De Wetenschappelijke Raad voor Regeringsbeleid (WRR) bracht vorige week het rapport iOverheid uit. Een blik op de vele informatiesystemen en het gebruik ervan bij de overheid. Dat is een pittige verhandeling met nog veel meer achtergrond informatie en visies erbij.
Maar 1 ding ontbreekt in het rapport. Een inventarisatie van alle systemen en databases. Dat is ook vrijwel een onmogelijke opgave natuurlijk, zeker als de diverse instaties zelf niet eens weten wat ze in huis hebben.
Maar een subset van die systemen en databases zou ik graag toch wat nader willen uitzoeken. Dat betreft de systemen waarin gegevens gebruikt worden die direct gekoppeld zijn aan personen. Dat zijn namelijk de privacy-gevoelige databases.
Een getal dat hierbij soms, zonder duidelijke onderbouwing, genoemd wordt is 200 tot 300 stuks.
Bekende voorbeelden zijn natuurlijk de Gemeentelijke Basisadministratie en de belastingsystemen. Maar waar staat er nog meer iets van u geregistreerd? En in hoeverre zijn die systemen aan elkaar gekoppeld? Daarvoor gebruiken we graag jullie kennis en inzet.
Geef in de reacties ieder systeem/database dat u maar kunt vinden. Daarbij zijn een paar aspecten belangrijk om te vermelden:
– Wat slaat men op?
– Waarvoor gebruikt men het?
– Van wie is het (bij welk overheidsorgaan is het ondergebracht)?
– Is het verplicht? Staat u er altijd in, of alleen onder bepaalde voorwaarden (bv uitkering)?
– Is het gekoppeld aan een ander systeem/database?
– Staat er ergens online een beschrijving? Dan natuurlijk een linkje graag.
Zonder Al Qaida zou het leven van een politiefunctionaris toch een stuk minder spannend zijn. Terrorismebestrijding is nu al tien jaar lang een vrijbrief om regels voor de privacybescherming op te rekken, niet zo nauw te nemen of gewoon te negeren. Bijvoorbeeld als het om bankgegevens gaat. Tot 2006 hadden Amerikaanse opsporingsfunctionarissen onbeperkt toegang tot alle banktransactiegegevens van SWIFT. Dat is de internationale organisatie die voor 9500 financiële instellingen over de hele wereld het grensoverschrijdend bankverkeer regelt. De VS kregen aanvankelijk voor de bestrijding van het terrorisme de beschikking over een back-up van de database van SWIFT. Toen dat in 2006 ontdekt werd kwam Europa, de Europese privacytoezichthouders en vervolgens het Europarlement in opstand. Dit ging toch echt te ver. Voor inzage in de bankgegevens van Europeanen kan alleen Europa toestemming geven. Onderhandelingen met de VS volgden die uiteindelijk leidden tot de gewenste zeggenschap van Europa, dacht iedereen. Maar de vorig jaar zomer nog afgezwakte regeling blijkt niet goed te werken. En, zo onthulde de NRC afgelopen zaterdag, Nederland biedt de VS een tweede kanaal om toch aan de gewenste gegevens te komen. Het kantoor van SWIFT staat weliswaar in België, maar het datacenter waar alle gegevens worden opgeslagen blijkt te staan in Zoeterwoude. Dat was tot nu toe bij niemand bekend. Ook niet bij de parlementariërs die een paar jaar geleden zonder morren akkoord gingen met een nieuw verdrag tussen Nederland en de VS waarin de uitwisselingen van gegevens in het kader van terrorismebestrijding was geregeld. In deze regeling stond dat alle gegevens die toegankelijk waren op Nederlands grondgebied onder het nieuwe verdrag zouden gaan vallen. Inclusief het SWIFT datacenter dus. Nu kan de VS dus via de Nederlandse route aan gegevens komen die via de bekende, aangepaste Europese route niet of minder snel ter beschikking komen.
Even een boze blogpost. In korte tijd tonen twee nieuwsberichten aan hoe Europese overheden en in het bijzonder het Nederlandse ministerie van Financiën zijn eigen burgers verraadt. Dat harde oordeel is niet overdreven. Wat is er aan de hand?
