juridische normen die het voor burgersmeer of minder aantrekkelijk maken om misdaad viahet Internet in plaats van via de telefoon te melden.Als we aannemen, op basis van het interview en deworkshop, dat een Internetmeldpunt laagdrempeligerkan zijn dan een telefonisch meldpunt en dat daardoorde hoeveelheid meldingen toeneemt (en wellicht nave-nant de gemiddelde kwaliteit afneemt), welke gevol-gen heeft dit dan voor de rol van meldingen in de op-sporing?

Zoals geconcludeerd in paragraaf 5.2 over de con-text van anonimiteit in het strafrecht, worden MeldMisdaad Anoniem-meldingen niet gebruikt als bewijs,maar als start- of sturingsinformatie. Anonieme mel-dingen mogen volgens de jurisprudentie worden ge-bruikt om een opsporingsonderzoek te starten (dan welom een lopend onderzoek nader richting te geven). Devraag is vooral of op basis van een anonieme meldingeen redelijke verdenking (dat wil zeggen een redelijkvermoeden van schuld aan een strafbaar feit) mag wor-den aangenomen, wat de drempel is om bepaalde op-sporingsbevoegdheden, zoals een doorzoeking, te mo-gen inzetten. De jurisprudentie eist meestal dat de po-litie enig aanvullend onderzoek doet om de informatieuit de melding te verifiëren. De eisen aan dit aanvul-lend onderzoek kunnen echter verschillen, afhankelijkvan bijvoorbeeld de urgentie of de aard van de mel-ding; Brinkhoff concludeert (voorzichtig) op basis vanjurisprudentieonderzoek dat bijvoorbeeld bij vuurwa-pens de mogelijke gevaarzetting groter en de drempelvoor aanvullend onderzoek lager is dan bij een meldingvan de aanwezigheid van drugs [5]. Het enkele feit dateen melding tot spoed noopt, is echter niet voldoendeom zonder nader onderzoek een redelijke verdenkingaan te nemen.7 Brinkhoff [5] concludeert echter dat‘over het algemeen weinig eisen worden gesteld aanhet nadere onderzoek. De redelijke verdenking wordtbetrekkelijk snel aangenomen. Als deze lijn zich voort-zet, is het denkbaar dat de facto een enkele melding bijde M-lijn voldoende is voor de aanname van de rede-lijke verdenking. Hiermee zou ons inziens in dit soortzaken sprake zijn van een uitholling van het begrip re-delijke verdenking. Dat dit onwenselijk is, behoeft wei-nig betoog. Immers het enkele feit dat een burger bij deM-lijn een anonieme melding doet over een andere bur-ger, wat er ook zij van de juistheid van deze informatie,rechtvaardigt in mijn ogen niet ogenblikkelijk de inzetvan een dwangmiddel of de start van een strafrechtelijkonderzoek. Hier is wel degelijk aanvullend onderzoekvoor nodig.’

Het is moeilijk te voorspellen wat de gevolgen zoudenzijn van een eventuele toename in hoeveelheid meldin-gen bij oprichting van een anoniem Internetmeldpunt.Enerzijds kan het gevolg zijn dat de politie zoveel mel-dingen krijgt waar iets mee zou moeten gebeuren, dater te weinig tijd en capaciteit is om nader onderzoekte doen, zodat het risico bestaat dat de tendens dieBrinkhoff schetst wordt voorgezet: de enkele meldingvan een schijnbaar ernstig feit zou dan al voldoendezijn voor de politie om in actie te komen. Dat zou hetsysteem van het strafrecht, waarbij de redelijke verden-king, gebaseerd op feiten en omstandigheden, als start-punt van opsporingsonderzoek een dragende pijler is,onder druk zetten.

7HR 13 juli 2010, ECLI:NL:HR:2010:BM2492.

39

Page 40: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Anderzijds zou het gevolg kunnen zijn dat in de groterehoeveelheid meldingen meer kaf tussen het koren zit,dat het meldpunt zelf niet altijd goed zal kunnen filte-ren, en dat de politie zich genoodzaakt voelt om scher-per te selecteren en meldingen te verifiëren met aanvul-lend materiaal, omdat anders de waarde van anoniememeldingen te sterk zou verwateren. Ook is denkbaardat, als de politie in meer zaken opsporing zou star-ten enkel gebaseerd op een anonieme melding, en zichhierbij bijvoorbeeld een aantal zaken van pertinent on-rechtmatige opsporing zou voordoen, de rechter strak-ker zal controleren op de rol van anonieme startinfor-matie en een wat zwaardere invulling zou gaan gevenaan het criterium van aanvullende informatie.

