Wettelijke consequenties bij NAT444

Ik heb de laatste maanden van meerdere providers vragen gekregen over de consequenties van het gebruik van technieken zoals NAT444 (ook welCarrier-Grade-NAT: CGN of Large-Scale-NAT: LSN genoemd). Aspecten die  daarbij naar voren kwamen zijn de aftapbaarheid en dataretentie. Omdat ik zelf deze vragen niet direct kon beantwoorden ben ik op maandag 27 februari op bezoek gegaan bij Agentschap Telecom, waarbij het onderstaande duidelijk werd:

In het huidige internet is het gebruikelijk om IP adressen te gebruiken  om te achterhalen wie er communiceert. Elke klant van een ISP krijgt  één of meer IP adressen exclusief toegewezen, en deze adressen zijn dus altijd te herleiden naar die klant. Dit wordt door opsporingsinstanties veelvuldig gebruikt. Bij NAT444 krijgt de gebruiker echter een intern  IP adres, en wordt al het uitgaande verkeer door de ISP geNAT. Een aanname die veel partijen maken is dat de herleidbaarheid van de  gebruiker door opsporingsinstanties daarbij nog steeds mogelijk moet zijn. De wet blijkt echter anders in elkaar te zitten…

Als eerste kijken we naar de aftapbaarheid. In de wet staat (Telecommunicatiewet Artikel 13.1 punt 1):

“Aanbieders van openbare telecommunicatienetwerken en openbare telecommunicatiediensten stellen hun telecommunicatienetwerken en telecommunicatiediensten uitsluitend beschikbaar aan gebruikers indien deze aftapbaar zijn.”

Het invoeren van NAT444 verandert hier niets aan. Zodra aangegeven  wordt welke gebruiker getapt moet worden dan is dat nog steeds mogelijk. De dienst blijft dus aftapbaar. Er staat nergens dat er op basis van een IP adres getapt moet worden. Er staat alleen dat de telecommunicatiedienst aan de gebruikers aftapbaar moet zijn, en dat is mogelijk. Het is alleen erg lastig voor de opsporingsinstanties om te achterhalen *wie* er getapt moet worden, maar dat is een ander vraagstuk.

De gegevens die een ISP op moet slaan staan omschreven in punt 2 van Artikel 13.2a van de Telecommunicatiewet:

“Aanbieders van openbare telecommunicatienetwerken of openbare telecommunicatiediensten bewaren de in de bij deze wet behorende bijlage aangewezen gegevens, voor zover deze in het kader van de aangeboden netwerken of diensten worden gegenereerd of verwerkt, ten behoeve van het onderzoeken, opsporen en vervolgen van ernstige misdrijven.”

Er is dus een bijlage (die integraal onderdeel uitmaakt van de wet) die specificeert wat een ISP op moet (en mag) slaan. Deze bijlage is heel  specifiek opgesteld om ongewenste inbreuk op de privacy van de gebruiker te voorkomen. Er staat dus heel specifiek wat opgeslagen mag worden.

Deze bijlage heeft twee secties: Sectie A voor telefonie en Sectie B voor internettoegang, e-mail over het internet en internettelefonie. Voor ISP’s is sectie B dus van toepassing. Wat wordt daar precies gezegd over internettoegang?

“naam en adres van de abonnee of de geregistreerde gebruiker aan wie het IP-adres, de gebruikersidentificatie of het telefoonnummer was toegewezen op het tijdstip van de communicatie en naam (namen) en adres (adressen) van de abonnee(s) of de geregistreerde gebruiker(s) en de gebruikersidentificatie van de beoogde ontvanger van communicatie;”

en

“datum en tijdstip van de log-in en log-off van een internetsessie  gebaseerd op een bepaalde tijdzone, samen met het IP-adres, hetzij statisch, hetzij dynamisch, dat door de aanbieder van een internettoegangsdienst aan een communicatie is toegewezen, en de gebruikersidentificatie van de abonnee of geregistreerde gebruiker;”

Ook hier wordt expliciet alleen het IP adres genoemd: het IP adres dat de ISP aan de gebruiker toewijst. Dat kan dus ook prima een RFC1918/private adres zijn. Nergens staat dat er bijgehouden moet worden wat hiervan nog zichtbaar is buiten het ISP netwerk.

Ik heb bij Agentschap Telecom nog gesproken over het bijhouden van alle NAT logs om toch te kunnen traceren welke communicatie bij welke gebruiker hoort, maar ze gaven aan dat dat volgens de wet helemaal niet is toegestaan. Het levert een inbreuk op de privacy op. De provider is dan eigenlijk al zijn gebruikers aan het tappen zonder dat daar door opsporingsinstanties opdracht voor gegeven is. Het verschil tussen Deep-Packet-Inspection en NAT logging is inderdaad heel gering.

Kort samengevat kwamen we met Agentschap Telecom tot de volgende conclusie. De ISP moet bijhouden welk IP adres(sen) hij aan een klant geeft. Als dat RFC1918/private adressen zijn is dat geen probleem. Zo staat het in de wet. Bijhouden van NAT logs is niet toegestaan aangezien de wet aangeeft dat alleen het IP adres opgeslagen mag worden. Ze zien ook in dat dit voor de opsporingsinstanties voor problemen gaat zorgen, maar ook Agentschap Telecom moet zich aan de wet houden. Alleen een wetswijziging kan hier verandering in brengen, maar dat is een lang proces.


Sander Steffann is een internet specialist die zich specialiseert in IPv6. Sinds 1995 is hij al professioneel bezig met internet. Hij heeft IPv6-projecten gedaan op het gebied van testen en implementeren (onder andere Solcon en Reggefiber), IPv6-strategie (Rabobank) en trainingen (IPv6-Workshops, Avnet en RIPE NCC). Hij is sinds 2007 vicevoorzitter van de RIPE Address Policy Werkgroep, welke verantwoordelijk voor het vaststellen van het beleid omtrent de uitgifte van IP adressen in Europa, het Midden-Oosten en de voormalige Sovjet Unie. Tevens is hij medeoprichter en bestuurslid van Stichting IPv6 Nederland, opgericht om het bewustzijn van, de kennis over en de succesvolle implementatie van IPv6 te bevorderen.