CleanIT: schoolvoorbeeld van een ontspoord veiligheidsproject
Het bestrijden van criminaliteit via internet is belangrijk. Het is dan ook onvergeeflijk als overheden geen idee hebben wat ze aan het doen zijn, onze internetvrijheid te grabbel gooien en bakken met belastinggeld pompen in amateuristisch broddelwerk zoals het CleanIT-project, stelt Ot van Daalen, directeur van Bits of Freedom.
Het onlangs gelanceerde Clean IT project is één van de ergste voorbeelden hiervan. We twijfelden zelfs of we er aandacht aan moesten besteden. Maar omdat het van serieuze overheidspartijen komt, leek het ons goed om toch eens in detail uit te leggen waarom dit project rechtstreeks de prullenbak in kan.
De drijvende kracht achter het Clean IT project is de Nederlandse Nationale Coördinator Terrorisme en Veiligheid (NCTV). Deelnemers zijn onder meer Spanje, het Verenigd Koninkrijk, Duitsland, België en Europol. Het doel van het project is “to counter the illegal use of the internet by terrorists”, zo staat op de website.
De leden zijn een aantal keren bij elkaar gekomen en gaan dat het komende jaar blijven doen. Uiteindelijk hopen ze regels te ontwikkelen om, ja wat precies? Het is onduidelijk, maar belooft weinig goeds.
Het doel is niet duidelijk
Alle overheidsprojecten moeten een helder omschreven en zo beperkt mogelijk doel hebben. Op die manier zorg je dat belastinggeld zo effectief mogelijk wordt ingezet. Bovendien kan je niet alle problemen in één keer oplossen. Daarnaast beperk je zo het risico dat het project ook voor andere doeleinden wordt ingezet (zogenoemde “function creep“). En als privacy en communicatievrijheid in het geding zijn, is een heldere doelomschrijving zelfs verplicht op grond van Europese mensenrechtenverdragen.
Het doel van het Clean IT project is de eerste maanden al hopeloos uit de klauwen gegroeid:
- Eerst was het projectdoel “combating the misuse of internet for Al Qaida influenced terrorist purposes” (project outline van 15 september 2011, PDF).
- Nog niet een maand later werd dit al uitgebreid. De workshop van het project werd georganiseerd “to discuss illegal use of the internet”. Opeens blijkt het project zich te richten op het misbruik van het internet door “terrorists and extremists”. En dat zijn er nogal wat: “all kinds of terrorists organizations, including lone wolf terrorists and individual extremists. Including (alphabetical) animal rights, left-wing, racist, religious, right-wing, separatist and all other terrorist and extremist organizations and individuals.” Al Qaida wordt niet meer specifiek genoemd. Zie het verslag van de workshop van 24 en 25 oktober 2011 (PDF).
- Bovendien blijkt het project zich opeens te richten op geweld en hate speech: “The project also aims to limit the use of the internet by organizations or individuals inciting murder and violence, and or publishing or disseminating racist and xenophobic material, and hate speech.”
- En terloops wordt opgemerkt dat het internet “is misused in many forms, including cybercrime, hate speech, discrimination, illegal software, child pornography and terrorism”.
De uitbreiding van het project wordt bevestigd in een voortgangsrapportage van 16 november 2011 (PDF). Desondanks schrijft het NCTV in een persbericht op 18 november 2011 dat het project nog steeds beperkt zou zijn tot Al Qaida: “The project focuses on Al Qaïda influenced content.”
Niet alleen zijn in een paar maanden de groepen waar het project zich op richt uitgebreid: ook is het soort gebruik in de loop van het project uitgebreid. Hoewel het project zich in eerste instantie richtte op “the illegal use” van het internet door bepaalde groepen, is het doel een maand later uitgebreid tot “the illegal and unwanted use” van het internet (verslag van workshop van 24 en 25 oktober 2011, onderstreping toegevoegd).
Dat betekent dus dat het project erop is gericht om gedrag dat niet op basis van een wet verboden kan worden, toch te beperken. Ook hier stelt het persbericht van een maand later weer dat het project zich beperkt “to counter the illegal use of the internet by terrorists”. Dat steekt des te meer, nu het project parlementaire controle omzeilt. We komen hieronder op terug.
De vraag is niet helder
Niet alleen moet het doel helder omschreven zijn: ook de vraag moet kraakhelder zijn. Want pas dan weet je naar welke oplossingen je moet zoeken. Het klinkt bijna te simpel. Maar niet voor het Clean IT project. In de project outline staat slechts een aanname: “The internet plays a central role and is of great strategic importance for Al Qaida influenced extremist networks.” Daar volgt geen vraag uit.