Hoe ook precies tussen deze twee mogelijkheden de rolvan anonieme meldingen in de opsporing zich zou ont-wikkelen, moeten in elk geval ook een aantal moge-lijke neveneffecten een rol spelen bij de afweging aldan niet een anoniem Internetmeldpunt op te zetten.Beleidsmakers moeten zich realiseren dat, als het eer-ste scenario werkelijkheid zou worden van een over-belast politieapparaat dat wegens tijdgebrek meer af-gaat op anonieme meldingen zonder nadere controle,het risico toeneemt op schadeclaims van burgers dieslachtoffer zijn geworden van onrechtmatige opspo-ringshandelingen. Zo zou een burger die anoniem on-terecht wordt beschuldigd van kindermisbruik, zich ge-dwongen kunnen voelen te verhuizen omdat hij sociaalwordt uitgestoten vanwege het opsporingsonderzoek,ook al hebben politie en justitie achteraf kenbaar ge-maakt dat het onderzoek op onterechte informatie wasgebaseerd. In dergelijke gevallen waarbij de politie on-voldoende moeite heeft gedaan om de anonieme mel-ding na te trekken, is een succesvolle onrechtmatige-daadsactie tegen de overheid niet denkbeeldig. Ver-der betekent de verwachte laagdrempeligheid van In-ternetmeldingen dat het niet alleen makkelijker wordtvoor burgers om misdaad te melden, maar ook om an-dere dingen te doen (in het verlengde van een moge-lijke ‘klikcultuur’ waarop we in het volgende hoofdstuknader ingaan). Zo wijst Brinkhoff (2008) erop dat deoncontroleerbaarheid van anonieme meldingen

‘kan leiden tot misbruik van de M-lijn in diezin dat onder meer het risico bestaat dat op-zettelijk valse informatie wordt doorgegeven.Denk hierbij bijvoorbeeld aan de anoniemebeller die een ander om wat voor een redendan ook een hak wil zetten en daarom be-wust onware informatie doorgeeft. In het ge-val deze valse melding op de vindplaats van(vuur)wapens ziet, zal de politie zonder veelnader onderzoek snel tot actie willen over-gaan. Denk bij het gevaar voor misbruik ookaan criminelen die uit concurrentieoverwe-gingen (valse) informatie over andere crimi-nelen doorgeven aan de M-lijn, teneinde een

ingrijpen van de politie uit te lokken. Voortsbestaat de niet geheel theoretische mogelijk-heid dat de politie misbruik zal maken vande M-lijn. Te denken valt hierbij bijvoorbeeldaan het door opsporingsambtenaren van deCriminele Inlichtingen Eenheid (CIE) meldenvan informatie bij de M-lijn ter afschermingvan een informant.’

Deze neveneffecten van potentieel misbruik van eenlaagdrempeliger Internetmeldpunt moeten worden on-derkend en nadrukkelijk betrokken bij de beleidsafwe-ging om al dan niet een dergelijk meldpunt op te zet-ten. Er valt vanuit dit perspectief het nodige voor tezeggen om een Internetmeldpunt niet (substantieel)laagdrempeliger te maken dan het telefonische meld-punt. Met name pleit het punt van mogelijk misbruikook voor configuraties waarbij er interactie tussen mel-der en meldpunt plaatsvindt, omdat het risico van valsemeldingen, zwartmakingen en witwassen van informa-tie door de politie groter is bij eenrichtingsconstructiesals een webformulier dan bij tweerichtingsverkeer alseen chatmodaliteit.

40

Page 41: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Hoofdstuk 6

Organisatorische aspecten

Zoals we in hoofdstuk 4 hebben gezien geeft de tech-nische inrichting van een Internet gebaseerd meldpuntgrote invloed op de anonimiteit van de melder en demeldingen, alsmede de kwaliteit van de uiteindelijkemeldingen die doorgegeven worden aan de afnemers.Maar niet alleen de techniek is van belang: ook de or-ganisatorische inrichting van het meldpunt speelt eenrol. In dit hoofdstuk gaan we hier kort op in. De or-ganisatorische analyse is beduidend minder diepgaanddan de technische, juridische en normatieve analyse.Dit is gelegen in het feit dat de relevante organisato-rische issues die invloed hebben op een Internet geba-seerd meldpunt niet wezenlijk anders zijn dan de issuesdie invloed hebben op een telefonisch meldpunt. Webeschrijven hier daarom enkel de relevante verschillen.

