Privacy, tien jaar later…

Ooit lagen er mooie plannen om de privacy van burgers te waarborgen. Maar 9/11 gooide roet in het eten.

Op 11 juli 2001 publiceerde het Europees Parlement een rapport over het spionagenetwerk Echelon en de implicaties voor Europese burgers en bedrijven. Er werd al jarenlang gespeculeerd over het bestaan van dit netwerk van Groot Brittannië-en-haar-voormalige-koloniën, maar pas in 1999 kwam er een rapport uit dat het onderwerp voorgoed uit de alu-hoedjessfeer trok. Het rapport van het Europees Parlement bevat zeer concrete en zinnige voorstellen die, door gebeurtenissen twee maanden na publicatie, nimmer zijn uitgevoerd. Of zelfs maar verder besproken.

Onder het kopje ‘Maatregelen tot bevordering van de zelfbescherming van burgers en ondernemingen’ staat een lijst met concrete voorstellen die beveiliging van gegevens en vertrouwelijkheid van communicatie in handen geeft van burgers. Allereerst verzoekt het Parlement burgers te informeren over het bestaan van Echelon en de gevolgen voor hun privacy. Deze voorlichting moet ‘vergezeld gaan van praktische bijstand bij het ontwerp en de installering van algemene beschermingsvoorzieningen, die ook de veiligheid van informatietechnologie omvatten.’ Dus niet alleen postbus 51-spotjes maar hands on aan de slag graag!

ACHTERGROND - Passende maatregelen

Andere juweeltjes zijn de verzoeken om ‘passende maatregelen te nemen voor de bevordering, ontwikkeling en vervaardiging van Europese versleutelingstechnologie en -software en daartoe in het bijzonder projecten te ondersteunen die gericht zijn op de ontwikkeling van gebruiksvriendelijke versleutelingstechnologie, waarvan de brontekst is gepubliceerd’ en ‘stimulering van softwareprojecten waarvan de brontekst is gepubliceerd, daar alleen zo kan worden gegarandeerd dat er in de software geen “achterdeurtjes” zijn ingebouwd (de zogenaamde “open-source software”).’ Het document noemt expliciet de onbetrouwbaarheid van beveiligings- en encryptietechnologieën waarvan de broncode niet gepubliceerd is. Iets dat in Nederlandse discussies over IT-strategie voor overheden een streng taboe is (waarschijnlijk omdat het bepaalde grote NAVO-partners zou kunnen beledigen).

Ook moeten overheden zelf het goede voorbeeld geven aan elkaar en hun burgers door ‘systematisch gebruik te maken van versleuteling van e-mails, zodat dit op de wat langere termijn, de normale praktijk zal worden.’ Dit moet in de praktijk gerealiseerd worden door ‘te zorgen voor de opleiding en bekendmaking van hun personeel met de nieuwe encryptietechnologieën en -technieken door het organiseren van de noodzakelijke opleidingspractica en -cursussen.’ Zelfs kandidaatlidstaten van de EU moeten geholpen worden ‘indien zij niet kunnen voorzien in de nodige beschermingsmaatregelen door een tekort aan technologische onafhankelijkheid.’ Helaas kan ik tot op de dag vandaag geen versleutelde mails sturen aan ambtenaren en kunnen verreweg de meeste ambtenaren hun mails niet digitaal ondertekenen zodat ik de integriteit van de inhoud kan verifiëren. En dat terwijl de software die dit mogelijk maakt al die tijd als open source beschikbaar is geweest.

In die ene paragraaf uit de zomer van 2001 was rationeel veiligheidsbeleid nog niet weggevaagd voor 11 september, dus de basis voor een solide IT-beleid dat veiligheid en privacy van burgers beschermt tegen zowel buitenlandse bedreigingen als de nationale overheid zelf ook niet.

