Het medisch geheim gehackt

De gezondheidszorg heeft een nieuwe droom: patiëntgegevens die altijd paraat zijn en vanaf elk bevoegd bureau oproepbaar. Met een paar muisklikken kan een specialist iemands röntgenfoto’s ophalen, de resultaten van onderzoek bekijken of een recept uitschrijven en dat elektronisch afleveren bij de apotheek. Apotheken kunnen zien wat een patiënt eerder voorgeschreven heeft gekregen. Handig als je op vakantie bent en een oude kwaal ineens weer opspeelt. Ook kun je zo voorkomen dat iemand een middel krijgt voorgeschreven dat bijt met andere medicijnen die hij slikt, of waarvoor hij allergisch is.

Met elektronische patiëntendossiers maakt het niet meer uit waar iemands medische gegevens fysiek worden bewaard. Het gesleep met papieren dossiers is dan voorbij, evenals de vraag of iemands dossier wel compleet is en niet deels elders ligt. Als artsen aan de hand van iemands patiëntnummer overal kunnen zoeken, is alle informatie immers altijd voorhanden en door meerdere zorgverleners tegelijkertijd te raadplegen.

De zorg wordt op die manier beter en efficiënter, hoopt men. Bovendien kunnen zo ‘medische missers’ worden voorkomen, oftewel fouten in de zorg die veroorzaakt worden door onvolledige informatie of door gebrekkige informatie-overdracht.

Met de invoering van zulke elektronische patiëntendossiers (EPD) en elektronische medicatiedossiers (EMD) zijn beleidsmakers en zorgverleners al een tijd bezig. Te lang, vindt de regering, die er vaart achter wil zetten. Minister Hoogervorst wil als eerste stap het EMD in de loop van 2006 overal invoeren, en wie niet meewerkt kan op maatregelen rekenen. ‘Als het niet goedschiks gebeurt, dan maar kwaadschiks,’ dreigde hij een half jaar geleden in een overleg met de Tweede Kamer. Het landelijk dekkend EPD moet in 2010 klaar zijn.

Bijna alle specialisten en huisartsen werken al met een elektronische versie van de oude patiëntenkaart, dat is het probleem niet. Waar het om gaat is dat zorgverleners elkaars gegevens over een patiënt elektronisch kunnen inzien. Je moet dus zorgen voor (internet)lijntjes tussen al die honderden locaties waar patiëntendossiers worden bijgehouden, je moet een systeem verzinnen om patiënten uniek te maken (zodat ze bij alle zorgverleners herkenbaar zijn), en een systeem om zorgverleners te autoriseren.

We zijn een eind op streek. Ik heb de afgelopen maanden prachtige EPD’s gezien waar je met een druk op de knop rats-rats alle informatie over een patiënt uit alle hoeken van het ziekenhuis ophaalt, er zijn regio’s waar huisartsenposten, ziekenhuizen en fysiotherapeuten elkaars gegevens eenvoudig en snel kunnen raadplegen, er zijn complexe identificatie- en autorisatieprocedures uitgedacht met pasjes en wachtwoorden en dikke pakken papier met normen en standaarden zijn gepubliceerd.

Beleidsmakers willen het EPD liefst snel verder uitbreiden. Sommigen hebben science-fictionachtige visioenen, getuige het artikel dat twee leden van de Raad voor de Volksgezondheid en Zorg vorige week in Medisch Contact publiceerden. Ze schilderden het beeld van een soort zelfdenkend dossier dat automatisch informatie verzamelt, waardes uitrekent en waarschuwingen rondstuurt en waar de patiënt thuis zelf allerlei gegevens aan kan toevoegen.

Maar EPD’s zijn nu al hoogst ingewikkelde systemen die gegevens uit diverse disciplines moeten combineren en interpreteren, en die bovendien met computersystemen van buiten moeten communiceren. Hoe meer functionaliteit je eraan koppelt, hoe kwetsbaarder je de gegevens maakt: elke toeter en bel erbij maakt de programmatuur onoverzichtelijker en onbeheersbaarder. De benodigde link naar de buitenwereld maakt de systemen extra gevoelig. Want alles waar externe zorgverleners bij mogen, is vrijwel altijd ook bereikbaar voor slimme onbevoegden.