Het waarborgen van de anonimiteit van de melder ende meldingen is een onderdeel van het in algemene zingaranderen van de veiligheid van het ingerichte meld-punt. Hiervoor is een goede keuze voor een technischeinrichting een noodzakelijke maar niet voldoende voor-waarde. Juist het operationeel beheer over het systeemis van cruciaal belang om de veiligheid te garanderengedurende de vele jaren dat het systeem operationeelzal zijn.

6.1 Institutionele inbedding

Zoals al in een eerder hoofdstuk is beargumenteerd(ondermeer paragraaf 3.4) heeft de keuze om het te-lefonisch meldpunt onder te brengen bij een privatepartij (in casu Stichting M.) bepaalde consequenties.Het is dus van belang de keuze voor een publieke danwel private inrichting van het Internetmeldpunt op ba-sis van weloverwogen argumenten te maken. De keuzevoor een private partij betekent dat publieke waardenzoals de rechtsbescherming e.a. op een andere manierbeschermd moeten worden, en dat de overheid hieropstrak moet toezien.

6.2 Beheer

Een fundamentele keuze die het meldpunt hierin moetmaken is de vraag of zij het beheer over de technischeinrichting in eigen beheer uitvoert (als zij zelf fysiek deinrichting onder haar hoede heeft, zie 4.2.3), of uitbe-steedt aan een derde partij.

In het eerste geval is het van groot belang dat het sys-teembeheer de juiste kennis en kwaliteiten in huis heeftom een dergelijk systeem te beheren en onderhouden.Het is belangrijk daarin te onderkennen dat het sys-teem speciaal voor het meldpunt zal zijn ontworpen,waardoor er qua beheer nog geen ervaring is opgedaanin eerdere situaties. Daarnaast stelt het systeem, van-wege de aard van haar functie specifieke eisen aan hetbeheer om de veiligheid, en dan specifiek de anonimi-teit, te garanderen. Belangrijk is in deze context bij-voorbeeld de vraag hoe men omgaat met het vernieti-gen van meldingen en daaraan gerelateerde data, enandere informatie die het systeem gedurende het ver-werken van meldingen bewaart.

Kiest het meldpunt ervoor om het beheer onder te bren-gen bij een derde partij (wat ook mogelijk is als het sys-teem zelf binnen de muren van het meldpunt is gesitu-eerd), dan is het van groot belang duidelijke afsprakenover het beheer, en de garanties die de beherende partijhier op geeft, vast te leggen in een zogenaamde ServiceLevel Agreement (SLA).

Welke keuzes hierin ook gemaakt worden, het is be-langrijk dat helder is wie verantwoordelijk is voor detechnische waarborging van de anonimiteit.

Zoals ook al eerder is opgemerkt (hoofdstuk 2) heeftStichting M. voor het telefonisch meldpunt zowel decomputersystemen als de telefonie geoutsourced aanPink Elephant [25]. Hierbij wordt zelfs de mogelijk-heid geboden voor medewerkers om thuis te werken.Deze benadering is in onze ogen risicovol.

41

Page 42: Haalbaarheid van een anoniem internetmeldpunt - quickscan

6.3 Audits

Onafhankelijk van de keuze voor uitbesteden dan welbeheer in eigen beheer dient het systeem regelmatiggeaudit te worden. Dergelijke audits dienen door eengekwalificeerde externe partij uitgevoerd te worden.Deze audit moet de hele keten van het meldproces, in-clusief het beheer en de organisatie, bestrijken. Juistede koppeling met de afnemers van de meldingen (opdit moment via Meldnet) en de manier waarop eenmelding ’aan de voorkant’ binnenkomt hebben groteinvloed op de veiligheid en betrouwbaarheid van hetsysteem. Ook de expertmeeting onderschreef de nood-zaak van zulke audits.

6.4 Personeel en werkomgeving

Integriteit van de personele bezetting van het meld-punt is van cruciaal belang. Het meldpunt Kinderpornoscreent bijvoorbeeld alle nieuwe medewerkers en traintdeze intern. Het is verboden eigen apparatuur mee tenemen naar het meldpunt, en er wordt gewerkt metvaste werkstations (geen laptops). Het meldpunt kin-derporno heeft er voor gekozen deze werkstations zelfdoor het eigen systeembeheer te laten onderhouden.Schoonmakers, tenslotte, zijn alleen welkom als er ookreguliere medewerkers aanwezig zijn.

