Dit is hoe de nieuwe opsporings-software van BREIN werkt

Eind 2015 kondigde auteursrechtenorganisatie BREIN aan dat het in 2016 een nieuw softwaresysteem zou lanceren om op grote schaal meer uploaders van illegale content te kunnen opsporen en veroordelen. Klinkt zorgwekkend, maar hoe werkt dat systeem? En waar moet je je als normaal persoon die wel eens iets downloadt druk om maken?

Tot vorige week was het onduidelijk hoe die nieuwe software precies werkt. Wat wel duidelijk was, was dat het in eerste instantie was goedgekeurd door het College Bescherming Persoonsgegevens (CBP). Het CBP (dat nu als Autoriteit Persoonsgegevens door het leven gaat) publiceerde, na een inzageverzoek van Motherboard, een rapport waarin enkele nieuwe feiten stonden over het software- en verwerkingssysteem van BREIN.

Het publiceren van dat rapport werd breed opgepakt in de media, ook al was het resultaat van het rapport – het oordeel dat BREIN's nieuwe software rechtmatig was – in november al openbaar.

Er werden afgelopen december zelfs Kamervragen gesteld over dit nieuwe systeem. Minister Ard Van der Steur lichtte de werking van het systeem toe naar aanleiding van vragen van Kees Verhoeven (D66): "Het systeem van BREIN zoekt in een zwerm van IP-adressen van tienduizenden uploaders die een bepaalde illegale kopie aanbieden. In die zwerm zoekt BREIN naar Nederlandse IP-adressen van eerste en/of herhaaldelijke uploads van recent aangeboden illegale kopieën. BREIN heeft prioriteringscriteria vastgesteld om de groep uploaders waarnaar onderzoek gedaan wordt af te bakenen. Op deze manier worden enkele tientallen IP-adressen geïdentificeerd. Deze adressen worden opgeslagen om te beoordelen of men nader onderzoek naar deze bittorrent-gebruikers kan doen."

Nog altijd behoorlijk vaag.

In het recent gepubliceerde rapport van Autoriteit Persoonsgegevens werd gelukkig iets meer duidelijk. "Stichting BREIN zal gaan deelnemen aan zwermen in een Bittorrent-netwerk," aldus de eerste zin onder 'Werkwijze Bittorrentonderzoek'. BREIN gaat dus ook zelf films downloaden en bekijken om er achter te komen of het om illegale kopieën van hun cliënten gaat. Logisch natuurlijk - rechercheurs die bijvoorbeeld kinderporno opsporen, moeten dat helaas ook aanschouwen om de authenticiteit van het beeldmateriaal te kunnen vaststellen - maar het roept het volgende interessante scenario op: wat als BREIN een film downloadt en bekijkt die uiteindelijk niet van hun cliënten blijkt te zijn? Sturen ze zichzelf een boete? Kunnen ze dan aangeklaagd worden door een onafhankelijk partij die die rechthebbende representeert?

Op welke manier BREIN precies te werk gaat in de zwerm blijft verder onduidelijk. Een gefundeerde gok die we ontvingen van een ICT-consultant die liever anoniem wilde blijven, was dat BREIN waarschijnlijk een vrij simpele webcrawler heeft die langs een reeks URL's van torrent-links scrollt, overal op klikt en constant aan verschillende torrent-trackers vraagt wie 100% van een dergelijke (film)bestand heeft.

Nadat BREIN heeft bevestigd dat het inderdaad om een illegale kopie van een film gaat van hun cliënt, worden de relevante IP-adressen van uploaders opgenomen in een databestand die niet toegankelijk is via het internet. Over het beveiligingsbeleid van deze persoonsgegevens is het rapport verder vrij vaag. Timotheus Kuik wilde er per mail ook niet verder op in gaan, maar omdat er woorden in staan zoals 'logboeken' en 'fysieke beveiliging' heb ik nu het waarschijnlijke vrij accurate beeld in mijn hoofd dat bij BREIN in Hoofddrop rijen juristen voorovergebogen met ganzenveren IP-adressen kalligraferen in perkamenten logboeken terwijl Timotheus Kuik met de enige sleutel van de kluis om zijn nek statig tussen de rijen stapt.