*

Om de proef op de som te nemen, liet ik experts van de beveiligingsbedrijven ITSX, Fox-IT en Madison Gurkha de beveiliging van twee ziekenhuizen testen. De resultaten waren schrikbarend. Beide ziekenhuizen waren ernstig lek. Bij één ziekenhuis hebben ‘mijn’ hackers via internet twee weken lang toegang gehad tot 1,2 miljoen patiëntgegevens en niemand merkte dat op. Ik kon de gegevens bestellen die ik wilde en kreeg ze dan binnen tien minuten per e-mail aangeleverd. Namen, adressen, telefoonnummers, patiëntnummers, polisnummers, geslacht, geboortedatum, lengte, gewicht, dood of levend. Erbij zat ook een lijst met patiënten die een besmettelijke ziekte hadden. Bij het andere ziekenhuis konden de ze eveneens vrijelijk zoeken in alle interne gegevens.

Hoe gevoelig een dergelijke hoeveelheid data is, is evident. Met één enkele hack kregen we toegang tot de medische gegevens van bijna acht procent van de hele Nederlandse bevolking. We konden gegevens inzien, kopiëren, weggooien of veranderen. We hadden alle bloedgroepen kunnen veranderen: rhesus positief naar rhesus negatief. We hadden mensen kunnen chanteren: weet uw vrouw dat u in 1999 een geslachtsziekte had? Weet uw aanstaande baas dat in uw familie genetische kanker voorkomt?

Dat de hackers binnen konden komen, lag niet alleen aan de complexiteit van de systemen. Natuurlijk, er was een oude versie van Oracle hier en een niet gepatchte fout in SQL daar, maar ja, tegen de tijd dat je dat hebt gerepareerd is er weer een lek zus of een gat zo. Dat is dweilen met de kraan open. Het was vooral omdat beveiliging van de gegevens achteraf is bedacht: eerst zijn al die gegevens verzameld, daarna is er iets overheen gelegd met toegangscodes. Maar zo werkt databeveiliging niet, het is geen toefje slagroom waarmee je een taart bedekt als-ie af is. Beveiliging moet in het meel zitten waarmee je bakt.

Wie aan massale dataopslag doet, moet die data permanent monitoren, ook op het laagste niveau. Alle procedures die zijn ontworpen regelen de beveiliging op hoog niveau, via de gebruikersprogramma’s (de interfaces). Op dat niveau wordt keurig bijgehouden wie gegevens bekijkt of wijzigt. Wie echter op de command-line werkt – zeg maar: met de ruwe data – kan vaak overal bij zonder dat dat wordt bijgehouden. ‘Dat kan niet, als je alle databewegingen moet bijhouden worden de echte programma’s te traag en kunnen we al die extra dingen niet doen!’ zeggen beleidsmakers dan. Die redenering verkwanselt elementaire veiligheid voor ‘mooie’ functionaliteit, en het zijn de patiënten die daar de tol voor betalen.

Ziekenhuizen en huisartsen bewaren hun patiëntendossiers voorts open en bloot, zonder encryptie. Wie eenmaal zo’n systeem binnen is, heeft de data letterlijk voor het oprapen. Waarom eist niemand dat het medisch geheim ook op medisch gegevensbeheer wordt toegepast en dat zulke gegevens alleen versleuteld mogen bewaard?

*

Goed met data omgaan kost veel geld. Het vergt fikse investeringen en er komt sterk gespecialiseerde kennis aan te pas. Ziekenhuizen krijgen dat geld nu niet. Ter vergelijking: banken en dergelijke geven tegenwoordig zo’n 12% van hun budget uit aan IT, onder meer omdat de beveiliging van die gegevens centraal staat, en zulke beveiliging nu eenmaal kostbaar is. Ziekenhuizen, die vergelijkbare maatregelen zouden moeten nemen, mogen van de overheid echter maar 2% van hun budget aan al hun IT besteden.

