DPI, Deep Packet Inspection, komt de laatste tijd veel in het nieuws. Het begon met de SP en kinderporno, toen in verband met censuur in het Midden-Oosten en nu weer KPN die kijkt wat hun klanten op het netwerk aan het doen zijn. DPI klinkt heel stoer, en de kreet is dan ook vast uitgevonden door een marketeer die aftapspullen wil verkopen. Het staat voor Deep Packet Inspection, wat niet meer zegt dat je de volledige inhoud van pakketjes inspecteert.
Maar DPI kom je ook tegen in andere contexten. Beheerders van IP netwerken gebruiken bijvoorbeeld tools als tcpdump en wireshark om te kijken wat er over de lijntjes gaat. Onder meer om te analyseren waarom een toepassing die je aan het programmeren bent maar niet wil werken, of om te kijken welke toepassing bandbreedte opsnoept. En natuurlijk worden DPI technieken ingezet door de politie om, keurig afgetikt door een rechter, een verdachte ook op het Internet te kunnen monitoren.
Het is vooral de eerste context die de internet community in een stuip doet schieten. En dat is ook wel begrijpelijk. Als je je op internet begeeft, gaat het niemand anders aan, wat je aan het doen bent. De tweede context is legitiem en dient een goed doel.
KPN heeft blijkbaar DPI technologie in hun netwerk waarmee ze misschien soms storingen oplossen, of kwaliteitsmetingen doen, en nu blijkbaar ook gekeken hebben waarvoor klanten hun smartphone gebruiken. Ze hebben DPI nodig omdat Whatsapp zich op header niveau soms gedraagt als een e-mail applicatie die communiceert over port 25 en dan weer als een Jabber-client. Uit de door KPN gegeven presentatie haal ik dat ze geanalyseerd hebben dat mensen massaal overgestappen op Whatsapp en geen SMSjes meer sturen. Voor de duidelijkheid: berichtjes (en foto’s en filmpjes) sturen via Whatsapp is gratis, en SMSjes kosten mij nog steeds 10 cent. Als je privacy werkelijk belangrijk vindt, kan je beter geen Whatsapp gebruiken; Je complete telefoonboek wordt geupload naar de centrale database in de US. Whatsapp doet ook totaal geen moeite om de inhoud van de berichten op wat voor manier dan ook te beschermen. Ze gaan onversleuteld over de lijn. Dat is lekker efficient.
Bits of Freedom heeft opgeroepen om aangifte te doen bij de politie. Ze denken dat het gebruik van DPI op deze manier strafbaar is. Artikel 139c lid 1 van het wetboek van strafrecht zegt: je bent strafbaar als je opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
Ja, letterlijk genomen valt DPI daar inderdaad onder. Dit artikel moet de burger beschermen in zijn vertrouwelijkheid als hij communiceert. Als de burger trouwens niet door een kabeltje maar door de lucht iets verstuurt, is hij die bescherming kwijt. Dat is beschreven in lid 2 waar de uitzonderingen op lid 1 genoemd worden. Je mag (nu nog) volgens datzelfde lid ook nog je eigen communicatie opnemen, en als laatste uitzondering wordt genoemd ten behoeve van de goede werking van een openbaar telecommunicatienetwerk, ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten 2002.
Natuurlijk heeft KPN DPI apparatuur staan om de goede werking van hun netwerk te garanderen. Elke ISP heeft wel eens wireshark of tcpdump ingezet om een storing te verhelpen. De grote vraag is nu of je dat ook mag inzetten om uiteindelijk iets aan je prijsmodel te gaan doen.
Ik heb altijd de hoop dat een rechter nog even nadenkt met welk doel een wetsartikel is opgeschreven en meer denkt in de geest dan de letter van de wet. Het op een abstractere manier bekijkt en ook niet vergeet dat het artikel is geschreven in een tijd dat er nog geen internet bestond. Het artikel 139c hebben we in ons wetboek om de burgers te beschermen in hun privacy. Zolang de mensen bij KPN niet in de inhoud van mijn whatsapp berichtjes (of foto’s!) gaan kijken vind ik het geen privacyschending.
Ik ben er ook niet blij mee dat operators nu ontdekken dat hun businessmodel onder vuur ligt. Meer en meer diensten waar ze vroeger per tik voor konden afrekenen verhuizen naar de flat-fee internetbundel. Dat kost KPN blijkbaar serieus geld en zijn ze op zoek naar alternatieven. Die alternatieven kosten ons als consument geld of houden in dat we niet meer mogen whatsappen of Skypen. En dan komen we eindelijk bij het punt waar de discussie over zou moeten gaan: Mag een partij dat internet aanbiedt dat in een beperkte vorm doen of zou EL&I moeten ingrijpen en afdwingen dat er op geen enkele wijze gefilterd of gerekend mag worden aan de hand van het soort informatie dat jij over je internet wil versturen?
Dus, Bits of Freedom en andere aangifte oproepers: Trek de discussie naar het goede onderwerp en ga er geen strafrechtelijke discussie van maken. Deze discussie gaat niet over privacy maar over netneutraliteit. Dat moet je niet met KPN regelen maar met de overheid. Laten we dit keer wel eens een voorbeeld aan Chili nemen. Die hebben het als enige netjes geregeld in de wet!
Ronald Prins