6.5 Kosten/baten analyse

Een belangrijke afweging in de keuze al dan niet eenInternetmeldpunt in te richten is de vraag hoeveel denoodzakelijke investering in zo’n meldpunt oplevert.

Zowel over de kosten als over de baten is slechts inalgemene zin iets te zeggen. Uit de technische analysein hoofdstuk 4 volgt dat een Internetmeldpunt niet meteen standaard software pakket ingericht kan worden.Het gaat om een apart te ontwikkelen systeem dat aanhoge anonimiteitseisen moet voldoen. De verwachtingis dan ook dat de ontwikkel- en beheerskosten hoogzullen zijn. Cijfers uit andere landen zijn vanwege defundamenteel andere insteek van meldpunten aldaar(zie 4.7) niet echt maatgevend.

De te verwachten opbrengsten zijn zo mogelijk nog las-tiger in te schatten, zoals al eerder op verschillendeplekken in dit rapport is opgemerkt. De verwachtingheerst dat een Internetmeldpunt tot veel meer ano-nieme meldingen kan leiden. De specifieke inrichtingvan een Internetmeldpunt is echter van grote invloedop de bruikbaarheid van de meldingen. Tenslotte heefteen mogelijke toename van het aantal meldingen eneen andere kwaliteit van die meldingen weer zijn in-

vloed op het gebruik van die meldingen bij de opspo-ring en in het strafrechtelijke proces, wat mogelijk totminder (in plaats van meer) succesvolle strafzaken kanleiden.

6.6 Invoeringsstrategie

Op dit moment is er enige onduidelijkheid over de kwa-liteit van de meldingen en daarmee over de effectiviteitvan het meldpunt (zie 2.1). Zo zijn alleen cijfers be-kend over het gebruik van meldingen bij de politie, enniet voor de overige afnemers. Voor een verantwoordeinvoering van Internet als een nieuw kanaal zou hetgoed zijn als een gedegen en breed gedragen analysevan de effectiviteit van het huidige telefonische meld-punt beschikbaar is. Tegen deze baseline kan vervol-gens de effectiviteit van het Internet als nieuw kanaalvervolgens afgezet worden. Op basis van deze gege-vens kunnen vervolgens goed onderbouwde beslissin-gen genomen worden over het uitbouwen dan wel te-rugschroeven van het Internet als meldkanaal.

Onafhankelijk hiervan verdient het aanbeveling om hetInternet als nieuw kanaal geleidelijk in te voeren, bij-voorbeeld door deze te beperken tot het melden vanbepaalde vormen van misdaad. Het is belangrijk demogelijkheid te hebben een stap terug te doen als blijktdat het kanaal niet voldoet (in termen van anonimiteit,kwaliteit en effectiviteit).

In de expertmeeting werd nog de parallel getrokkenmet de oprichting van 112 en de hausse van meldin-gen die deze dienst in het begin te verwerken kreeg:die ebde na 3 maanden weg. Het is van belang omdit in het achterhoofd te houden als na het openen vaneen Internetmeldpunt een vergelijkbare sprong in mel-dingen optreedt. Er moet niet te snel aan de noodremgetrokken worden.

42

Page 43: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Hoofdstuk 7

Conclusies

In ons onderzoek hebben wij gepoogd antwoord te krij-gen op de vraag of het technisch, juridisch en organi-satorisch mogelijk is om de anonimiteit van melders tegaranderen bij meldingen via Internet. Daarnaast heb-ben wij onderzocht wat de mogelijke voor- en nadelenvan melden via Internet zijn voor (1) de hoeveelheiden kwaliteit van de meldingen en (2) voor de rol diedeze meldingen spelen in de strafvordering en in hetmaatschappelijk verkeer. Omdat het hier een quicks-can betreft zijn de antwoorden vrij algemeen van aard,en heeft het onderzoek vooral een aantal nieuwe vra-gen voor diepgaander onderzoek opgeleverd. Desal-niettemin zijn er in grote lijnen een aantal relevanteconclusies te trekken. Deze zijn geordend volgens deoorspronkelijke onderzoeksvragen (zie voor de subvra-gen paragraaf 1.1.1):

1. In hoeverre is het haalbaar om de anonimiteit vanmelders te garanderen bij meldingen via Internet,vanuit technisch, juridisch en organisatorisch per-spectief?

2. Welke zijn, op technisch, juridisch en organisato-risch vlak, de mogelijke of verwachte voor- en na-delen van anoniem melden via Internet?