Als ziekenhuizen, die vanwege hun omvang een fatsoenlijke IT-afdeling kunnen opzetten, er al niet in slagen medische geheimen goed te beschermen, hoe moeten individuele huisartsen dat doen? Ook zij werken steeds vaker mee aan regionale EPD’s en leggen daartoe via internet contact met andere zorgverleners. Ze hebben derhalve diezelfde kwetsbaarheid, maar dan zonder een IT-afdeling die de ergste problemen oplost en die hun computer beheert. Wat als de computers van een huisartsenpraktijk gehackt worden, een virus binnenkrijgen, of erger: spyware? (Spyware zijn programma’s die slinks via webpagina’s je computer binnenkomen en opgeslagen gegevens kapen, zoals creditcard gegevens en wachtwoorden.)

Blijven we laks met de beveiliging van medische gegevens, dan gaan we een tijdperk van grootschalige medische spionage tegemoet. Want patiëntgegevens zijn machtig interessant. Voor verzekeraars. Voor bedrijven die in een overname verwikkeld zijn en willen weten hoe het staat met de conditie van de te kopen werknemers. Voor bedrijven met veel personeel: als je op personeelskosten kunt besparen door iedereen die een familiale aandoening heeft op voorhand te weren, bespaar je fors op ziekte- en arbeidsongeschiktheidskosten. Natuurlijk mogen bedrijven sollicitanten niet op zulke zaken screenen; maar de kosten van verzuim en arbeidsongeschiktheid zijn zo hoog dat dergelijk vuil spel aantrekkelijk wordt.

Waar beleidsmakers zich te weinig rekenschap van geven, is dat een kwetsbaar EPD individuele patiënten en de gezondheidszorg zelf in het hart raakt. Mensen beschouwen hun medische gegevens als strikt vertrouwelijk en wensen ze met dezelfde hoge mate van beveiliging behandeld te zien als hun financiële data. Zodra patiënten denken dat hun medische gegevens niet veilig zijn, zullen ze zich (tenminste gedeeltelijk) van de zorg afkeren. Wie gaat nog een vertrouwelijk gesprek met de huisarts aan over alcoholmisbruik, gokverslaving of relatieproblemen als derden erbij kunnen? Zou u nog een aidstest laten doen als u wist dat de uitslag ervan op straat kan komen te liggen?

Moet trouwens niet het hele concept van het medisch geheim herzien worden? Schending van het beroepsgeheim wordt nu als een één-op-één probleem gedefinieerd: arts A die de medische privacy van patiënt B schendt. De straf erop is een berisping van de tuchtraad. In moderne maatschappijen is dat een nogal oubollig concept. Het medisch geheim moet worden uitgebreid naar al diegenen die zich beroepsmatig met medische data bezighouden; ook datatypistes en systeembeheerders in de zorg dienen er bijvoorbeeld onder te vallen. Schending van het beroepsgeheim kan tegenwoordig bij honderdduizendtallen tegelijk gebeuren, en wordt daarmee – naast een ethische kwestie – vooral een economisch delict.

Onder deze beveiligingsvraagstukken gaat een ander probleem schuil. We verzamelen data vaak simpelweg omdat we het kunnen, zonder ons af te vragen hoe nuttig, noodzakelijk of correct ze zijn. Het zit in de computer, dus verlaten we ons erop. Het gevolg is dat eenmaal ingevoerde gegevens makkelijk een eigen leven gaan leiden (herinnert iemand zich nog hoeveel moeite het studenten kostte om foutieve gegevens te corrigeren toen de studiefinanciering ging automatiseren?), en dat mensen meer naar het scherm kijken dan naar de werkelijkheid. Juist bij artsen wil je dat niet: die zijn er om onbevangen naar ons haperende lichaam te kijken.

