De vrijwillige glijbaan naar mondiale surveillance

Nederland lag tot en met het eind (en terecht) dwars, maar nu is de kogel dan toch door de kerk. De nieuwe EU-wet tegen online kindermisbruik introduceert een systeem waarin appmakers “vrijwillig” hun platforms kunnen scannen. Niet meer verplicht, zoals eerder, waardoor bijna iedereen overstag ging. Dat klinkt alsof Europa het netjes aan bedrijven laat om te bepalen of ze hun gebruikers aan algoritmische inspectie onderwerpen. Maar die vrijwilligheid is vooral een diplomatiek doekje voor het bloeden. De werkelijke consequenties liggen, behalve in Europa ook ver daarbuiten. Want zodra een grote appmaker één regio bedient met “vrijwillig” ingebouwde scanmechanismen, ontstaat er een wereldwijd precedent. En als één partij in Europa overstag gaat, dan wordt de druk op de anderen vanzelf groter: want 'wat hebben zij te verbergen?'. En 'denk aan onze kinderen!'. Als bijvoorbeeld Meta de scanner inbouwt voor Europa, dan kunnen Rusland en China precies hetzelfde eisen, maar dan zonder het gêne van een publieke rechtvaardiging, en het bestaat al! Europa heeft immers gezegd dat de technologie moreel en juridisch acceptabel is. En wat acceptabel is voor Brussel, wordt bruikbaar voor regimes die minder scrupules hebben. Vrijwillig scannen in Europa leidt tot verplicht scannen elders. Dit is het patroon waarin een liberale rechtsstaat, goedbedoeld of niet, technologie legitimeert die vervolgens in autoritaire - en misshcien in de eigen - handen verandert in een machtsmiddel. Function creep is daarbij geen risico maar een zekerheid: zodra de scanner bestaat, groeit het toepassingsgebied vanzelf. Eerst alleen beelden. Dan ook teksten. Daarna metadata. Vervolgens “verdachte patronen”, want dat klinkt als moderne veiligheid. En uiteindelijk kan elke overheid het label “bescherming” plakken op wat feitelijk gedragsanalyse is. Dat is de kern van het probleem: function creep stopt nooit bij het oorspronkelijke doel. Politie en inlichtingendiensten hebben een lange geschiedenis waarin bevoegdheden, eenmaal toegekend, meteen aan uitbreiding toe zijn. De vrijwillige optie is het startschot van die uitbreiding. Niet omdat alle overheden kwade intenties hebben, maar omdat de logica van surveillance altijd verder gaat dan de eerste versie. Alles wat gescand kán worden, zal vroeger of later gescand wórden. Buiten Europa speelt nog iets anders. Lokale activisten, journalisten en oppositieleden vertrouwen op end-to-end encryptie om niet in handen te vallen van veiligheidsdiensten die weinig grenzen kennen. Als apps wereldwijd worden gedwongen om te kiezen tussen Europese compliant-scanning of het verlies van een gigantische markt, dan is die encryptie niets meer waard. De scanner zit immers al in de app. Autoriteiten hoeven alleen nog een juridisch smoesje te verzinnen om toegang te eisen tot de output. En zo ontstaat een pervers exportmechanisme. Europa bouwt een infrastructuur met een vriendelijk sausje, andere landen nemen de rauwe variant ervan over. De EU kan dan trots verklaren dat alles “vrijwillig” gebeurt, terwijl de rest van de wereld gedwongen meebuigt. Het eindpunt is een mondiale normalisatie van controle, waarbij elk bericht standaard wordt behandeld als potentieel bewijs. Vrijwilligheid is hier dus geen bescherming maar een opstap. De scanner wordt geboren als optie en eindigt als norm, zowel binnen als buiten Europa. En tegen de tijd dat iemand zich afvraagt hoe dit zo heeft kunnen gebeuren, is het zoals gewoonlijk al te laat.

Door: Foto: Towfiqu barbhuiya on Unsplash
Foto: Apionid (cc)

Met spionage leer je veel, maar kun je weinig

, door

COLUMN - Het was volgens de CIA zelf de ‘inlichtingencoup van de eeuw’: West-Duitsland (de BRD) en de VS waren de geheime eigenaren van een Zwitsers bedrijf, Crypto AG, opgericht in 1952. Crypto AG verkocht overheden machines waarmee berichten konden worden versleuteld. Ze bouwden een achterdeur in. Zo aten de VS en de BRD van twee walletjes: ze verdienden goud geld aan de machines, die aan bijna 130 staten werden verkocht; én ze konden op hun gemak de veilig gewaande communicatie van vriend en vijand doorspitten.

West-Duitsland en de VS lazen berichten mee over de militaire coup in Chili tegen Salvador Allende, over de grootschalige mensenrechtenschendingen in Argentinië onder Jorge Videla, over de gijzeling van VS-diplomaten in de Amerikaanse ambassade in Teheran, en de vredesbesprekingen tussen Israël en Egypte in Camp David, onder leiding van Jimmy Carter.

