Overleven in de personal information economy (5/6)

Alle consumenten, in Nederland en daarbuiten, laten een groeiende digitaal spoor achter in de duizelingwekkende grote databanken van het bedrijfsleven. En we worden omringd door een wolk van klantprofielen. Op basis daarvan worden we gelabeld, gestuurd, verleid en beoordeeld. Dit raakt niet alleen onze privacy. Deze klantprofielen bepalen of we worden bediend en tegen welke prijs en zijn dus direct van invloed hoe we ons kunnen handhaven in de informatiemaatschappij. Een serie. Vandaag deel 5: bedrijfsleven en overheid, een symbiotische relatie.

We hebben in eerdere afleveringen gezien hoe belangrijk de databronnen van de overheid zijn voor bedrijven. De hele marketingsector (en later Customer Relationship Management) zouden niet bestaan zonder de geodemografische informatie die bedrijven uit openbare bronnen plukken.

Andersom leunt de overheid in toenemende mate op de data die in het bedrijfsleven aanwezig is. En dat is allerminst onschuldig.

Wie wat bewaart, heeft wat. Dat dacht de regering ook en die kreeg het parlement zover om op 1 januari 2006 de Wet vorderen gegevens aan te nemen. Ondanks grote bezwaren van het College Bescherming Persoonsgegevens (CBP) waarschuwde dat elk bedrijf hierdoor een verlengstuk van justitie wordt. Die kritiek werd gehoord, maar grotendeels genegeerd. Opsporings- en veiligheidsdiensten konden altijd al bij overheidsorganen informatie over verdachten en niet-verdachten opvragen. Maar nu is ook het Nederlandse bedrijfsleven onder dit regime geplaatst. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) kreeg kort daarop de bevoegdheid om complete bedrijfsdatabanken op te vragen, te koppelen en te doorzoeken op verdachte verbanden.

politievrouw voor kantoorDe wetten passen in een langere reeks van maatregelen die het bedrijfsleven inschakelen in de bestrijding van terrorisme en criminaliteit. In het rapport Van privacyparadijs tot controlestaat? Misdaad- en terreurbestrijding in Nederland aan het begin van de 21ste eeuw schrijven onderzoekers van de Universiteit van Tilburg (UvT) dat bedrijven steeds meer informatie over hun klanten moeten verzamelen. Deze gegevens worden langer bewaard en vaker ter beschikking gesteld aan politie en justitie. Bedrijven moeten ook vaker uit eigen beweging melden, of zoals sommigen zeggen ‘klikken’, als ze een opmerkelijke transactie, website of gedraging tegenkomen. Een contante storting op de rekening van de salafistische Haagse As-Soennah moskee bijvoorbeeld kan argwaan wekken.

Vooral de financiële sector, de telecommunicatie-, internet- en vervoersbedrijven voelen de hete adem van justitie in hun nek. Bart Custers, post-doc onderzoeker aan de UvT en privacydeskundige bij het ministerie van Justitie: ‘Banken zijn na 9/11 verplicht profielen op te stellen van hun klanten in een Know Your Customer-systeem. Ze moeten precies weten met wie ze zaken doen en welke klanten een verhoogd risico vormen. Verdachte transacties moesten altijd al worden gemeld, maar de lijst van wat verdacht was, is enorm uitgebreid. Bestaande en nieuwe klanten moeten uitvoerig worden gecontroleerd.’’ Iets langzamer dan in Amerika zijn ook in Nederland de Know Your Customer-eisen aangescherpt. Daarom moesten alle klanten vorig jaar met hun paspoort langskomen. Custers zag dat in sommige gevallen onterecht alarmbellen gingen rinkelen. Klanten ­ bijvoorbeeld zij die vliegles namen ­ waren op grond van hun kenmerken onterecht terechtgekomen in een risicorijk profiel. Custers: ‘Het blijft speuren op basis van documenten, en die zijn te vervalsen.’

