De afgelopen weken hebben Rob de Wijk, Jacob Kohnstamm en Paul Breitbarth, Victor Toom en Jozef Rammelt gereageerd op mijn opiniestuk over de opkomst van de surveillancestaat en de balans tussen misdaadbestrijding en bescherming van de privacy. Allen reageerden vanuit eigen expertise en achtergrond, wat zeer interessante en verschillende inzichten opleverde. Ik wil een paar thema's bespreken die in verschillende bijdrages terugkwamen en tot slot zal ik zelf nog een laatste duit in het zakje doen.
DOCUMENTAIRE - Groot Brittannië zette een geheime terreureenheid, de MRF (Military Reaction Force), in tegen de IRA. Een aantal voormalige leden van deze eenheid treden nu naar buiten. Er lijken nog maar erg weinig documenten over de activiteiten van de MRF te bestaan. Als er al documenten waren, dan zijn deze waarschijnlijk vernietigd.
Sargasso is een laagdrempelig platform waarop mensen kunnen publiceren, reageren en discussiëren, vanuit de overtuiging dat bloggers en lezers elkaar aanvullen en versterken. Sargasso heeft een progressieve signatuur, maar is niet dogmatisch. We zijn onbeschaamd intellectueel en kosmopolitisch, maar tegelijkertijd hopeloos genuanceerd. Dat betekent dat we de wereld vanuit een bepaald perspectief bezien, maar openstaan voor andere zienswijzen.
In de rijke historie van Sargasso – een van de oudste blogs van Nederland – vind je onder meer de introductie van het liveblog in Nederland, het munten van de term reaguurder, het op de kaart zetten van datajournalistiek, de strijd voor meer transparantie in het openbaar bestuur (getuige de vele Wob-procedures die Sargasso gevoerd heeft) en de jaarlijkse uitreiking van de Gouden Hockeystick voor de klimaatontkenner van het jaar.
NIEUWS - Eerder schreef ik over Klasbord, een social media-app waarmee leerkrachten foto’s en andere persoonsgegevens van hun leerlingen kunnen delen met zowel de eigen ouders als de ouders van klasgenootjes. In de praktijk leidde het gebruik van deze app, zoals ik hier uiteenzette, tot een massale schending van de Wet bescherming persoonsgegevens.
Inmiddels heeft Klasbord, dankzij de aandacht op Sargasso en Ouders online, besloten de gebruikersvoorwaarden aan te passen, zo valt te lezen op de site van juridisch adviesbureau ICTRecht:
Op diverse media ontstond enige ophef over de populaire app Klasbord: deze zou de privacy van leerlingen schenden. Met Klasbord kan een leraar berichten en foto’s uit zijn klas delen met ouders die ook de app hebben geïnstalleerd. Maar op grond van de privacywet mag dat niet zomaar, daar is immers toestemming voor nodig omdat het gaat om ‘persoonsgegevens’, gegevens die een individuele leerling betreffen. En is die toestemming er wel? Wij zochten het uit voor Klasbord en lieten de app aanpassen om aan de wet te voldoen.
Leerkrachten die Klasbord gebruiken moeten voortaan bij ingebruikname van de app expliciet bevestigen dat zij beseffen dat zij met privacygevoelige gegevens werken. Verder wordt uitgelegd dat ouders vooraf toestemming moeten geven (en mogen weigeren). Tenslotte zal Klasbord, als bewerker van persoonsgegevens, voortaan ook aan de wettelijke verplichting voldoen om een zogenaamde bewerkersovereenkomst met scholen of leerkrachten aan te gaan.
ANALYSE - De AIVD en MIVD hebben vooruitlopend op een uitbreiding van hun wettelijke bevoegdheden surveillancetechnologie aangeschaft die hen in staat moet stellen om “kabelgebonden” telecommunicatie categorisch te monitoren. Het ongericht uitgooien van sleepnetten dus, waarbij achteraf wordt bekeken wat bijvangst is en wat echt interessant is. De codenaam voor dit project is Argo II. Er worden een aantal redenen voor aangevoerd die bedrieglijk zijn.
Als eerste de stelling dat het noodzakelijk is om “cyberaanvallen” te detecteren en Nederlandse doelwitten daartegen te beschermen. De onthullingen over de praktijken van de NSA worden daarbij aangevoerd om nut en noodzaak aan te tonen. Zie bijvoorbeeld dit blog van Ronald Prins, die met zijn bedrijf Fox-IT te zeer onderdeel is van het kleine Nederlandse inlichtingenwereldje om zijn uitlatingen op dit terrein niet serieus te nemen. Kort samengevat komt zijn redenering er op neer dat als de AIVD al het internetverkeer zou kunnen monitoren, ze ook in staat zou zijn inbraakpogingen op Nederlandse doelen te detecteren en daarop zou kunnen handelen. De AIVD als onze nationale firewall en virusscanner.