Het verhaal kwam afgelopen week naar buiten. Maar dat was niet voor het eerst.

In 1986 meldde Ronald Reagan, indertijd de Amerikaanse president, dat de VS diplomatiek verkeer van Libië had onderschept en zo met zekerheid wist dat Moammar Gaddafi achter de bomaanslag op een Berlijnse disco had gezeten. Al snel werd de betrouwbaarheid van Crypto AG in twijfel getrokken.

Lezen: De BVD in de politiek, door Jos van Dijk

Mededeling

Tot het eind van de Koude Oorlog heeft de BVD de CPN in de gaten gehouden. Maar de dienst deed veel meer dan spioneren. Op basis van nieuw archiefmateriaal van de AIVD laat dit boek zien hoe de geheime dienst in de jaren vijftig en zestig het communisme in Nederland probeerde te ondermijnen. De BVD zette tot tweemaal toe personeel en financiële middelen in voor een concurrerende communistische partij. BVD-agenten hielpen actief mee met geld inzamelen voor de verkiezingscampagne. De regering liet deze operaties oogluikend toe. Het parlement wist van niets.

Waan van de dag

Voorstel Europees Parlement voor verplichten encryptie en verbieden achterdeurtjes

, door

NIEUWS - De commissie voor Burgerlijke vrijheden, Justitie en Binnenlandse Zaken van het Europees parlement heeft een amendement ingediend om het recht op privacy zo uit te breiden dat burgers recht hebben op end-to-end encryptie en overheden wordt verboden om achterdeurtjes in software te creëren: Respect for private life and the protection of personal data in electronic communications.

Het voorstel van de Europese Commissie wordt op nogal wat plaatsen gewijzigd, dus het laatste woord zal hierover nog niet zijn gezegd.

Foto: Vincent Truchseß (cc)

Een achterdeur in Whatsapp

, door

Mensen doen soms een envelop om hun e-mailtje of hun appje, zodat alleen zijzelf en de geadresseerden dat kunnen lezen. Omdat inbraken op andermens’ berichtenverkeer akelige consequenties kunnen hebben en mensen aan hun privacy hechten, bouwen applicatiebouwers zulke versleuteling vaker in. Whatsapp versleutelt automatisch alle berichten, net als Signal en Telegram; ook Facebook Messenger wil versleuteling tot standaard verheffen.

Evenredig aan de behoefte van gebruikers aan veiligheid en versleuteling groeit de wens van overheden om achterdeurtjes in te bouwen: wegen om die encryptie te breken. Zonder die achterdeurtjes zou de overheid machteloos staan tegen criminelen, is het verhaal.

Al in 1988 fileerde Intel-techneut Timothy C. May die retoriek: hij destilleerde de doembeelden van toen en noemde die, met een klassieke verwijzing, de Vier Ruiters van de Infocalyps: terroristen, pedofielen, drugsdealers en witwassers.

Minister Grapperhaus van Justitie en Veiligheid bepleitte onlangs in navolging van zijn Amerikaanse collega William Barr dat internetplatforms de sleutels van hun gebruikers aan justitie moesten kunnen overhandigen, om opsporingsdiensten toegang te verschaffen tot berichten- en chatverkeer. Heel Bijbelvast legde Grapperhaus de nadruk op kinderporno als argument om zijn ‘sleutelrecht’ op te eisen: ‘Wat ik graag zou willen is met grote internetpartijen om de tafel en zeggen: luister, we gaan het nu zo regelen dat wij in ieder geval als er sprake is van verdacht verkeer toch een toegang kunnen krijgen om te kunnen zien wat zich er precies afspeelt.’

Foto: Frédéric Poirot (cc)

Achterdeurtjes

, door

OPINIE - Het is de natte droom van ieder machtspoliticus: mee kunnen kijken in alle (digitale) communicatie. Het stond al op het verlanglijst van Duitsland en het VK. Australië legde het al daadwerkelijk vast in wetgeving. En nu wil minister Ferd Grapperhaus het ook: via de achterdeur toegang tot allerlei communicatiediensten.

Steevast is het argument dat we de slechteriken – terroristen, criminelen en ander gespuis – moeten kunnen vangen. Dat speelt namelijk goed in op het sentiment van veiligheid. Niemand wil worden opgeblazen. Niemand wil worden beroofd. Niemand wil het slachtoffer worden van een verkrachting. Dus een beetje privacy opofferen kan geen kwaad toch? Het is een effectieve redenering waar veel mensen gevoelig voor zijn en dus makkelijk in meegaan. Het is echter ook een te simplistische redenering.

Doel van encryptie

Het fenomeen encryptie bestaat niet voor niets. Encryptie is bedoeld om informatie uit handen van anderen te houden. Of het nu om het beveiligen van communicatie gaat, het beveiligen van banksystemen of het beveiligen van nucleaire installaties, het doel is altijd hetzelfde: ongewenste indringers buiten de deur houden. Niemand wil de veiligheid daarvan op het spel zetten.