De grote rol die financiële instellingen krijgen in de opsporing van verdachte personen komt de overheid goed uit, zegt Cees Schaap, directeur van SBV Forensics in Dordrecht. ‘Door de meldingsplichten zijn banken gedwongen uitgebreide dossiers over hun klanten aan te leggen. In het geval van risicogroepen gaan banken er soms toe over via derde partijen extra informatie te verkrijgen. Vaak is dat gericht op andere bedrijven, soms ook op individuen. Mijn bedrijf doet dergelijk customer and enhanced due dilligence-onderzoek, zij het op beperkte schaal. Maar er zijn ook een paar heel grote internationale bedrijven die dit doen, zoals Kroll Associates en ChoicePoint.’ Als uit zo’n onderzoek een verdenking rijst, moet een bank dat melden. ‘Voor de opsporingsdiensten is dat natuurlijk reuze handig. Die krijgen kant-en-klare onderzoeken aangeleverd.’ Het stoort Schaap dat de overheid bedrijven zo tot grote investeringen dwingt, maar daar niet de middelen voor geeft.

Bellen

De nieuwe bevoegdheden van politie, justitie en veiligheidsdiensten worden ook buiten de financiële wereld ervaren. Bijvoorbeeld in de telecommunicatie- en internetsector, waar de weerstand groot is. Zo moeten telefoniebedrijven alle belgegevens van hun klanten zes maanden bewaren. Ook wil de overheid dat telefoniebedrijven bijvoorbeeld de locatiegegevens tijdens het bellen bijhouden. Daarmee kan zes maanden na dato tot enkele honderden meters worden nagegaan waar iemand zich bevond, met wie hij belde, hoe lang, et cetera. Deze gegevens worden nu nog niet geregistreerd ­ voor een telefoonaanbieder is alleen belangrijk waar het gesprek begint en eindigt.

Ook internetproviders moeten hun bedrijfsvoering aanpassen om te voldoen aan de eisen van justitie. Sinds september 2008 zijn ze verplicht dagelijks een actuele lijst met namen en adressen achter e-mailaccounts en IP-adressen naar het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) te sturen. Hiermee kunnen personen achter internetadressen worden gevonden. Een audit uit 2009 wees uit dat de gebruikers, vooral politiemensen, in cruciale gevallen wordt ten onrechte geen proces verbaal opgesteld; b. er is geen controle van de bevragingen van het CIOT; c. persoonsgebonden PIN-codes voor het CIOT worden ten onrechte onderling uitgewisseld; d. corrigerende maatregelen bij onrechtmatige bevraging blijven uit; e. de kennis van wet- en regelgeving van een deel van de betrokkenen is onvoldoende; f. opsporingsambtenaren vragen historische gebruiksgegevens zonder de vereiste bevoegdheid op; en g. de BOID ervaren de privacybeschermende maatregelen als administratieve last, zodat de voorgeschreven procedures niet gevolgd worden.

vliegtuigIntussen kijken de VS mee. Wie met een Nederlandse maatschappij vliegt op Amerika, kan ervan uitgaan dat naam, creditcard- en bankgegevens, vliegverleden en zestien andere persoonsgegevens al bij de douane bekend zijn voordat het vliegtuig landt. Bestel je een maaltijd zonder varkensvlees ­ zij weten ervan. De EU en de VS hebben onlangs een overeenkomst gesloten over doorgifte van deze Passenger Name Records (PNR). Maar nog steeds is er geen controle mogelijk op wat er in de VS met de gegevens gebeurt. En de bewaartermijn ervan in Amerikaanse databanken is van drieënhalf jaar uitgebreid naar vijftien. Wel heeft de EU gevraagd om wederkerigheid: de Europese diensten willen delen in de informatie die de Amerikanen van de Europese luchtvaartmaatschappijen krijgt. Maar het gaat nog veel verder. Niet alleen vliegtuigmaatschappijen komen in de knel te zitten. Ook banken.

De na 9/11 ingevoerde Patriot Act heeft een ‘extraterritoriale’ werking. Buitenlandse bedrijven met een vestiging in de VS en banken die een rekening aanhouden in New York (nodig voor internationale transacties) vallen onder de Amerikaanse wetgeving en moeten op verzoek alle informatie leveren die de opsporings- en veiligheidsdiensten vragen. Ook al bevindt die informatie zich buiten de VS, bijvoorbeeld in Brussel of Nederland.