7.1 Haalbaarheid garanderen ano-nimiteit Internetmeldpunt

Ten aanzien van de haalbaarheid om de anonimiteitvan melders te garanderen bij meldingen via Internetzijn de volgende conclusies te trekken.

Een technisch voldoende veilige inrichting van een In-ternetmeldpunt is geen sinecure. Een aantal verschil-lende partijen heeft belang bij, en de mogelijkheid om,de identiteit van een melder te achterhalen. Denk hier-bij aan personen in de directe omgeving van de mel-der, personen en (criminele) organisaties die het on-derwerp zijn van meldingen, en ook de opsporingsdien-sten.

Over de mogelijke technische inrichting van een In-ternetmeldpunt, de mate van bescherming die deze

biedt en de mogelijke nadelen die daar aan verbon-den zijn, concluderen wij het volgende. Vanuit tech-nisch perspectief is er een duidelijk verschil tussen eenInternetmeldpunt en een telefonisch meldpunt. Van-wege het open karakter van het Internet is het lastigom de communicatie tussen melder en meldpunt ano-niem (i.e. onobserveerbaar) te maken. Anonimimise-ringssoftware zoals Tor kan hier in theorie tegen be-schermen maar is in de praktijk te complex om voorde gemiddelde gebruiker te adviseren. Dat betekentdat de anonimiteit van de melder niet voldoende gega-randeerd kan worden. Daarnaast zal een gemiddeldegebruiker ongewild sporen achterlaten, en is ook devernietiging van gegevens aan de kant van het meld-punt een punt van zorg. Interactiviteit tussen melderen meldpunt is essentieel voor een kwalitatief goedeen voldoende anonieme melding. Van alle geïdenti-ficeerde oplossingsrichtingen (we verwijzen hiervoornaar paragraaf 4.8) voldoet een web-gebaseerde chattoepassing of een smartphone app nog het meest aande gestelde eisen. Maar ook hier is de technische com-plexiteit hoog en is, zoals hierboven al gezegd, de ga-rantie van anonimiteit sub-optimaal. Vanwege de hogecomplexiteit verwachten wij dat de kosten voor het in-richten van zo’n Internetmeldpunt ook hoog zullen zijn.Concrete cijfers zijn hier echter nier over te geven, van-wege het gebrek aan vergelijkbare systemen.

Vanuit juridisch perspectief is het verschil tussen In-ternetmeldpunt en een telefonisch meldpunt mindergroot. De Wet bescherming persoonsgegevens vormtgeen belemmering. We verwachten dat de verwer-king van persoonsgegevens door een Internetmeldpunteven rechtmatig is als bij het telefonisch meldpunt. DeWet bewaarplicht telecommunicatiegegevens vormt en-kel een risico voor een Internetmeldpunt op basis vane-mail. Alleen voor e-mail legt de wet een bewaar-plicht van 6 maanden op t.a.v. gegevens over wie metwie communiceert. Het onderscheppen van commu-nicatie (het ’tappen’) door opsporingsdiensten is eenrisico voor een Internetmeldpunt, omdat een techni-sche voorziening om dit ten aanzien van het meldpuntte voorkomen lastiger lijkt te organiseren voor een In-ternettap dan voor een telefonische tap. Wat betreft

43

Page 44: Haalbaarheid van een anoniem internetmeldpunt - quickscan

aansprakelijkheidsrisico’s zien wij geen noemenswaar-dige verschillen tussen een Internetmeldpunt en eentelefonisch meldpunt. Wel ligt het aansprakelijkheids-risico bij een door een private partij ingericht meld-punt hoger. Een goede maatregel zou zijn om de In-structie Meld Misdaad Anoniem van het College vanProcureurs-Generaal zou ook van toepassing te latenzijn voor een Internetmeldpunt, en op alle vormen vanopsporingsonderzoek, inclusief doorzoeking en het vor-deren van gegevens.

In organisatorische zin is het grootste verschil tusseneen Internetmeldpunt en een telefonisch meldpunt, datde verhoogde technische complexiteit van een Inter-netmeldpunt een hoger kennisniveau van de hele or-ganisatie vereist. Beheer wordt complexer, en als deinfrastructuur geoutsourced wordt is juist het toezichthierop complexer. Regelmatige audits zijn een essenti-ële maatregel om de anonimiteit te blijven garanderen.

Als we kijken naar de combinatie van technische, ju-ridische en organisatorische mogelijkheden en obsta-kels voor de anonimiteit van meldingen via Internet,dan valt op dat vooral de technische inrichting van eenmeldpunt dat de anonimiteit van de melder afdoendebeschermd een uitdaging is.