What a difference a decade makes…

Vorige week maandag organiseerde Privacy First een lezing & discussieavond over cybersecurity en de relatie met terrorismebestrijding. Wil van Gemert, directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid gaf een lezing over de relatie tussen privacy en veiligheid. In deze lezing werd veel gesproken over consumenten, weinig over burgers. Misschien is het verschil wat mistig aan het worden in Den Haag. Ook werd er op gehamerd dat de overheid heel veel samenwerkte met “de markt” en private partijen. Het was waarschijnlijk bedoeld als geruststelling maar had op de meeste aanwezigen het tegenovergestelde effect. Ideeën uit het bovenstaande EU-document zoals beter IT-onderwijs, opensource-encryptie en technologische diversiteit als verdedigingstactiek waren helaas totaal onbekende concepten. Het lint van de deur van het Cyber Security deel van de NCTB is nog maar net geknipt dus wellicht gaat het over een jaar beter. We hopen*.

Een paar weken eerder maakte een andere spreker van onze overheid het nog bonter door het Clean-IT project te verdedigen op de bijeenkomst van RIPE (de organisatie die IP-adressen uitdeelt voor Europa en Azië). Clean-IT is een Europees project van Nederlandse oorsprong dat tot doel heeft het gebruik van internet voor terrorisme-doeleinden te bestrijden.

Terrorisme niet gedefinieerd

Probleem is een beetje dat hierbij “internet”, “gebruik” en “terrorisme” niet zijn gedefinieerd. Op zich wel handig want dan kan je er dus alle kanten mee op. Beetje net als de dataretentie die in 2005 door het EU parlement werd geramd met de belofte dat deze alleen ingezet zou worden tegen “terrorisme”. Een belofte die binnen enkele maanden gebroken werd. In Duitsland is dataretentie inmiddels ongrondwettelijk verklaard en afgeschaft. In Nederland tappen we lekker door, ondanks een totaal gebrek aan bewijs voor enig effect van deze maatregel. Dat al die databases van bewaarde telecomgegevens zelf ook weer een doelwit worden is niet iets dat serieus meegewogen lijkt te worden in het “dreigingsbeeld”. Curieus voor een overheid die vooralsnog meestal niet in staat is haar eigen systemen goed te beveiligen of er op toe te zien dat ingehuurde private partijen dat doen.

Ook werd in de lezing over Clean-IT veel gehamerd op de publiek-private samenwerking als geruststelling van de aanwezigen en ook hier had dit voornamelijk het tegenovergestelde effect. Het blijft vreemd dat een overheid eerst zichzelf inhoudelijk incompetent maakt door alle expertise te outsourcen, vervolgens daar na tien jaar achterkomt en dan de inhoudelijke macht bij bedrijven legt die zij niet kan aansturen (of laten aansturen door andere ingehuurde bedrijven). Als laatste stap wordt dan het outsourcen naar die bedrijven gebruikt als geruststelling naar burgers toe: ‘We laten het door bedrijven doen hoor! Dat u als burger niet denkt dat wij er zelf met onze worstenvingertjes aanzitten! Komt helemaal goed!’ Na Diginotar is mijn vertrouwen in het aansturende en toezichthoudende vermogen van de overheid tot net iets boven het absolute nulpunt gedaald.

Wat een verschil in aanpak tussen de zomer van 2001 en vandaag.

Terrorisme is natuurlijk het sleutel-excuus-woord maar er gaan veel meer Europeanen dood aan uitglijden in de douche of slechtzittende valhelmen dan aan “terrorisme”. Bovendien weten we als Europeanen hoe we met terrorisme om moeten gaan. De ETA, IRA en RAF zijn in eerdere decennia door onderhandelen en inkapseling ongevaarlijk gemaakt zonder dat daarbij de rechten van een half miljard Europese burgers werden afgebroken. Zelfs toen in Londen wekelijks IRA-bommen ontploften deed niemand de suggestie dan maar Dublin en Belfast met fosforbommen te bestoken.