Zo onthulde The New York Times in 2005 dat het Belgische bedrijf SWIFT, dat ruim negentig procent van de internationale financiële transacties verzorgt, de Amerikaanse justitie liet meekijken in miljoenen banktransacties van Europeanen. De klanten van de banken, wier gegevens naar Amerika zijn doorgespeeld, was nooit verteld wat er gebeurde. De toezichthouders van SWIFT, zoals de Europese Centrale Bank en de Nationale Bank van België wisten ervan, maar zwegen. De meeste centrale banken informeerden zelfs hun eigen overheden niet. De doorgifte van deze gegevens is, als het goed is, gestaakt, maar het gesteggel tussen de VS en in het bijzonder het Europees Parlement gaat onverminderd door.

Banken in de knel

En Europese banken geven ook rechtstreeks gegevens van hun klanten aan de Amerikaanse autoriteiten. In de eerste drie maanden dat de Patriot Act van kracht was, waren er meteen 90 buitenlandse bankrekeningen gecontroleerd. Inmiddels zijn we jaren verder en kunnen meer dan 150 Amerikaanse overheidsdiensten, van CIA, FBI, OFAC tot de Amerikaanse postdienst, de bestanden van financiële instellingen laten doorzoeken. Dat gaat allemaal via het Amerikaanse Financial Crimes Enforcement Network. De Rabobank liet in 2007 aan NRC-journalist Joep Dohmen en mij weten dat haar vestiging in New York inderdaad verzoeken krijgt van Amerikaanse opsporingsdiensten buiten het officiële rechtshulptraject om, gebaseerd op de Patriot Act. ,,Daar wordt door ons aan meegewerkt, ook als het gaat om bankgegevens die uit Europa komen. Wij doen precies wat we volgens de Amerikaanse wet moeten doen’’, zegt een woordvoerster. De bank wil niet zeggen niet hoeveel verzoeken jaarlijks binnenkomen. Ook over de inhoud ervan zegt de bank niets. Volgens de Rabobank komen ook bij het hoofdkantoor in Utrecht sporadisch verzoeken vanuit Amerika binnen. In zo’n geval verwijst de bank de vragende instantie door naar de Amerikaanse ambassade in Nederland of naar de Nederlandse politie. De woordvoerster: ,,Die komen dan met het verzoek terug bij ons, soms door tussenkomst van de Nederlandse geheime dienst, de AIVD. De dienst krijgt de gegevens van de Rabobank en die stuurt hij dan door naar de VS’’.

beveiligers voor een bankING zei in een reactie dat het in strijd is met ons beleid om nadere informatie te verstrekken omtrent gegevens die door de autoriteiten worden opgevraagd en omtrent de vraag in hoeverre ING aan deze verzoeken gevolg heeft gegeven. Bij ABN Amro is het weinig anders: ABN Amro respecteert de nationale, Europese en andere relevante internationale wetgeving ten aanzien van het verstrekken van informatie aan autoriteiten. ,,Als er een spanningsveld bestaat tussen de eisen die door autoriteiten [..] aan ons gesteld worden, dan gaan wij daarover – als dat nodig is – in overleg met onze toezichthouders om tot een oplossing te komen.’’

Europese banken staan voor een dilemma. Aan de ene kant willen ze hun relatie en positie in de VS niet beschadigen. Maar aan de andere kant mogen ze volgens Europese wetten voor strafvordering en voor privacybescherming zulke gegevens niet afstaan zonder dat de vereiste juridische wegen zijn bewandeld. Volgens de koninklijke weg zouden de Amerikanen eerst een rechtshulpverzoek moeten doen, of een verzoek moeten indienen bij een Nederlandse toezichthouder. Als banken toch rechtstreeks aan de achterdeur informatie afgeven aan de Amerikanen, overtreden ze in Europa de wet. Een recent rapport (27 juni 2007) van het ministerie van Financiën meldt dat de afgelopen jaren in zeker vier gevallen Nederlandse banken zijn gedwongen om informatie die in Nederland lag, af te geven, wat in strijd is met de internationale regels hierover. Minister Bos schreef in de begeleidende brief aan de Tweede Kamer: ‘Naast de gevallen waarin concreet om gegevens werd verzocht, is naar voren gekomen dat Nederlandse ondernemingen een constante druk voelen van de Amerikaanse instanties die met toezicht en opsporing zijn belast.’