In 2006 onthulde de New York Times dat de Amerikaanse overheid in Europese bankrekeningen zat te snuffelen via SWIFT, de private Belgische onderneming die het internationale betalingsverkeer faciliteert. Privacyorganisaties en het parlement waren not amused, zeker toen bleek dat een aantal toezichthouders, waaronder De Nederlandsche Bank, hier allang van op de hoogte waren en het blijkbaar niet nodig vonden om de privacytoezichthouders hiervan te informeren. De verstrekking van gegevens werd stopgezet. Tenminste dat dachten we.
Al snel bleek dat Europese overheden weinig ophadden met de basale rechten van Europeanen. Onder grote Amerikaanse druk werd geprobeerd om een dag voor de inwerkingtreding van het Verdrag van Lissabon (en het parlement dus mocht meebeslissen) er snel een verdrag met de VS door te jassen. Ook met steun van Nederland. De Duitsers gingen dwarsliggen. Het verdrag kwam er niet.
Desondanks ging ook het parlement later akkoord, nadat de Amerikanen garanties hadden gegeven de opvragingen transparant te maken, zodat de Europese mogendheden konden controleren wat er met de gegevens van hun burgers gebeurde. Ook mocht er niet meer in bulk informatie worden opgevraagd.
D66-raadslid Thijs Kleinpaste en prominent PvdA’er Marcel Duyvestein knalden er vorige week keihard in: ze stelden dat religie ‘maar’ een mening is. En daarom moet de overheid zich niet met religie bemoeien. In hun ogen worden religieuze mensen stelselmatig voorgetrokken ten opzichte van de niet-religieuze meerderheid: in het onderwijs, met de belasting, in de Grondwet. Kleinpaste en Duyvestein streken daarmee tegen de haren van christelijk Nederland in. SGP-, CDA- en ChristenUnie-jongeren, maar ook een progressieve christen uit GroenLinks stelden dat religie meer dan een mening is. Daar moeten Duyvestein en Kleinpaste rekening mee houden, zo stelden ze. Waar staan progressieve liberalen tussen de radicale anti-klerikale atheïsten en orthodoxe confessionele christenen?
De kern van het betoog van Kleinpaste en Duyvestein kwam op het volgende neer: “Het probleem zit hem in de neiging het geloof in god net even hoger te waarderen dan willekeurig welke andere mening. (…) Dan is het idioot dat de ene mening meer bescherming geniet dan de andere.” En daarom “[moeten] [p]rivileges voor religies en gelovigen dus zoveel mogelijk uit de wet- en regelgeving geschrapt worden”.
Daar tegenover stelde zich een groep politieke christenen van divers pluimage. Zo stellen een drietal jongeren vanuit CU, SGP en CDA: “[e]en religie, komt [in tegenstelling tot een mening] niet uit de mens voort, maar is een geopenbaarde waarheid met transcendente oorsprong”. En dat heeft volgens SGP-jongere Nijsink morele en politieke implicaties: “Het geloof in God, als moreel kader, verkies ik boven een relativerende visie waarin alles gelijk is en waar er geen mening boven een andere mening telt.” En juist daarom pleit hij voor de vrijheid van godsdienst, tegenover de gelijkstelling van meningen: “Wie gelijkheid afdwingt verkleint vrijheid en wie vrijheid predikt moet ervan doordrongen zijn dat vrijheid op den duur leidt tot ongelijkheid, omdat mensen niet gelijk zijn.” Theo Brand, een exponent van een progressief-christelijke traditie stelt dat: “dat kerken vaak plaatsen zijn waar liefdadigheid plaatsvindt, waar mensen zich bezinnen, waar ruimte is voor opvang van uitgeprocedeerde asielzoekers” niet erkend wordt door Duyvestein en Kleinpaste.
De overheid moet meer verantwoordelijkheid nemen op ICT-gebied. Dat staat in het WRR-rapport iOverheid dat projectverantwoordelijke Corien Prins eergisteren overhandigde aan minister Donner van Binnenlandse Zaken en Koninkrijksrelaties.
We zijn bekend met het beeld van de eOverheid, de elektronische overheid. Dat is de overheid die denkt, discussieert en handelt vanuit toepassingen van de techniek: de OV-chipkaart, de Verwijsindex Risicojongeren en het Elektronisch Patiëntendossier.