We kunnen beter koersen op een summier EPD waarin de kern van iemands gezondheidsprobleem wordt samengevat. Een soort landelijk nooddossier met alleen de hoogstnodige gegevens: of iemand diabetes heeft, een hoge bloeddruk, een penicilline-allergie, of hartproblemen. Condities die snel en alert ingrijpen kunnen vergen en die cruciaal zijn juist omdat iemand die daaraan lijdt, bewusteloos kan zijn. In alle andere situaties is die patiënt er zelf altijd nog bij. Dat die patiënt met zijn arts kan praten en zelf informatie kan verschaffen, verliezen we uit het oog.

Adequate zorg staat of valt niet met massale dataopslag. Adequate zorg staat en valt met de privacy van patiënten, met hun vertrouwen in hun artsen en in het voortbestaan van het medisch geheim.

We zijn volstrekt niet gewend om met zulke enorme hoeveelheden gevoelige gegevens om te gaan. Terwijl we enerzijds wonderen verwachten van het verzamelen en structureren van medische data, is anderzijds onze wetgeving rond het medisch geheim ronduit ouderwets, ons beheer ervan slordig, ons besef van de gevoeligheid van al die data rudimentair en onze greep erop slecht. Zolang dat probleem niet is opgelost, kunnen we het EPD beter maar zo beperkt mogelijk houden, en zijn fantasieën als die de Raad voor de Volksgezondheid en Zorg vorige week ventileerde, ronduit gevaarlijk.

Kader:

Twee ziekenhuizen lieten hun computersystemen op verzoek van Spaink testen door een groep beveiligingsexperts. Werknemers van ITSX, Fox-IT en Madison Gurkha voerden deze testen gratis uit. Iedereen gaf zijn belangeloze medewerking vanwege het inzicht dat de maatschappelijke acceptatie van het elektronisch patiëntendossier staat of valt met de veiligheid ervan.

De beveiligingstest is onderdeel van het project The Next Ten Years, een serie boeken opgezet door internetprovider XS4ALL in samenwerking met uitgeverij Nijgh & Van Ditmar. De serie behandelt de maatschappelijke veranderingen teweeg gebracht door nieuwe technologie, met name door internet. Spaink is hoofdredacteur van de serie en auteur van het eerste boek, Medische geheimen. Het tweede boek, over on-line gaming, verschijnt in maart 2006.

Online racisme: de remedie is erger dan de kwaal

Uitpuilende tassen vol herhaling en repeterende toespraken over stokpaardjes. Dat was het teleurstellende spectrum van het congres van Organisatie voor Veiligheid en Samenwerking in Europa (OVSE) in Parijs over antisemitisme, racisme en xenofobie op het internet. Het congres werd voornamelijk bezocht door OVSE-ambassadeuren met hun stafleden en afgevaardigden van ministeries en allerlei onafhankelijke organisaties. (De officiële samenvatting is te vinden op de website van de OVSE.)

De beste speech was, in mijn ogen althans, die van Anton Nosik, redacteur van rambler.ru, een Russisch portal annex zoekmachine. Hij verhaalde van een inventarisatie van Russische antisemitische sites. De hoeveelheid was eigenlijk wel meegevallen; sterker, de onderzoeksgroep had zich gerealiseerd dat je proportioneel meer antisemitisme en racisme tegenkwam in de Russische Doema, het parlement.

Voorts relativeerde hij het gevaar van zulke sites: genocide was immers nooit voortgekomen uit het racisme van individuen of kleine groepjes, zulke wandaden ontstonden alleen als staatsorganen racistische taal gingen spuien. Niettemin was de groep erin geslaagd om met een campagne binnen korte tijd tachtig procent van de betreffende sites gesloten te krijgen. Waarna ze zich realiseerden dat hun ijver er bovenal in had geresulteerd dat ze plotseling enorme media-aandacht genereerden voor die racistische en antisemitische websites, aandacht die die sites eerder niet kregen – waarna ze besloten om hun actie onmiddellijk te staken. Met een beetje racisme leven vonden ze uiteindelijk een betere optie.