Het klopt dat ook de minder frisse figuren in onze samenleving gebruik maken van beveiligde communicatie. Maar dat is geen reden om de beveiliging dan maar wat te verminderen. Criminelen en terroristen maken ook gebruik van geld, wegen, scholen, bibiotheken en supermarkten. Die schaffen we toch ook niet af?

Lezen: Venus in het gras, door Christian Jongeneel

Mededeling

Op een vroege zomerochtend loopt de negentienjarige Simone naakt weg van haar vaders boerderij. Ze overtuigt een passerende automobiliste ervan om haar mee te nemen naar een afgelegen vakantiehuis in het zuiden van Frankrijk. Daar ontwikkelt zich een fragiele verstandhouding tussen de twee vrouwen.

Wat een fijne roman is Venus in het gras! Nog nooit kon ik zoveel scènes tijdens het lezen bijna ruiken: de Franse tuin vol kruiden, de schapen in de stal, het versgemaaide gras. – Ionica Smeets, voorzitter Libris Literatuurprijs 2020.

Foto: KamiPhuc (cc)

Rupsje Nooitgenoeg

, door

COLUMN - Kijk hem staan. Ietwat slobberig in het pak – de armen te iel voor de mouwen –, zijn helderblauwe ogen priemend, de mondhoeken misprijzend naar beneden, de vuisten gebald. Rob Bertholee, hoofd van de AIVD. Zijn grootste vijand: terreurorganisaties. Zijn op een na grootste vijand: ons aller privacy. Om de eerste vijand te verslaan, moeten wij burgers het tweede opgeven, vindt hij.

‘Ik vind privacy ook uiterst belangrijk,’ begint hij. Ja, wat moet hij anders: zeggen dat je privacy onzin vindt is voor een hoge ambtenaar onaanvaardbaar, het is immers een grondrecht? Maar verder moet hij er eigenlijk niets van hebben.

Bertholee deelt het volk fijntjes mee – toevallig precies in de week waarin het boek van Maurits Martijn en Dimitri Tokmetzis, over alle privacy-vermalende beleidsmaatregelen die overheid en bedrijfsleven het afgelopen decennium hebben genomen, insloeg als een bom – dat privacy-voorvechters hartstikke gevaarlijk zijn.

Zouden mensen die privacy als hoogste doel hebben dat net zo enthousiast nastreven als zij slachtoffers zijn van een aanslag? Als zij weten dat zij hebben toegestaan dat zoiets gebeurt?

Hoe vals van Bertholee: alsof er aanslagen plaatsvinden omdat er teveel privacy is. Alle terroristische aanslagen zijn uitgevoerd door mensen die al bekend waren bij de AIVD of hun internationale collega’s. Die verdachten verloren de veiligheidsdiensten echter uit het oog door een overmaat aan bureaucratie, door gebrekkige onderlinge samenwerking en door de door henzelf gecreëerde overmaat aan signalen – immers: hoe meer triggers, hoe meer loze meldingen, en hoe meer nutteloos werk. De AIVD kan simpelweg niet uit de voeten met de grote hoeveelheid door henzelf geplante vlaggetjes.

Foto: Jeremy Brooks (cc)

Privacy in Europa, achterdeurtjes in de VS

, door

ACHTERGROND - Het Hof van Justitie van de Europese Unie heeft op 6 oktober de Safe Harbour beschikking van de Europese Commissie ongeldig verklaard. Aanleiding voor deze uitspraak is de zaak die de Oostenrijkse Maximillian Schrems had aangespannen tegen Facebook. Volgens Schrems hebben de onthullingen van Edward Snowden aangetoond dat de VS geen passend beschermingsniveau bieden voor persoonsgegevens tegen Amerikaanse inlichtingendiensten.

De Europese privacywetgeving stelt dat het verboden is om persoonsgegevens terecht te laten komen (voor opslag en/of bewerking) in een land buiten de EU als dat land niet voldoet aan de Europese maatstaven voor privacybescherming.
Omdat Europese bedrijven en burgers massaal zaken doen met Amerikaanse bedrijven is in 2000 het Safe Harbour verdrag gesloten. Amerikaanse bedrijven die de Safe Harbor richtlijnen respecteren, krijgen een uitzonderingspositie. Dat betekent dat Amerikaanse bedrijven – van Apple tot Facebook en van Google tot Amazon – alleen Europese persoonsgegevens mogen verwerken in Amerikaanse datacenters als ze voldoen aan die regels.

Tegenover de Safe Harbor Act staat de in 2001 opgetuigde Patriot Act opgetuigd (een reactie van de Bush-regering op 9/11). Een belangrijke bepaling in de Patriot Act is dat Amerikaanse bedrijven die actief zijn in andere landen, toegang moeten geven tot hun gegevens – zonder gerechtelijk bevel. De Patriot Act en de Safe Harbor Act stonden uiteraard met elkaar op gespannen voet.

Lezen: Bedrieglijk echt, door Jona Lendering

Mededeling

Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.

Volgende