Maar het houdt niet op bij cliëntgegevens van Europese banken, de Amerikaanse arm reikt verder. Dat vermoedt Willem Debeuckelaere. Hij is ondervoorzitter van de Belgische Commissie voor de Bescherming van de Persoonlijke Levenssfeer. Debeuckelaere vreest dat SWIFT of banken of vliegtuigpassagierslijsten maar stukjes van de puzzel zijn. Debeuckelaere: ,,Voor zover wij het nu zien, gaat het niet alleen om banken. We hebben nog geen concrete bewijzen, maar ook andere bedrijven die een band met de VS hebben, kunnen gevraagd worden de meest vertrouwelijke gegevens van hun Europese klanten te leveren. Neem softwarebedrijven die economische, medische of juridische gegevens van klanten uit Europa in handen hebben. Er zijn nogal wat firmas uit de VS die hier werken. Volgens de Amerikaanse wetgeving kunnen bedrijven als Unisys verplicht worden die informatie door te sturen.’’ Waar houdt het op? De Amerikaanse wet geldt immers ook voor niet-Amerikaanse bedrijven. Debeuckelaere: ,,Neem uw KLM of Koninklijke Shell. Ook bij hen kunnen gegevens, van welke aard dan ook, worden opgevraagd. Je moet er niet aan denken wat dat kan betekenen.’’

Overmorgen het laatste deel: nieuwe verhoudingen?

  1. 1

    “Voor zover wij het nu zien, gaat het niet alleen om banken…ook andere bedrijven die een band met de VS hebben, kunnen gevraagd worden de meest vertrouwelijke gegevens van hun Europese klanten te leveren. Neem softwarebedrijven die economische, medische of juridische gegevens van klanten uit Europa in handen hebben.”

    [paranoia=aan]
    Uw vingerafdrukken in het paspoort komen terecht bij de Franse militaire industrie (SAFRAN)

    SAFRAN heeft kantoren en fabrieken in de USA

    De VS kan ZONDER rechtshulpverzoek de gehele database met onze vingerafdrukken vorderen, ook al bevindt de database zich op Europees grondgebied, en SAFRAN is verplicht aan dit verzoek te voldoen.
    [paranoia=uit]

    Of draaf ik een beetje door?

    ps aan redactie: linkje toegestane HTML-tags werkt bij mij niet meer, wordt naar https://sargasso.nl/archief/2010/04/29/overleven-in-de-personal-information-economy-56/# gestuurd.

  2. 2

    Volgens het NL recht moeten de VS wel degelijk met een rechtshulpverzoek komen. Ze doen dat alleen niet en zetten bedrijven onder druk om mee te werken. Naar mijn weten – maar ik kan dat niet hard maken – gebeurt dat nog steeds. Bedrijven zitten klem tussen EU en VS, maar ja, naar wie luister je? Juist.

    Je vingerafdrukken aan een privaat bedrijf geven is idioot. Gebrek aan voorstellingsvermogen. Hadden we een paar jaar geleden kunnen bevroeden dat complete landen faiiliet kunnen gaan door complexe hypotheekbundels? Als de bekende zwarte zwaan weer eens langs komt dobberen, zullen we daar niet blij mee zijn. Het DNA van de hele IJSlandse bevolking is inmiddels ook in handen van een buitenlandse investeerder. Brrrr.

  3. 3

    “Het DNA van de hele IJSlandse bevolking is inmiddels ook in handen van een buitenlandse investeerder. Brrrr.”

    Hier is nog een leuke film van gemaakt “Jar city”