Hoop

Ik hoop* dat de pre-9/11 visie van het EU Parlement ooit gaat doordringen tot het Nederlandse Ministerie van Veiligheid en Justitie (voor heen gewoon ‘Justitie’, binnenkort “Liefde“?). Wellicht met een nieuw kabinet nieuwe ronden, nieuwe kansen? Het zou mooi zijn als “het vrije westen” een beleid zou hebben dat ons in staat stelt met een zeker moreel overwicht van Rusland te eisen dat ze stopt met politieke censuur onder het mom van ‘veiligheid’.

* Hoop: het verlangen naar een toekomstige situatie waarover je niet of nauwelijks invloed op hebt: ‘Ik hoop dat mijn vliegtuig niet neerstort.’

Deze column verscheen eerder op Webwereld.

  1. 1

    “Terrorisme is natuurlijk het sleutel-excuus-woord maar er gaan veel meer Europeanen dood aan uitglijden in de douche of slechtzittende valhelmen dan aan “terrorisme””

    Wat een fop-argument.

  2. 2

    “In Nederland tappen we lekker door, ondanks een totaal gebrek aan bewijs voor enig effect van deze maatregel.”

    Welke maatregel? Dat er getapt mag worden onder specifieke omstandigheden als de te onderzoeken misdaad zwaar genoeg is? Wat bedoel je nou helemaal, Arjen? Dat er in een moordonderzoek niet meer getapt kan worden of zo?

    Je punten over DigiNotar en beveiling van in-house databases ondersteun ik overigens van harte. De overheid moet juist op dit onderwerp veel meer eigen expertise hebben.

  3. 3

    Privacy is onmogelijk te waarborgen,zeker niet door overheden die daar totaal geen belang bij hebben.
    En wees nu eerlijk,als het aan het volk lag zou het nog droeviger gesteld zijn met die zogenaamde privacy.
    Wees creatief en probeer zelf wat voor controle dan ook te omzeilen ,iemand anders doet het niet voor je.
    Opstelten is trouwens ideaal als de allereerste Minister van Liefde.

  4. 4

    @2: het ging over dataretentie, man, niet over het tappen “onder specifieke omstandigheden als de te onderzoeken misdaad zwaar genoeg is”. En dat gaat dus over de plicht alle gegevens te bewaren, niet alleen “onder specifieke omstandigheden als de te onderzoeken misdaad zwaar genoeg is”.

    En dan zelf de schrijver van fopargumenten beschuldigen. Je moest je schamen.

  5. 5

    @4: Leer lezen, pedro. In de zin van Arjen staat “in Nederland TAPPEN we lekker door”. Tappen heeft niks met dataretentie te maken. Als je niet weet waar je het over hebt, bemoei je er dan niet mee.
    Overigens denk ik (hoop ik) dat Arjen het verschil wel begrijpt, en dat hij, zoals gewoonlijk, weer veel te veel dingen tegelijk wil zeggen waardoor hij zijn goede punt ten opzichte van publiek-privaat en benodigde eigen expertise van de overheid laat ondersneeuwen.

  6. 6

    De gevestigde media maken de gekste sprongen om ons in de meest ongeloofwaardige enscenering van terrorisme, massale schietpartijen en superstormen te doen geloven, maar ze worden even snel ontmaskerd als ze verspreid worden. De massamedia verliezen zienderogen terrein en weten hun geloofwaardigheid steeds verder aangetast. Steeds meer mensen zijn zich ervan bewust dat verkiezingen en ons huidige politieke systeem schertsvertoningen zijn, in stand gehouden door fraude en misdaad.

  7. 7

    @5: “In Duitsland is dataretentie inmiddels ongrondwettelijk verklaard en afgeschaft. In Nederland tappen we lekker door, ondanks een totaal gebrek aan bewijs voor enig effect van deze maatregel”

    Maar goed, als jij meent, dat de zin er voor niks met de zin er na te maken heeft, heeft het geen zin daar verder met je over te praten. Ik denk dat veel mensen dat zaken uit hun verband rukken zullen noemen.

  8. 8

    @7: het laat vooral zien hoe bepaalde mensen met een zweem van expertise denken de discussie te helpen.

    Dataretentie is het bewaren van bepaalde gegevens, maar niet de inhoud.
    Tappen is het opnemen van de inhoud van een bepaalde vorm van communicatie.

    Hoe moeilijk kan het zijn? Arjen begrijpt het waarschijnlijk wel, maar probeert een lekker bekkende zin te maken, en de mythe dat Nederland wereldkampioen tappen is, is natuurlijk een makkelijke om op in te haken.

    Arjen – geef jij eens commentaar op waarom je dataretentie en tappen in deze context zo hebt gemixt. Leken zoals Pedro, die waarschijnlijk net als ik het beste voor hebben met de privacy van de burger, laat je hierdoor miskleunen. Wat was je opzet? Of heb je er niet over nagedacht en zat je in de reflex van Nederland Tapland?

  9. 9

    @8: het laat vooral zien, hoe sommigen uitspraken uit hun context lichten en er dan zelfs later door middel van zeer strikte door henzelf geformuleerde definities proberen alsnog hun gelijk te halen, in plaats van een tekst te lezen, zoals ze bedoeld is.

    Als ik de rest van het stuk van Arjen zo lees, denk ik, dat de ene zin, die vlak voor de andere zin staat in dezelfde alinea, iets met die andere zin te maken heeft en er naar verwijst. Maar je kunt best gelijk hebben hoor, dat hij zo maar van de hak op de tak springt. Mij heb je daar echter niet van overtuigd.

    Overigens slaat natuurlijk het gebrek aan bewijs voor de maatregel ook op de dataretentie, die nog niet zo lang geleden in is gesteld, en waar in de afgelopen jaren regelmatig over is gediscussieerd. Niemand heeft immers het tappen in specifieke gevallen ter discussie gesteld. Maar om dat soort zaken te weten, moet je die discussies wel gevolgd hebben natuurlijk, of je jezelf nu als expert beschouwt en anderen als leken probeert te beledigen, of niet.

  10. 10

    @9: in de volkskrant weer zo’n Kamphuis, maar nu van liberale zijde, die een dergelijke denkfout maakt (http://www.volkskrant.nl/vk/nl/3184/opinie/article/detail/3344060/2012/11/07/De-VVD-weet-het-nog-niet-maar-er-zit-een-bom-onder-de-gehele-Nederlandse-politiek.dhtml):

    “Dat een liberale partij zoals de VVD zich sterk maakte voor een wietpas, hacken op computers zonder toestemming, camera surveillance, telefoon aftappen (Nederland is relatief gezien wereldkampioen aftappen), het subsidiëren van het onzinnige JSF project, het doorduwen van het ESM terwijl het zich verzette tegen de gekozen burgemeester en het vaker houden van referenda zijn hier mooie voorbeelden van.”

    1. hacken op computers kan NOOIT zonder toestemming. Dit is dus tendentieus.
    2. wereldkampioen aftappen, daar hebben we ‘m weer! De grootste onzin.

    Wie serieus dit soort dingen zegt, weet er of niks van, of probeert willens en wetens een rad voor andermans ogen te draaien.

    In het eerste geval ben je een leek.
    In het andere geval ben je, naar mijn mening, immoreel bezig.

    Ik kan mij niet voorstellen dat Kamphuis een leek is op ICT-gebied, vandaar dat ik hoop dat hij nog reageert. We kunnen speculeren wat er in zijn hoofd omging, toen hij tappen liet volgen op dataretentie, maar zeker weten doen we het niet.

    En dan over begrijpend lezen, allemaal leuk en aardig dat de voorgaande zin gaat over dataretentie, maar het woord tappen komt toch echt niet zomaar uit het toetsenbord geslopen.