Maar we kunnen ook door een andere lens kijken, waarbij de nadruk ligt op een kluwen van informatiestromen die stapje voor stapje, besluit na besluit is ontstaan. We zien dan ontelbare informatiestromen, op rijksniveau maar ook lokaal en Europees. Er is geen noemenswaardig besef van het ontstaan van deze iOverheid, waardoor deze nieuwe deze nieuwe digitale werkelijkheid in feite geen ‘natuurlijke’ begrenzing kent. De iOverheid is onder de politieke radar ontstaan, en ze zal onbekommerd verder groeien als ze daaronder blijft.
Wat zijn de belangrijkste kenmerken van de iOverheid?
Ten eerst is er de function creep: daarvan is sprake wanneer een systeem of applicatie in eerste instantie functie X dient, maar daar gedurende de tijd ook functie Y of zelfs Z aan wordt toegevoegd. Denk bijvoorbeeld aan het Schengen Informatie Systeem, het SIS, een Europese databank voor politie en justitie met gegevens over mensobjecten, zoals gestolen identiteitspapieren. Dit systeem moet het wegvallen van de fysieke grenscontroles in het Schengengebied compenseren. In eerste instantie had een relatief beperkte groep instanties toegang: politie, immigratiediensten, grensbewaking en douane. Bij de ontwikkeling van een tweede versie van het systeem zijn de mogelijkheden vervolgens sterk uitgebreid. Zo zijn ook vingerafdrukken opgenomen. Daarmee verandert het systeem al van karakter: niet meer alleen een signaleringssysteem, maar ook een opsporingssysteem. Instanties met geheel andere taken – antiterrorisme, opsporing van zware criminaliteit – krijgen toegang tot gegevens die in eerste instantie niet voor die taken zijn verzameld. Op Europees niveau haken Europol en Eurojust aan. Ook wordt er een koppeling gemaakt met het Visum Informatie Systeem (VIS) – het systeem voor alle reizigers met een visum – beoogd. Zowel de functionaliteit als het karakter van SIS zijn zo veranderd.
Een gastbijdrage van Jan-Jaap Oerlemans, promovendus aan de Universiteit Leiden. Zie ook zijn blog over cybercrime en privacy.
De rechtbank Den Haag heeft in een zaak geoordeeld dat bij het kraken van het wifi-netwerk geen sprake is van het delict computervredebreuk (hacken), zoals vastgelegd in artikel 138ab van het Wetboek van Strafrecht. Dit is naar mijn mening een verkeerd oordeel van de rechter. In de zaak ging het om een scholier van het Maerlant College in Den Haag die via het forum van de website 4chan.org zijn medescholieren met de dood had bedreigd met de volgende tekst:
“Tomorrow I’ll go and kill some peeps from my old school, the Maerlant college in The Hague. I have made arrangements already in the school, so I will be able to make a good getaway. I parked two vehicles next to both of the exits and have been studying the building plans. It will be all over the news soon :)”
Hij plaatste dit bericht online via het wifi-netwerk van zijn buurvrouw.
De verdachte heeft verklaard dat hij de inloggegevens van zijn buurvrouw heeft gekregen omdat zijn internetverbinding wel eens slecht was. De politie heeft bij KPN het IP-adres gevorderd vanwaar het bericht was verstuurd. Hier kwam het IP-adres van de buurvrouw naar boven. De router van de buurvrouw werd inbeslag genomen en hier werden vijf MAC-adressen op gevonden. Twee van de MAC-adressen waren van de laptop en PC van de onschuldige buurvrouw van de verdachte en de drie andere konden niet geïdentificeerd worden.
Esther Koppejan geeft trainingen en advies over veilig gebruik van internet en sociale netwerken. Zij heeft geen Facebook-account.
Woensdagavond zijn de Big Brother Awards 2011 uitgereikt. Helaas heeft mijn favoriet, de verzamelde gebruikers van Facebook, geen award gewonnen. Een award was misschien goed geweest voor de bewustwording, maar omdat een duurzame oplossing volgens mij beter werkt dat de schandpaal, opper ik in dit artikel een oplossing voor een deel van de privacy-problemen van Facebook.
Facebook is een notoire privacyschender, die steeds de grenzen van het toelaatbare opzoekt. Mensen zetten informatie over zichzelf en hun vrienden online, die vervolgens gebundeld en gebruikt wordt door allerhande commerciële partijen die er geld voor betalen. Niet zo gek, iemand moet voor de dienstverlening van Facebook betalen en de gebruikers doen dat niet.