Een Russische vertegenwoordiger van een mensenrechtenorganisatie voegde eraan toe dat zulke restrictieve maatregelen in verse of broze democratieën vrijwel altijd tegen oppositionele groeperingen worden gebruikt en zelden tegen degenen voor wie ze oorspronkelijk waren ontworpen. Regels tegen zogeheten ‘hate speech’ dienen dan als legitimatie voor ingrepen in de vrijheid van meningsuiting en als instrument om gerechtvaardigde politieke discussie de mond te snoeren.

*

Veel sprekers waren aanzienlijk minder vertrouwd met de werking van het net dan Nosik. De schrik dat je racistische teksten op het net kunt vinden is gewoonlijk groot, en de eerste (begrijpelijke) reflex is dan dat je iets tegen zulke sites moet doen. Maar het net is hierin niet uitzonderlijker dan andere media: ook op de radio, in boeken en in de geschreven pers kom je, als je op zoek gaat, rabiate opvattingen tegen. Op het net vind je dergelijke teksten inderdaad makkelijker dan in de analoge wereld, juist doordat het net in zijn geheel doorzoekbaar is.

Kenmerkend voor het internet is dat je in de zoekresultaten per definitie ook – of zelfs vooral – tegengeluiden zult aantreffen. Wie bijvoorbeeld de termen ‘leugen’ en ‘concentratiekamp’ samen in Google stopt, krijgt als eerste suggestie een pagina van Stormfront.org waarin wordt ontkend dat Treblinka een doodskamp was, maar de rest van de zoekresultaten is zonder meer kosher. Wie zoekt op ‘protocols Zion’ vindt zelfs als eerste een link naar Nizkor.org, die de opvattingen van revisionisten en neo-nazi’s gedocumenteerd weerlegt.

De roep om regulering was groot, te Parijs. Duitsland betoonde zich er een groot voorstander van, evenals gastland Frankrijk. Beide landen passen overigens al geruime tijd filtermaatregelen toe om antisemitische en neo-nazistische pagina’s ontoegankelijk te maken. Dat is zeer omstreden, zeker de methode die sinds februari 2002 in Nordrhein-Westfalen wordt toegepast: er wordt geblokkeerd op DNS-niveau. (Een uitgebreide analyse van de toegepaste methode staat hier (.pdf) beschreven). Vrijwel alle providers die de regel naleven, blokkeren enerzijds meer dan is voorgeschreven terwijl ze anderzijds niet al het verbodene weten weg te filteren; een inmiddels klassiek probleem bij filtering.

Voor zulke inzichten was geen plaats ingeruimd in de conferentie. ‘Unfortunately, the use of filtering software and other soft law instruments like hotlines and codes of conducts did not raise any discussion among the participants of the official sessions, while many civil liberty organisations, librarians, and other researchers have shown, through a number of well documented reports, how these practices and instruments may also lead to violations of internationally recognised human rights and fundamental freedoms’ schreef Meryem Marzouki van IRIS, een Franse organisatie voor digitale rechten, over de conferentie in de nieuwsbrief van European Digital Rights (EDRI).

*

‘Regulering van het internet’ moge dan de wens van velen geweest zijn, er waren gelukkig ook instanties die daar weinig voor voelden. Het OVSE-bureau Freedom of the Media (FOM) hield een zogeheten ‘side event’ waar grote skepsis over filtering, zelfregulering en dergelijke werd geuit, en waar werd benadrukt dat zulke maatregelen gewoonlijk inbreuk maken op grondwettelijke rechten van burgers en met te weinig waarborgen zijn omkleed.

In vervolg op dat side event organiseerde de FOM deze week een seminar in Wenen voor de gedelegeerden van de 55 OVSE-landen.