7.2 Voor- en nadelen van een In-ternetmeldpunt

Ten aanzien van de mogelijke of verwachte voor- ennadelen van anoniem melden via Internet zijn de vol-gende conclusies te trekken.

Over de te verwachten hoeveelheid meldingen die viaeen Internetmeldpunt binnen kunnen komen is weinigte zeggen. Vergelijkbare interactieve systemen zoals wedie in dit rapport voorstaan en die dezelfde mate vananonimiteit garanderen zijn nog niet eerder ontwikkelden in de praktijk toegepast.

Ten aanzien van de kwaliteit van de meldingen geldtdat de inrichting van het Internetmeldpunt hierop vangrote invloed is. Zoals hierboven reeds vermeld geldtvoor de technische inrichting dat interactiviteit tussenmelder en meldpunt essentieel is voor een kwalitatiefgoede en voldoende anonieme melding. Als er vooreen dergelijke inrichting van een Internetmeldpunt ge-kozen wordt verwachten wij geen daling van de kwali-teit van de meldingen.

Over de rol van anonieme meldingen in de opsporinglegt onze analyse bloot dat een laagdrempelig Inter-netmeldpunt tot ongewenste neveneffecten kan leiden.Te denken valt aan schadeclaims en onrechtmatige-daadsacties tegen de overheid, of dat de rechter van-wege de lage kwaliteit van de meldingen zwaarder in-

vulling kan gaan geven aan het criterium van aanvul-lende informatie.

Ten aanzien van de rol van anonieme meldingen in hetmaatschappelijk verkeer blijkt uit de normatieve ana-lyse dat er een risico bestaat bij een meldpunt van func-tion creep, zowel voor wat betreft het type misstandendat wordt gemeld als voor het gebruik buiten de opspo-ring van anonieme meldingen die in politiebestandenterechtkomen. In een klimaat waarin politiële databan-ken op tamelijk intransparante wijze ook voor anderedoeleinden dan opsporing worden ingezet, is het be-langrijk om terughoudend te zijn met het voeden vanpolitiële databanken met ongecontroleerde informatie.Dit pleit voor terughoudendheid bij het faciliteren vananonieme meldingen.

7.3 Overwegingen

Onze quickscan heeft, naast bovenstaande conclusies,ook een aantal onzekerheden en meer fundamentelevragen naar boven gebracht. Veel is nog onduidelijk,vooral wat betreft de kosten en het aantal te verwach-ten meldingen via een Internetmeldpunt. Nadere stu-die ter beantwoording daarvan is gewenst voordat on-omkeerbare stappen in de richting van een Internet-meldpunt worden gezet. We willen de volgende over-wegingen graag aan de lezer meegeven.

• Om de meerwaarde van een Internetmeldpunt ob-jectief te kunnen vergelijken met de huidige si-tuatie, is het aan te raden een onafhankelijke enbreed gedragen nulmeting te doen aangaande dekwaliteit en bruikbaarheid van de meldingen diehet telefonisch meldpunt oplevert. Bestaand on-derzoek over de kwaliteit van de meldingen vanhet bestaande telefonisch meldpunt is beperkt totde bijdragen aan het werk van de politiële opspo-ring, en wordt betwist door het meldpunt.• Nader onderzoek naar een specifieke inrichting

van een Internetmeldpunt, met een risicoanalysedie dieper gaat dan in het bestek van deze quicks-can gemaakt kon worden, vinden wij gewenst.Hierbij zou ook een onderzoek naar de te verwach-ten kosten meegenomen moeten worden.• Gezien het risico van function creep bij een Inter-

netmeldpunt is eerst een bredere reflectie nodig opde vraag voor welk soort meldingen een anoniemmeldpunt bedoeld is en of het wenselijk is dat mel-dingen ter beschikking worden gesteld aan derdenen ook gebruikt worden voor doeleinden buiten deopsporing en vervolging van strafbare feiten. Ge-streefd zou moeten worden naar het opstellen vaneen proportionaliteitstoets dienaangaande.

44

Page 45: Haalbaarheid van een anoniem internetmeldpunt - quickscan

• Daarnaast zou ook beargumenteerd moeten wor-den of een Internetmeldpunt door een publiekedan wel private partij ingericht moet worden.• Tenslotte lijkt het ons inziens verstandig om, als

de vraag of een Internetmeldpunt überhaupt wen-selijk is positief is beantwoord, eerst met een be-perkte pilot te beginnen om de animo voor eenInternetmeldpunt beter in te kunnen schatten.