Om te beginnen is het fout om te denken dat we een inbraakpoging bij voorbaat kunnen herkennen. Je moet een gevaar eerder meegemaakt hebben om het te kunnen herkennen. Juist zeer gerichte aanvallen van het kaliber Stuxnet zullen niet herkenbaar zijn vanwege de nieuwheid. En voor zover het om minder verfijnde aanvallen gaat op basis van reeds bekende patronen is het maar de vraag of de AIVD de beste partij is om hiertegen te waken. Internet Service Providers (ISP’s) en andere dienstverleners van potentiële doelen, zoals Ronald Prins zijn eigen Fox-IT, kunnen hier een veel nuttigere rol in spelen. Sterker nog, hier zit potentieel toegevoegde waarde. Niet dat hier geen rol voor de AIVD en het Nationaal Cyber Security Centrum (NCSC) voor is weggelegd, sterker nog, zijn zijn essentieel voor het delen van informatie. Juist over relatief nieuwe aanvallen. In die zin is het dan ook zo jammer dat de huidige Brusselse voorstellen van een meldplicht voor beveiligingsincidenten van Eurocommissaris Kroes uitgaan van eenrichtingsverkeer: wel een meldplicht aan de overheid, maar geen waarschuwingsplicht voor diezelfde overheid. Normaal gesproken krijg ik een wat vieze smaak in mijn mond van publiek/private samenwerkingen, maar dit onderwerp is er één dat zich bij uitstek voor wederkerigheid en symbiose tussen publieke en private sector leent. Dezelfde of grotere effectiviteit door dichter bij de doelwitten te gaan tappen en tegelijkertijd een paar onsjes minder inbreuk op onze privacy.
De redactie van Sargasso bestaat uit een club vrijwilligers. Naast zelf artikelen schrijven struinen we het internet af om interessante artikelen en nieuwswaardige inhoud met lezers te delen. We onderhouden zelf de site en houden als moderator een oogje op de discussies. Je kunt op Sargasso terecht voor artikelen over privacy, klimaat, biodiversiteit, duurzaamheid, politiek, buitenland, religie, economie, wetenschap en het leven van alle dag.
Om Sargasso in stand te houden hebben we wel wat geld nodig. Zodat we de site in de lucht kunnen houden, we af en toe kunnen vergaderen (en borrelen) en om nieuwe dingen te kunnen proberen.
REPORTAGE - Een kort overzicht van “Project Shamrock” waarin illegaal de (telegraaf)berichten van burgers werden afgeluisterd. Dit project, dat in 1945 startte, werd in 1952 bij de oprichting bij de NSA ondergebracht.
OPINIE - Er is een dilemma tussen misdaadbestrijding en privacybescherming, stelt Judith Sargentini in haar bijdrage aan dit online privacydebat. De onderliggende vraag is hoe misdaad kan worden bestreden zonder een alles-controlerende staat te creëren. Aan de orde is vooral de kwaliteit van data-analyse, want de kwantiteit is al geruime tijd succesvol onderwerp van debat. Schadevergoedingen lijken een goede remedie tegen willekeur van surveillance en vervolging.
Dictaturen als Irak bleken de veiligste landen op aarde, maar ook de meest onvrije. In een dictatuur is het hele veiligheidsapparaat gericht op het overleven van het regime. Dat dit leidt tot inperking van de vrijheid van de burger hoeft geen betoog. In een democratie gebruikt de regering het veiligheidsapparaat om de burger te beschermen tegen criminaliteit en aantasting van de rechtsstaat. In democratieën zijn waarborgen ingebouwd om de burger tegen willekeur te beschermen. Zo bestaat er in Nederland een Commissie van Toezicht betreffende de Inlichtingen en Veiligheidsdiensten die toeziet op het functioneren van de diensten.
In Nederland is criminaliteitsbestrijding overigens een verantwoordelijkheid van het Ministerie van Veiligheid en Justitie, het Openbaar Ministerie en de politie. Politie en OM tappen op grote schaal. Dat is al jaren bekend. Er is kennelijk een overheid die het gedrag van burgers wil sturen en controleren; er is een burger die vindt dat als je niets te verbergen hebt, je niets te vrezen hebt; en er is techniek die grootschalig data verzamelen mogelijk maakt. Recent stelde Procureur Generaal Van Nimwegen dat tappen een Pavlovreactie van OM en politie is geworden en op deze wijze geen doel dient. Vreemd is dat over zijn uitspraken geen politiek en maatschappelijk debat is ontstaan.