Maar wat ik slecht vind, is dat er geen alternatief is.
Het is ófwel lid worden van Facebook en daarmee al je gegevens volledig ter beschikking stellen aan de enorme Facebook-database ten behoeve van allerhande commerciële fratsen ófwel geen gebruik kunnen maken van de mogelijkheden van de site en daarmee een belangrijke mogelijkheid missen om contact te houden met kennissen en vrienden.
Graag nemen we het stuk over dat Karin Spaink schreef voor de uitreiking van de Big Brother Awards. Het verscheen tevens op de opiniepagina van NRC Handelsblad en NRC.next. Beeld: voorkant van een t-shirt van Bits of Freedom, ontworpen door Suzanna Noort / suzero.com.
Het is een beleidsdogma geworden: we verliezen weliswaar onze privacy, maar ruilen die in voor veiligheid. Alleen wanneer de overheid ons adequaat kan controleren kan zij terreur en misdaad tegengaan, en alleen door ons te observeren is zij in staat ons tegen elkaar te beschermen.
Al doende dringt de overheid steeds dieper in ons privéleven door (zo wordt van alle burgers inmiddels secuur geregistreerd met wie ze bellen, mailen en sms’en, plus wanneer en vanaf welke locatie zij dat doen). De meeste burgers vinden dat echter geen probleem. Immers: wie niets te verbergen heeft, heeft niks te vrezen.
Die coulante houding van burgers is naïef. Ze is gestoeld op de gedachte dat de tomeloze nieuwsgierigheid van de overheid hen niet raakt en dat alleen ongure types eronder lijden. ‘Wat moeten ze met mijn gegevens? Ik ben niet interessant, ik doe immers niks verkeerds.’
Om drie redenen is die meegaandheid van burgers kortzichtig. Eén: we raken uit balans. Terwijl de burger transparanter wordt, wordt de overheid zelf juist ondoorzichtiger. Want wat doen ze eigenlijk met al die gegevens? Gaan ze daar volgens de regels mee om?
Gegeven de mogelijk impact van de ontwikkeling van de cybersecurity strategie, nemen we hier graag de analyse van Bits of Freedom over.
Voor het eerst heeft de Nederlandse overheid een strategie ontwikkeld op het complexe onderwerp ict-beveiliging. De Nederlandse Cyber Security Strategie (NCSS) bevat een aantal goede uitgangspunten, maar is vooral te weinig precies. Bits of Freedom somt vier ‘duivels in de details’ voor je op.
Steeds meer mensen hebben het over ‘cybersecurity’, nog steeds weet niemand wat het probleem is. Natuurlijk willen allemaal dat onze communicatienetwerken stabiel zijn en dat ons elektronisch patiëntendossier niet op straat komt te liggen. Maar waar gaat cybersecurity precies over? Beperkt het zich tot het beveiligen van onze ict-infrastructuur of gaat cybersecurity ook over opsporing van strafbare feiten op internet? En hoe kwetsbaar zijn we, hoe vaak worden onze gegevens gestolen of voeren landen een cyber-war met elkaar? Ongenuanceerde en apocalyptische scenario’s lijken hoogtij te voeren, in ieder geval in het maatschappelijke debat. Security expert Bruce Schneier spreekt van een ‘hype‘.
Tegen deze ingewikkelde achtergrond heeft de overheid haar Nederlandse Cyber Security Strategie ontwikkeld. Na eerste lezing stellen we vast dat er een algemene en te weinig concrete strategie is geformuleerd. Want zoals dezelfde Bruce Schneier steevast benadrukt: ‘much depends on the details’. Weliswaar bevat de strategie een aantal goede hoofdlijnen, maar haar gebrek aan detail biedt openingen voor te verregaande controle van het internet.
[youtube=4×3]e6t6d9YBuFM[/youtube]
via Glenn Greenwald
Update 13 maart 2011: ik zie dat de video niet meer beschikbaar is. De maker van de oorspronkelijke beelden claimt nu zijn copyright. Nadat de oude video was vervangen en werd gelinkt (via embedding) naar de oorspronkelijke 1 uur durende video – door de maker zelf op YouTube geplaatst – is ook deze verwijderd: want “privé” verklaard. En inderdaad, de haat voor mensen van een ander geloof of ras kan maar beter bedekt worden met de mantel der privacy, want het was bijzonder schandelijke wat er te zien was.