Terwijl de vraag van alles kan zijn: hoe kan worden voorkomen dat aanhangers van Al Qaida gebruik maken van het internet, of dat sympathisanten fondsen werven via het internet, of dat zij nieuwe recruten werven via het internet? Ga zo maar door.
Ook een maand later was nog steeds niet duidelijk wat de deelnemers precies aan het oplossen waren. En toch organiseren ze allemaal workshops. Als je geen duidelijke vraag hebt, zijn alle zogenaamde oplossingen nutteloos. Want je weet niet of ze werken.
De gevolgen voor communicatievrijheid en privacy worden niet besproken
Clean IT maakt inbreuk op de privacy en communicatievrijheid. Daarom schrijven de organisatoren dat respect voor fundamentele rechten onderdeel moet zijn van het project. Maar dat voornemen opschrijven is niet voldoende: er moet expliciet onderzoek worden gedaan naar de manieren waarop deze grondrechten worden ingeperkt en wat de onbedoelde en ongewenste neveneffecten van het project kunnen zijn.
Want zelfs als zo een systeem met de beste bedoelingen zou worden opgezet: het risico dat dit project in de toekomst wordt misbruikt voor censuur en surveillance is groot:
- Dit project heeft een megalomane reikwijdte en zou zich richten op misbruik: “within in [sic] all layers and parts of the internet. This includes (in alphabetical order) audio messages posted on internet, blogs, chat rooms, documents posted, e-mail, messaging systems, payment systems, social media, static texts on websites, video messages, web forums” (verslag van workshop van 24 en 25 oktober 2011).
- En vrijwel de hele internetgemeenschap zou moeten meewerken aan deze regels: “browser providers, certificate providers, cloud providers, domain registrars, e‐mail service providers, exchange points, filter providers, hosting providers, hotlines, investigation companies, law firms, security consultants, search engine companies, social network sites, technology innovators, vendor sites and web forum providers”.
- Daarbij komt dat de oplossingen die worden voorgesteld in het document het grondrecht op communicatievrijheid en privacy inperken, zoals het publiceren van zwarte lijsten van verboden websites of het afschaffen van anonimiteit.
Het project wordt niet gebaseerd op bewijs
Het lijkt voor de hand liggen: alle beleid moet worden gebaseerd op stevig bewijs. Het bestaan en de omvang van het probleem moet onderbouwd worden met deugdelijke, onafhankelijke data. En vervolgens moeten de effectiviteit en de gevolgen van alternatieve oplossingen op basis van onafhankelijk onderzoek in kaart worden gebracht. Als dat bewijs ontbreekt is een project niet meer dan een mening van een paar deelnemers. Helaas ontbreekt in Clean IT iedere poging om het project met bewijs te staven. Het probleem wordt niet onderbouwd – het blijft slechts bij aannames – en de oplossingen komen uit de lucht vallen.
Het project omzeilt parlementaire controle
Bij het Clean IT project is ervoor gekozen om parlementaire controle te omzeilen, zo blijkt uit de project outline:
“In addition to regulatory approaches, public-private partnerships can cause a breakthrough in deadlocked talks between government and industry. The internet is in most countries predominantly privately owned, and the internet knowledge is 100% privately owned. Therefore, the solutions to these problems can be found in direct cooperation between member-states and the Internet business.”
In plaats daarvan streven de deelnemers naar “gentlemens agreements” tussen de overheid en marktpartijen:
“The main objective of this project is of a non-legislative ́framework ́ that consists of general principles and best practices. The principles will be used as a guideline or gentlemen’s agreement, adopted by many partners. They will describe responsibilities and concrete steps public and private partners can take to counter the illegal use of Internet. The principles should fill the gap between Member States (national) regulation and private initiatives / best practices.”
Iedere inperking op de communicatievrijheid en privacy die afkomstig is van de overheid moet gebaseerd zijn op een formele wet. Dat volgt uit de Europese mensenrechtenverdragen. En terecht: het parlement moet zich over die maatregelen kunnen uitspreken, regels moeten in volledige openheid tot stand komen en burgers moeten precies weten waar ze aan toe zijn.
Dat in dit geval ervoor is gekozen om het parlement te omzeilen, is onacceptabel, zeker omdat het project ook is gericht op het beperken van gedrag dat niet op basis van een wet verboden kan worden.
Conclusie: het Clean IT project kan de prullenbak in
De bestrijding van criminaliteit is te belangrijk om met dit soort halfbakken plannetjes aan te pakken. We hopen dat het parlement het Clean IT project in de kiem smoort en dat de overheid ons belastinggeld in de toekomst beter besteed.
Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (
