KSTn | Open OV data (not)

Twee jaar geleden besloot de overheid de regie naar zich toe te trekken om ervoor te zorgen dat alle vaste en real-time gegevens van het openbaar vervoer beschikbaar kwamen voor gebruik door derden. Hulde! Vaste gegevens (bv het spoorboekje) waren al snel geregeld. En als het goed is, zou alle real-time data aan het eind van het jaar open moeten zijn. Nou ja, open... Daar lees ik in het laatste verslag van de minister toch wel een paar addertjes onder het gras. Als ik het goed begrijp, komt de data alleen beschikbaar voor door de overheid goedgekeurde partijen die een goedgekeurd plan hebben en een goedgekeurde manier van werken: "Aan de hand van het op te stellen toetsingskader worden initiatieven van de markt, door een externe partij getoetst. De initiatieven dienen te passen binnen de volgende kaders:..." En

Door: Foto: copyright ok. Gecheckt 23-11-2022
Foto: Sargasso achtergrond wereldbol

CleanIT: schoolvoorbeeld van een ontspoord veiligheidsproject

Het bestrijden van criminaliteit via internet is belangrijk. Het is dan ook onvergeeflijk als overheden geen idee hebben wat ze aan het doen zijn, onze internetvrijheid te grabbel gooien en bakken met belastinggeld pompen in amateuristisch broddelwerk zoals het CleanIT-project, stelt Ot van Daalen, directeur van Bits of Freedom.

Het onlangs gelanceerde Clean IT project is één van de ergste voorbeelden hiervan. We twijfelden zelfs of we er aandacht aan moesten besteden. Maar omdat het van serieuze overheidspartijen komt, leek het ons goed om toch eens in detail uit te leggen waarom dit project rechtstreeks de prullenbak in kan.

De drijvende kracht achter het Clean IT project is de Nederlandse Nationale Coördinator Terrorisme en Veiligheid (NCTV). Deelnemers zijn onder meer Spanje, het Verenigd Koninkrijk, Duitsland, België en Europol. Het doel van het project is “to counter the illegal use of the internet by terrorists”, zo staat op de website.

De leden zijn een aantal keren bij elkaar gekomen en gaan dat het komende jaar blijven doen. Uiteindelijk hopen ze regels te ontwikkelen om, ja wat precies? Het is onduidelijk, maar belooft weinig goeds. 

Het doel is niet duidelijk

Alle overheidsprojecten moeten een helder omschreven en zo beperkt mogelijk doel hebben. Op die manier zorg je dat belastinggeld zo effectief mogelijk wordt ingezet. Bovendien kan je niet alle problemen in één keer oplossen. Daarnaast beperk je zo het risico dat het project ook voor andere doeleinden wordt ingezet (zogenoemde “function creep“). En als privacy en communicatievrijheid in het geding zijn, is een heldere doelomschrijving zelfs verplicht op grond van Europese mensenrechtenverdragen.

Het doel van het Clean IT project is de eerste maanden al hopeloos uit de klauwen gegroeid:

  • Eerst was het projectdoel “combating the misuse of internet for Al Qaida influenced terrorist purposes” (project outline van 15 september 2011, PDF).
  • Nog niet een maand later werd dit al uitgebreid. De workshop van het project werd georganiseerd “to discuss illegal use of the internet”. Opeens blijkt het project zich te richten op het misbruik van het internet door “terrorists and extremists”. En dat zijn er nogal wat: “all kinds of terrorists organizations, including lone wolf terrorists and individual extremists. Including (alphabetical) animal rights, left-wing, racist, religious, right-wing, separatist and all other terrorist and extremist organizations and individuals.” Al Qaida wordt niet meer specifiek genoemd. Zie het verslag van de workshop van 24 en 25 oktober 2011 (PDF).
  • Bovendien blijkt het project zich opeens te richten op geweld en hate speech: “The project also aims to limit the use of the internet by organizations or individuals inciting murder and violence, and or publishing or disseminating racist and xenophobic material, and hate speech.”
  • En terloops wordt opgemerkt dat het internet “is misused in many forms, including cybercrime, hate speech, discrimination, illegal software, child pornography and terrorism”.

De uitbreiding van het project wordt bevestigd in een voortgangsrapportage van 16 november 2011 (PDF). Desondanks schrijft het NCTV in een persbericht op 18 november 2011 dat het project nog steeds beperkt zou zijn tot Al Qaida: “The project focuses on Al Qaïda influenced content.”

Niet alleen zijn in een paar maanden de groepen waar het project zich op richt uitgebreid: ook is het soort gebruik in de loop van het project uitgebreid. Hoewel het project zich in eerste instantie richtte op “the illegal use” van het internet door bepaalde groepen, is het doel een maand later uitgebreid tot “the illegal and unwanted use” van het internet (verslag van workshop van 24 en 25 oktober 2011, onderstreping toegevoegd).

Dat betekent dus dat het project erop is gericht om gedrag dat niet op basis van een wet verboden kan worden, toch te beperken. Ook hier stelt het persbericht van een maand later weer dat het project zich beperkt “to counter the illegal use of the internet by terrorists”. Dat steekt des te meer, nu het project parlementaire controle omzeilt. We komen hieronder op terug.

De vraag is niet helder

Niet alleen moet het doel helder omschreven zijn: ook de vraag moet  kraakhelder zijn. Want pas dan weet je naar welke oplossingen je moet zoeken. Het klinkt bijna te simpel. Maar niet voor het Clean IT project. In de project outline staat slechts een aanname: “The internet plays a central role and is of great strategic importance for Al Qaida influenced extremist networks.” Daar volgt geen vraag uit.

Terwijl de vraag van alles kan zijn: hoe kan worden voorkomen dat aanhangers van Al Qaida gebruik maken van het internet, of dat sympathisanten fondsen werven via het internet, of dat zij nieuwe recruten werven via het internet? Ga zo maar door.

Ook een maand later was nog steeds niet duidelijk wat de deelnemers precies aan het oplossen waren. En toch organiseren ze allemaal workshops. Als je geen duidelijke vraag hebt, zijn alle zogenaamde oplossingen nutteloos. Want je weet niet of ze werken.

De gevolgen voor communicatievrijheid en privacy worden niet besproken

Clean IT maakt inbreuk op de privacy en communicatievrijheid. Daarom schrijven de organisatoren dat respect voor fundamentele rechten onderdeel moet zijn van het project. Maar dat voornemen opschrijven is niet voldoende: er moet expliciet onderzoek worden gedaan naar de manieren waarop deze grondrechten worden ingeperkt en wat de onbedoelde en ongewenste neveneffecten van het project kunnen zijn.

Want zelfs als zo een systeem met de beste bedoelingen zou worden opgezet: het risico dat dit project in de toekomst wordt misbruikt voor censuur en surveillance is groot:

  • Dit project heeft een megalomane reikwijdte en zou zich richten op misbruik: “within in [sic] all layers and parts of the internet. This includes (in alphabetical order) audio messages posted on internet, blogs, chat rooms, documents posted, e-mail, messaging systems, payment systems, social media, static texts on websites, video messages, web forums” (verslag van workshop van 24 en 25 oktober 2011).
  • En vrijwel de hele internetgemeenschap zou moeten meewerken aan deze regels: “browser providers, certificate providers, cloud providers, domain registrars, e­‐mail service providers, exchange points, filter providers, hosting providers, hotlines, investigation companies, law firms, security consultants, search engine companies, social network sites, technology innovators, vendor sites and web forum providers”.
  • Daarbij komt dat de oplossingen die worden voorgesteld in het document het grondrecht op communicatievrijheid en privacy inperken, zoals het publiceren van zwarte lijsten van verboden websites of het afschaffen van anonimiteit.


Het project wordt niet gebaseerd op bewijs

Het lijkt voor de hand liggen: alle beleid moet worden gebaseerd op stevig bewijs. Het bestaan en de omvang van het probleem moet onderbouwd worden met deugdelijke, onafhankelijke data. En vervolgens moeten de effectiviteit en de gevolgen van alternatieve oplossingen op basis van onafhankelijk onderzoek in kaart worden gebracht. Als dat bewijs ontbreekt is een project niet meer dan een mening van een paar deelnemers. Helaas ontbreekt in Clean IT iedere poging om het project met bewijs te staven. Het probleem wordt niet onderbouwd – het blijft slechts bij aannames – en de oplossingen komen uit de lucht vallen.

Het project omzeilt parlementaire controle

Bij het Clean IT project is ervoor gekozen om parlementaire controle te omzeilen, zo blijkt uit de project outline:

“In addition to regulatory approaches, public-private partnerships can cause a breakthrough in deadlocked talks between government and industry. The internet is in most countries predominantly privately owned, and the internet knowledge is 100% privately owned. Therefore, the solutions to these problems can be found in direct cooperation between member-states and the Internet business.”

In plaats daarvan streven de deelnemers naar “gentlemens agreements” tussen de overheid en marktpartijen:

“The main objective of this project is of a non-legislative  ́framework ́ that consists of general principles and best practices. The principles will be used as a guideline or gentlemen’s agreement, adopted by many partners. They will describe responsibilities and concrete steps public and private partners can take to counter the illegal use of Internet. The principles should fill the gap between Member States (national) regulation and private initiatives / best practices.”

Iedere inperking op de communicatievrijheid en privacy die afkomstig is van de overheid moet gebaseerd zijn op een formele wet. Dat volgt uit de Europese mensenrechtenverdragen. En terecht: het parlement moet zich over die maatregelen kunnen uitspreken, regels moeten in volledige openheid tot stand komen en burgers moeten precies weten waar ze aan toe zijn.

Dat in dit geval ervoor is gekozen om het parlement te omzeilen, is onacceptabel, zeker omdat het project ook is gericht op het beperken van gedrag dat niet op basis van een wet verboden kan worden.

Conclusie: het Clean IT project kan de prullenbak in

De bestrijding van criminaliteit is te belangrijk om met dit soort halfbakken plannetjes aan te pakken. We hopen dat het parlement het Clean IT project in de kiem smoort en dat de overheid ons belastinggeld in de toekomst beter besteed.

Doneer!

Sargasso is een laagdrempelig platform waarop mensen kunnen publiceren, reageren en discussiëren, vanuit de overtuiging dat bloggers en lezers elkaar aanvullen en versterken. Sargasso heeft een progressieve signatuur, maar is niet dogmatisch. We zijn onbeschaamd intellectueel en kosmopolitisch, maar tegelijkertijd hopeloos genuanceerd. Dat betekent dat we de wereld vanuit een bepaald perspectief bezien, maar openstaan voor andere zienswijzen.

In de rijke historie van Sargasso – een van de oudste blogs van Nederland – vind je onder meer de introductie van het liveblog in Nederland, het munten van de term reaguurder, het op de kaart zetten van datajournalistiek, de strijd voor meer transparantie in het openbaar bestuur (getuige de vele Wob-procedures die Sargasso gevoerd heeft) en de jaarlijkse uitreiking van de Gouden Hockeystick voor de klimaatontkenner van het jaar.

Foto: Sargasso achtergrond wereldbol

Oh ja, die lastige wetgeving…

Sinds 2005 wordt gewerkt aan een landelijk netwerk van kentekenherkennings-camera’s aan de Nederlandse grensovergangen en nu zijn ze klaar voor gebruik. Een probleempje: wetgeving en internationale verdragen liggen dwars. Het gevolg: mogelijk is er negentien miljoen euro voor niets uitgegeven.

Wat is er aan de hand?

Per 1 januari zou het project @migo-boras moeten starten. Camera’s bij alle grote grenspassages (vijftien in totaal) en bij zes mobiele teams registreren alle kentekens die voorbij zoeven. Met die kentekens kan de Marechaussee – en in haar kielzog een hele zwik Nederlandse (en buitenlandse) opsporingsdiensten – twee dingen doen.

Ten eerste handhaven. De gescande kentekens worden vliegensvlug vergeleken met een zwarte lijst. Zo plukt de Marechaussee in enkele microseconden auto’s eruit waar iets mis mee is, tenminste volgens de zwarte lijst. Dat kunnen bekende mensensmokkelaars zijn, of belastingontduikers, mensen die nog een boete open hebben staan, of waarvan de verzekering niet klopt.

Ten tweede kan @migo-boras voor opsporing en intelligence worden gebruikt. Er is dan nog niets bekend over een mogelijk misdrijf of gedraging, maar door het analyseren van al dan niet geanonimiseerde verkeerspatronen kunnen slimme informatie-analysten afwijkende gedragingen destilleren. Of anders gezegd: ze kunnen profileren. Wie in een bepaald risicoprofiel past, wordt eruit gepikt en door de Marechaussee aan de tand gevoeld. Uiteraard is er ook een voorziening gemaakt voor ‘afgeschermd onderzoek’ zodat platte petten niet mee kunnen kijken. Dit is natuurlijk voor de AIVD bedacht.

Foto: Sargasso achtergrond wereldbol

Wachten op de grote klap

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

Lezen: De BVD in de politiek, door Jos van Dijk

Tot het eind van de Koude Oorlog heeft de BVD de CPN in de gaten gehouden. Maar de dienst deed veel meer dan spioneren. Op basis van nieuw archiefmateriaal van de AIVD laat dit boek zien hoe de geheime dienst in de jaren vijftig en zestig het communisme in Nederland probeerde te ondermijnen. De BVD zette tot tweemaal toe personeel en financiële middelen in voor een concurrerende communistische partij. BVD-agenten hielpen actief mee met geld inzamelen voor de verkiezingscampagne. De regering liet deze operaties oogluikend toe. Het parlement wist van niets.

Foto: copyright ok. Gecheckt 01-03-2022

Ik kap ermee

Ik ben het beu, zat, ik ben leeg, op, uitgewoond. Mijn geduld is verdwenen. Ziek van het feit dat de beveiliging van Nederlandse sites helemaal geen beveiliging is. Ik waarschuwde mijn partner anderhalf jaar geleden al voor de gevaren van DigID. Ik heb er zo’n hekel aan, maar ja: zie je wel! Zaken doen met de Belastingdienst zonder‘ DigID bleek bijna onmogelijk, verzekerde zij mij. Murw gebeukt en uitgeraast zette ik dan toch maar mijn krabbel. Het was mijn laatste fysieke daad. Mijn overheid en ik deden alleen nog maar elektronisch zaken. En nu ligt onder andere mijn bruto salaris op straat. Ergens in Iran. Ze tapten mijn gegevens af en ze mogen er in stikken, wat mij betreft.

‘De’ overheid rommelt zich steeds vaker steeds dieper in steeds serieuzere problemen. Leest u mee? Als we niet opletten, heeft de PVV ons koningshuis afgeschaft, zijn we veroordeeld tot minderheidskabinetten tot in de eeuwigheid en accepteren we een parlement dat zich door Brussel (of Griekenland, al naar gelang u wilt) buiten spel laat zetten en een premier die hetgeen hij met collega-leiders bespreekt niet normaal over het voetlicht krijgt. We sturen politiemensen op een trainingsmissie om militairen op te leiden die, juist, ten oorlog trekken, schaffen hier thuis de Nederlandse defensiemacht af, laten, onbeheerd, helicopters achter op het strand van Libië (er kon een bommetje op) en nu blijkt de overheid onze persoonlijke gegevens niet of nauwelijks te kunnen beschermen.

Foto: Sargasso achtergrond wereldbol

Plan

Deze bijdrage is van Karin Spaink en terug te vinden op haar site.

De ICT van de politie is na een decennium van geschutter nog niet op orde. Elke poging om tot een systeem te komen waarin aangiftes, signaleringen en onderzoeken landelijk beschikbaar zijn, blijkt de ellende te hebben vergroot in plaats van verkleind. Na elke nieuwe investering kan het systeem juist minder.

Inmiddels is de programmatuur bij de politie zo vakkundig gemold dat aangiftes geregeld niet in het systeem zijn terug te vinden en getuigenverhoren soms spoorloos verdwijnen. Het systeem is bovendien gebruiksonvriendelijk, instabiel en omslachtig. Agenten rukken zich de haren uit het hoofd.

Ook met C2000. het landelijke netwerk voor de hulpdiensten, is het al jaren miserabel gesteld. De dekking is gatenkaas, het systeem is onbetrouwbaar, telefoons vallen zomaar uit. De brandweer wil er inmiddels niet meer mee werken: te gevaarlijk.

Krap een jaar geleden besloot vtsPN – de club die de ICT van de politie regelt – daarom schoon schip te maken. De inhuurkrachten eruit, snoeien in het serverpark, de programmatuur opschonen. vtsPN kenschetste deze klus indertijd als ‘een openhartoperatie’. Kennelijk is de patiënt inmiddels overleden: de website politie-ict.nl – onderdeel van vtsPN – doet het al een tijdje niet meer. Configuratiefoutje. Niemand die het doorheeft.

Foto: Sargasso achtergrond wereldbol

Weekendcollege | The Master Switch

Een gastbijdrage van Elaine Adolfo van The Center for Internet and Society.

De lezing begint bij 04:00.

Tim Wu presented his widely acclaimed new book THE MASTER SWITCH: The Rise and Fall of Information Empires at Stanford Law School on May 9, 2011.

In this age of an open Internet, it is easy to forget that every American information industry, beginning with the telephone, has eventually been taken captive by some ruthless monopoly or cartel. With all our media now traveling a single network, an unprecedented potential is building for centralized control over what Americans see and hear. Could history repeat itself with the next industrial consolidation? Could the Internet—the entire flow of American information—come to be ruled by one corporate leviathan in possession of “the master switch”? That is the big question of Tim Wu’s pathbreaking book.

As Wu’s sweeping history shows, each of the new media of the twentieth century—radio, telephone, television, and film—was born free and open. Each invited unrestricted use and enterprising experiment until some would-be mogul battled his way to total domination. Here are stories of an uncommon will to power, the power over information: Adolph Zukor, who took a technology once used as commonly as YouTube is today and made it the exclusive prerogative of a kingdom called Hollywood . . . NBC’s founder, David Sarnoff, who, to save his broadcast empire from disruptive visionaries, bullied one inventor (of electronic television) into alcoholic despair and another (this one of FM radio, and his boyhood friend) into suicide . . . And foremost, Theodore Vail, founder of the Bell System, the greatest information empire of all time, and a capitalist whose faith in Soviet-style central planning set the course of every information industry thereafter.

Vorige Volgende