Het debat over Snowdens onthullingen gaat niet over deze vorm van tappen, maar over de inlichtingen- en veiligheidsdiensten, kortweg ‘de diensten’, zoals de AIVD die de bescherming van de democratische rechtsstaat tot taak hebben. Regeringen vrezen dat de discussie over de diensten het werk van diensten belemmert, waardoor de rechtsstaat niet goed beschermd kan worden. Tegelijkertijd vinden delen van de bevolking dat Snowdens onthullingen juist aantonen dat juist de diensten, bijvoorbeeld met het verzamelen van metadata, het bespioneren van een bevriende regeringsleider of onrechtmatig verkregen informatie de rechtsstaat ondermijnen. Regeringen, ook de Nederlandse, zullen het vertrouwen van de burger moeten zien terug te winnen.
Er staat veel op het spel. Stel dat er een aanslag in Nederland wordt gepleegd die met onrechtmatig verkregen informatie had kunnen worden voorkomen. Hoe reageren politiek en burger dan? Nu is alleen het onderscheppen van gegevens die via de ether worden verspreid wettelijk toegestaan; het controleren van informatie die via internationale kabelnetwerken wordt verspreid, ook wel cable-sigint (signal intelligence) genoemd, is verboden. Stel dat de Commissie Dessens, die de Wet Inlichtingen- en Veiligheidsdiensten evalueert, aanbeveelt om dit laatste in Nederland ook mogelijk te maken, omdat anders de inlichtingen- en veiligheidsdiensten achter de feiten aanlopen? De kans dan is dan groot dat door alle discussies voor een dergelijke aanbeveling onvoldoende draagvlak bestaat. Daardoor kan uiteindelijk het functioneren van de diensten en dus de democratische rechtsstaat geschaad worden.
De vrees dat de democratische rechtsstaat onvoldoende kan worden beschermd is een reden waarom Europese regeringen redelijk onderkoeld op de NSA-onthullingen reageerden. Naar aanleiding van een bericht in NRC Handelsblad van 23 november dat onthulde dat Amerika sinds de jaren na de Tweede Wereldoorlog afluisterde, reageerde premier Rutte met: ‘door te reageren zouden we inzage geven in onze informatiepositie. Dat zou afbreuk kunnen doen aan onze belangen.’ Zeker is dat elk land spioneert en wordt bespioneerd. Precies daarom hebben alle landen behalve inlichtingen- en veiligheidsdiensten ook afdelingen contraspionage.
De huidige discussie draait om de vraag welke en hoeveel informatie moet en mag worden ingewonnen. Dat is een oude discussie die te maken heeft met doelmatigheid en de balans tussen veiligheid en vrijheid. Een probleem is de technology push: als het technisch mogelijk is, is er een onbedwingbare neiging om alle data te verzamelen die voorhanden zijn, zonder naar de doelmatigheid ervan te kijken. Daarbij komt dat de hoeveelheid data die rond de wereld wordt gepompt zo groot is dat het onderscheppen van een fractie daarvan astronomische getallen oplevert. Toen bekend werd dat in december 2012 in Nederland de metadata van 1,8 miljoen telefoontjes door de NSA waren verzameld, zette minister Plasterk daartegen over dat het hier om 0,2 procent van het berichtenverkeer van die maand betrof.
Het verzamelen van metadata leidt tot de suggestie dat iedereen voortdurend wordt bespied. Maar dat klopt niet. Daarvoor is de hoeveelheid data te groot, kan een deel van het berichtenverkeer technisch niet worden onderschept, is de analysecapaciteit te klein en de gemiddelde burger te oninteressant. Ook is de suggestie onjuist dat het verzamelen van metadata de privacy per definitie aantast. Dat is pas het geval als de metadata worden geanalyseerd en wordt gekeken naar de inhoud van berichten.
Het verzamelen van die metadata lijkt mij echter een belangrijke mogelijkheid om verdachte patronen te onderkennen die nader onderzocht moeten worden. Het echte probleem lijkt niet de maatvoering of de hoeveelheid data die wordt verzameld, maar de kwaliteit van de analyse en wat er vervolgens mee gedaan wordt. Sommige experts stelden dat er gegevens beschikbaar waren op basis waarvan de aanslagen van 11 september 2001 en Boston van 15 april 2013 mogelijk voorkomen konden worden. Maar tegelijkertijd blijkt onder meer uit de studie Doelwit Europa die ik met Carla Relk schreef, dat inlichtingendiensten en politie alleen al in Europa tientallen aanslagen succesvol hebben voorkomen.
Tegelijkertijd constateert Sargentini terecht dat in databanken fouten kunnen zitten en dat de hoeveelheid namen die bijvoorbeeld in de Amerikaanse Terrorist Identities Data Environment zit te groot lijkt voor prudent inlichtingenwerk. Zo bezien kleven er ook risico’s aan zaken als de SWIFT-overeenkomst tussen de VS en de EU en het EURODAC-systeem waarin asielzoekers hun vingerafdrukken moeten geven zodat die vervolgens door de politie voor opsporingsactiviteiten kunnen worden gebruikt.
Maatvoering en kwaliteit van de analyse zijn twee verschillende vraagstukken. Wat maatvoering betreft, valt onmogelijk te zeggen hoeveel inlichtingen er maximaal mogen worden verzameld om terrorisme te voorkomen. Het dilemma is dat wanneer diensten hun werk goed doen, de roep klinkt dat het wel een tandje minder kan omdat de privacy gevaar loopt, maar dat wanneer het misgaat de roep klinkt om privacy ondergeschikt aan de veiligheid te maken.
Dit pleit ervoor om niet te proberen vast te leggen hoeveel data mogen worden verzameld, maar om naar de kwaliteit van de analyse te kijken. Van elke dienst of bedrijf mag worden verwacht dat die in orde is, maar dat is niet zeker. Een oplossing is om hoge schadevergoedingen uit te keren aan degenen die het slachtoffer zijn geworden van fouten. Die schadevergoedingen dienen zowel door overheden als door eventuele uitvoerende bedrijven te worden uitgekeerd. Internationale afspraken over data-uitwisselingen zouden slechts mogen worden gemaakt als tevens overeenstemming bestaat over dergelijke schadevergoedingen. Hierbij kan worden aangesloten bij een resolutie van de Algemene Vergadering van de VN die oproept slachtoffers van onrechtmatig overheidsoptreden te compenseren. Mogelijk kunnen regeringen hiermee het vertrouwen van burgers terugwinnen. Want in onze maatschappij blijken schadevergoedingen een goede buffer tegen willekeur.
Rob de Wijk is directeur van het HCCC Centre for Strategic Studies.
Sargasso heeft privacy hoog in het vaandel staan. Nu we allemaal meer dingen online doen is een goede VPN-service belangrijk om je privacy te beschermen. Volgens techsite CNET is NordVPN de meest betrouwbare en veilige VPN-service. De app is makkelijk in gebruik en je kunt tot zes verbindingen tegelijk tot stand brengen. NordVPN kwam bij een speedtest als pijlsnel uit de bus en is dus ook geschikt als je wil gamen, Netflixen of downloaden.
ANALYSE - De NSA blijkt niet de enige Amerikaanse overheidsorganisatie die wel raad weet met de nodige malware en spyware. Volgens Webwereld en the Washington Post gebruikt de FBI al jaren geavanceerde malware om de webcams van verdachten ongemerkt in te schakelen. Hoe zit dat en mag zoiets hier eigenlijk (ook)?
VERSLAG - Met de wetenschap dat de geheime diensten allerlei informatie over onschuldige burgers verzamelen, heeft de ACLU (American Civil Liberties Union) ter illustratie een fictieve rapportage gemaakt: “Meet Jack. Or, What The Government Could Do With All That Location Data”. Dat dit geen pure fictie is, liet de Washington Post gisteren zien.
Het schijnt dat De Correspondent binnenkort met een analyse van de locatiedata van een vrijwillig ‘slachtoffer’ komt.
Wat kan de overheid nou zoal doen met alle data die ze tegenwoordig van ons opslaan? Fictief voorbeeld vanuit de VS. En ja, het grootste deel daarvan is ook in Nederland uitvoerbaar.
Op aandringen van de ChristenUnie en SP gaat minister Ronald Plasterk van Binnenlandse Zaken aan de Amerikaanse ambassade vragen of er niet afgeluisterd wordt met de antennes die op het dak van de ambassade staan. Voor wie wel eens in Den Haag geweest is: de Amerikaanse ambassade ligt lekker dicht bij het Binnenhof en verschillende ministeries (onder andere ministerie van Financiën) én dichtbij andere ambassade. Perfecte plek om eens wat radioverkeer op te vangen dus. Daar hebben we het op Sargasso al eens eerder over gehad.
NIEUWS - Het persbureau RIA Novosti wordt per direct opgeheven door een decreet dat president Vladimir Poetin heeft uitgevaardigd. Er komt een nieuw persbureau dat vertaald Russia Today heet, maar dat onafhankelijk zal opereren van de televisiezender Russia Today.
RIA Novosti schrijft in een persbericht:
The move is the latest in a series of shifts in Russia’s news landscape, which appear to point toward a tightening of state control in the already heavily regulated media sector.
NIEUWS - Eén van de grootste bedrijven van de VS die zegt zichzelf te moeten beschermen tegen de eigen overheid en als een net zo groot veiligheidsrisico ziet als cybercriminaliteit. Het moet niet gekker worden.
Dat kan! Sargasso is een collectief van bloggers en we verwelkomen graag nieuw blogtalent. We plaatsen ook regelmatig gastbijdragen. Lees hier meer over bloggen voor Sargasso of over het inzenden van een gastbijdrage.
Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.