45

Page 46: Haalbaarheid van een anoniem internetmeldpunt - quickscan

46

Page 47: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Bibliografie

[1] Kai Biermann. http://blog.zeit.de/open-data/2012/07/30/daten-technik/bezocht op 5 januari 2014.

[2] Blauw Research: Evaluatie pilot Meld Misdaad An-oniem. Eindrapportage. Blauw Research, Rotter-dam, 2003.

[3] S. Boes: M. van A tot Z: een analyse van Sticht-ing M. als voorziening tot burgerparticipatie op hetgebied van sociale veiligheid. Masterscriptie crim-inologie, Universiteit Leiden, Maart 2010.

[4] Frank Bongers, Rudi Bekkers, Tommy van derVorst, Reg Brennenraedts, en David van Kerkhof:Vooronderzoek evaluatie van automatische num-merherkenning geheimhoudergesprekken advoc-atuur. Dialogic/WODC, 2013.

[5] S. Brinkhoff: Anoniem melden startinformatie vooreen strafrechtelijk onderzoek? Nederlands Jur-istenblad, 83(20):1224–1228, 2008.

[6] Y. Buruma: Ongemakkelijke lessen van Lucia. De-likt en Delinkwent, 40(6):689–706, Juni 2010.

[7] Y. Buruma: Het recht op vergetelheid. Politiële enjustitiële gegevens in een digitale wereld. In D.Broeders, C.M.K.C. Cuijpers, en J.E.J. Prins (re-dactie): De staat van informatie, pagina’s 165–221, Amsterdam, 2011. Amsterdam UniversityPress.

[8] College Bescherming Persoonsgegevens: Briefaan stichting meld misdaad anoniem. 14 juli 2005,kenmerk z2005-0074, 2005.

[9] College van Procureurs-Generaal: Instructie meldmisdaad anoniem. 10 april 2006, registratienum-mer 2006I007, 2006.

[10] Alexei Czeskis, David Mah, Omar Sandoval,Ian Smith, Karl Koscher, Jacob Appelbaum,Tadayoshi Kohno, en Bruce Schneier: Dead-drop/strongdrop security assessment. TechnischRapport UW-CSE-13-08-02, University of Wash-ington, 2013.

[11] W. Dreissen en O. Nauta: Anonimiteit in het straf-proces. De praktijk van de regeling beperkt an-onieme getuige en de regeling bedreigd anoniemegetuige in het strafproces. DSP-groep/WODC, Am-sterdam, 2012.

[12] D. Garé: Het blijft tobben met de anonieme getuige.Nederlands Juristenblad, 36:1636–1640, 1998.

[13] GlobalLeaks: Globaleaks application se-curity design and details. https:

//docs.google.com/document/d/1SMSiAry7x5XY9nY8GAejJD75NWg7bp7M1PwXSiwy62U/pub bezocht op 14februari 2014, versie: “Updated to softwarerelease 2.54, February 2014”.

[14] GlobalLeaks: Globaleaks threat model and se-curity design. https://docs.google.com/document/d/1niYFyEar1FUmStC03OidYAIfVJf18ErUFwSWCmWBhcA/pub bezocht op 14februari 2014, versie: “Release 0.2 of June 2013(last update, Jan 2014)”.

[15] Ian Goldberg en Others: Off-the-Record Mes-saging. https://otr.cypherpunks.ca/index.php bezocht 19 januari 2014.

[16] B. Hoogenboom en E. Muller: Voorbij de dog-matiek: publiek-private samenwerking in de vei-ligheidszorg. Kerckebosch, Zeist, 2002.

[17] F. van Kolfschooten: Alles wat jurist is in mij, komtin opstand tegen anonieme klachten. NRC Han-delsblad 8 februari 2014, pagina W8, 2014.

[18] B.J. Koops en J.M. Smits, m.m.v. F. van der Kroon:Verkeersgegevens en artikel 13 Grondwet. Een tech-nische en juridische analyse van het onderscheidtussen verkeersgegevens en inhoud van communic-atie. Wolf Legal Publishers, Oisterwijk, 2014.

[19] M. van Kuik, S. Boes, N. Kop, en M. den Hengst-Bruggeling: M.-waarde. Politie & Wetenschap,2012.

[20] Tom Lazar: Briefkasten. https://github.com/ZeitOnline/briefkasten bezocht op 5januari 2014.

[21] E. Lissenberg: Klokkenluiders en verklikkers. Af-scheidsrede Amsterdam (UvA), 15 februari,2008.