IP-adressen van uploaders worden in dit databestand maximaal zes maanden opgeslagen in verband met het onderzoek. Alle andere IP-adressen worden meteen of binnen 12 weken verwijderd.

Alleen Nederlandse IP-adressen komen in aanmerking voor onderzoek. Volgens het rapport worden "buitenlandse IP-adressen, indien zij terechtkomen in het onderzoeksbestand, onmiddellijk verwijderd." Ik vroeg Timotheus Kuik of dit bekent dat gebruikers met een VPN, makkelijk de nieuwe software van BREIN kunnen omzeilen, maar "Het verzamelen van IP-adressen binnen het geautomatiseerd systeem waarbij buitenlandse IP-adressen worden geëcarteerd betekent niet dat, behalve binnenlandse, buitenlandse VPN diensten niet kunnen worden aangesproken…. Daarnaast vindt ook digitale recherche plaats die niet van IP-adressen afhankelijk is."

Aan deze verzamelde IP-adressen heeft BREIN eigenlijk nog niks, want enkel een IP-adres vertelt je namelijk nog vrij weinig. Ze moeten nog gekoppeld worden aan de NAW-gegevens, oftewel de persoonlijke informatie, van de desbetreffende uploader. BREIN moet hiervoor naar een internet service provider (ISP) om deze gegevens te krijgen. In de praktijk geven ISP's deze informatie echter nooit, dus er komt vrijwel altijd een rechter bij kijken, die moet bepalen of de overtreding van de verdachte zwaarder weegt dan zijn of haar privacy. Dus pas nadat BREIN, waarschijnlijk met tussenkomst van de rechter, de persoonsgegevens heeft van een overtreder, kan er een juridische procedure tegen hem op worden gezet.

Als persoon die wel eens wat downloadt hoef je in principe voor BREIN niet wakker te liggen. Het beleid bij BREIN wordt bepaald door het bestuur en aangeslotenen, en die hebben bepaald dat ze de pijlers niet op downloaders gaan richten. De grootste geldschieters van BREIN – de Amerikaanse studio's – willen niet achter downloaders (lees: consumenten) aangaan, omdat dit o.a slechte PR voor hun bedrijf zou betekenen, volgens een woordvoerder van DutchFilmWorks.

Dat ze niks voor BREIN te vrezen hebben, betekent niet dat downloaders niet een beetje op moeten gaan passen. Onafhankelijke Nederlandse filmdistributeurs, die hun films verliezen zien draaien door downloads, zien dat de huidige strategie van BREIN te weinig effect heeft gehad op het downloadgedrag in Nederland. Nu willen ze zelf downloadend Nederland aan de juiste kant van de wet schuiven met financiële schikkingen en verbeterde voorlichting voor legale opties, zoals een app die je vertelt waar je een film legaal kan kijken of krijgen.

Dit kan natuurlijk prima, want auteursrechtinbreuk is in Nederland een privaatrechtelijke aangelegenheid, wat betekent dat er twee burgers tegenover elkaar staan, in plaats van de overheid en de burger. Op dezelfde manier fungeert BREIN dus als een soort tussenpersoon voor creatieve makers die bij hun aangesloten zijn.

De nieuwe software van BREIN is volgens Kuik nu in gebruik. Dus als je een frequente of eerste uploader bent van illegale content, afkomstig van een van de partijen die BREIN representeert, BREIN je IP-adres heeft gevonden in een zwerm van torrent-trackers, de illegale kopie heeft gedownload en bekeken, je een Nederlands IP-adres hebt en BREIN (waarschijnlijk) via de rechter je persoonlijke gegevens heeft gekregen van je internet provider, dan ben je misschien de lul en zou ik je deurmat gaan bekijken of er al een schikkingsvoorstel opligt. De rest kan vanavond zonder zorgen in slaap vallen. Voor Brein tenminste.

Meer over BREIN en piraterij:

Ondertitel-hobbyisten slepen BREIN dit voorjaar voor de rechter

Hoe het écht is om te werken bij BREIN: onthullingen van een insider