[22] J. Mazzone en T. Fischer: The normalization ofanonymous testimony. In Secrecy, National Secur-ity and the Vindication of Constitutional Law, pa-gina’s 195–208, Cheltenham, UK, 2013. EdwardElgar.

[23] Ministerie van Binnenlandse Zaken enKoninkrijksrelaties en het Ministerie van Vei-ligheid en Justitie: Veilige publieke taak en (gedeel-telijke) anonimiteit in het strafproces. Factsheet,2013. http://www.rijksoverheid.nl/documenten-en-publicaties/brochures/2013/08/13/factsheet-veilige-publieke-taak-en-gedeeltelijke-anonimi

47

Page 48: Haalbaarheid van een anoniem internetmeldpunt - quickscan

teit-in-het-strafproces.html.[24] Article 29 Data Protection Working Party: Opin-

ion 01/2014 on the application of necessity andproportionality concepts and data protectionwithin the law enforcement sector. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp211_en.pdf. WP211, 27 February 2014.

[25] Pink Elephant: Customer case: Stichting m.[26] H. Schnitzler: We leven in een “klikspaan

boterspaan”-land. De Volkskrant 22 februari,2012.

[27] Secure Drop: User manual. https://github.com/freedomofpress/securedrop/blob/master/docs/user_manual.md bezocht 5januari 2014.

[28] R. van Steden: Voorbij de dogmatiek: publiek-private samenwerking in de veiligheidszorg. boek-bespreking. Openbaar bestuur, pagina 30, Augus-tus 2003.

[29] Stichting NL Confidential. Persoonlijke mededel-ing, 9 januari, 2014.

[30] TipSoft: Tipsubmit mobile. http://www.tipsoft.com/TipSubmitMobile.pdf.

[31] TipSoft: Webtips. http://www.tipsubmit.com/AccMan/uploads/tipsoft.com/TipSoft%20WebTips.pdf.

[32] Veiligezorg: handreiking aangifte doen bij depolitie, 2013. http://www.veiligezorg.nl/kenniscentrum/bestand-informatie/handreiking_aangifte_20131001.

[33] Julien Voisin, Christophe Guyeux, en Jacques M.Bahi: The metadata anonymization toolkit. CoRR,abs/1212.3648, 2012.

[34] Wetenschappelijke Raad voor het Regerings-beleid: Het borgen van publiek belang, 2000.

48

Page 49: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Bijlage A

Verklarende Woordenlijst

DNS Domain Name SystemIM Instant MessagingIP Internet ProtocolISP Internet Service providerSSL Secure Socket Layer, opgevolgd door TLSTLS Transport Layer Security, de opvolger van SSLVoIP Voice over IPVPN Virtual Private Network

49

Page 50: Haalbaarheid van een anoniem internetmeldpunt - quickscan

50

Page 51: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Bijlage B

Begeleidingscommissie

De begeleidingscommissie voor dit rapport bestond uitde volgende personen

• dr. F.W. (Frans) Beijaard, WODC.• S. (Sanne) Boes, MSc, NHL Hogeschool en Politie-

academie.• prof. dr. N.A.N.M. (Nico) van Eijk, Universiteit

van Amsterdam (voorzitter).• mr. ir. A.P. (Arnout) Engelfriet, Vrije Universiteit &

ICT Recht.• T. (Timo) Hilbrink, XS4ALL.• drs. T. (Tim) Veenings, Ministerie van Veiligheid

en Justitie.

De onderzoekers bedanken de leden van de begelei-dingscommissie voor de waardevolle discussies en hunconstructieve commentaar op eerdere versies van ditonderzoeksrapport.

51

Page 52: Haalbaarheid van een anoniem internetmeldpunt - quickscan

52

Page 53: Haalbaarheid van een anoniem internetmeldpunt - quickscan

Bijlage C

Deelnemers expert workshop

De volgende personen hebben deelgenomen aan de ex-pert workshop op vrijdag 31 januari 2014.

• Warner de Boer, Politie Oost-Nederland.• Sanne Boes, NHL Hogeschool en Politieacademie.• Timo Hilbrink, XS4ALL Techteam.• Matthijs Koot, Madison Gurkha.• Wim Michels, Politie Oost-Nederland.• Maaike Pekelharing, Meldpunt Kinderporno op In-

ternet.• Bas de Wilde, Vrije Universiteit Amsterdam.

Wij zijn hen zeer erkentelijk voor hun bijdrage aan dezeworkshop.

Daarnaast namen de drie auteurs van dit rapport deelaan de expert workshop.

53