Er is niet zoiets als ‘het internet’, mocht ik de geachte delegaties uitleggen. Het net is een grote verzameling aan elkaar geknoopte computers in verschillende landen waarop verschillende diensten (of protocollen) beschikbaar zijn. Terwijl elk van die diensten andere juridische kenmerken bezit, kennen al die landen daarenboven hun eigen wetgeving, niet alleen voor de diverse internetdiensten maar ook voor de vraag wat nu precies onder discriminatie en hate speech (of het oproepen tot geweld) wordt geschaard. Hoewel de algemene teneur is dat providers voor wat betreft de websites van hun klanten als common carriers worden beschouwd, oftewel als neutraal doorgeefluik, behandelen sommige landen providers niettemin grosso modo als uitgevers.

Waar websites nog redelijk te monitoren zijn – ze zijn stabiel, algemeen toegankelijk, met meestal eeen te identificeren maker – geldt dat voor veel andere diensten niet. Wie is aansprakelijk voor een chat? Iemand opent een chat kanaal en verlaat dat, waarna een robot het kanaal in stand houdt. Deelnemers ervaren chats als een semi-openbaar gesprek, een beetje alsof ze een boom opzetten in hun stamcafé. Moet je nu werkelijk zulke cafégesprekken gaan controleren op racistische of anderszins discriminatoire praat? Indien zoiets in het gewone leven zou gebeuren, stond iedereen op zijn kop. Maar op zo’n conferentie te Parijs kunnen meldpunten (in dit geval Jugendschutz.de) daarvoor pleiten zonder dat iemand verbleekt.

Daarnaast speelt het oude debat over bovengronds versus bovengronds. Je kunt racistische sites wel willen sluiten en racistische taal willen uitbannen of wegfilteren, maar je bereikt daarmee niet dat het daadwerkelijk weg is, alleen dat je zulk spul niet meer ziet. Door die onzichtbaarheid onttrekt het zich ook meteen aan matigende invloed, en beneem je jezelf de mogelijkheid inzicht te verwerven in wat er in die kringen omgaat, hoe en waarop mensen zich er organiseren, wat ze precies denken en doen. Je beneemt jezelf derhalve de kans op kennis en op tegenspraak als je racistische praat naar de onzichtbaarheid duwt.

Op dat punt is de vergelijking met spam interessant: du moment dat duidelijk werd dat spammers door hun providers zouden worden afgesloten, zochten ze andere kanalen om hun advertenties te spuien. Sinds augustus 2003 komt het leeuwendeel van de spam tot ons via zogeheten open proxies: machines van onschuldige derden, die via virussen zijn omgetoverd tot spam relays. Die methode maakt het bijzonder moeilijk de verantwoordelijken achter zo’n spamrun te achterhalen, en hij berokkent de eigenaar van de misbruikte computer veel leed: die komt op zwarte lijsten, krijgt gedonder met zijn ISP en heeft – uiteraard – een besmette computer. Spammers zijn sindsdien niet minder zichtbaar geworden, alleen veel moeilijker te traceren.

Dat racistische uitingen diezelfde kant op kunnen gaan, bleek een week voor de Parijse conferentie. Op 10 juni 2004 deed zich de eerste wereldwijde racistische spamrun voor: dagenlang werden er miljoenen mails rondgepompt, verzonden via open proxies. De daders? Niet te achterhalen. Bijzonder aan deze (Duitstalige) run was dat de bewuste open proxies niet eerder bekend waren bij spamjagers en derhalve nergens in bloklijsten voorkwamen (zie bijvoorbeeld dit usenet-bericht). Dat wijst erop dat de groep zich buitengewoon goed heeft voorbereid en eerst een nieuw virus de wereld heeft ingestuurd om de bewuste open proxies te creëren.

Ook de pogingen van de RIAA (en aanverwante auteursrechtuitbaters) om de uitwisseling van auteursrechtelijk beschermd materiaal te stoppen, is instructief. Aanvankelijk was Napster het populairste programma voor de verspreiding van muziek. Napster werkte met een centrale database; iedereen die zich bij de dienst aanmeldde, vertelde Napster welke muziek hijzelf had en kon daarna via die database bij anderen grasduinen. Die database bleek de achilleshiel: ook belanghebbenden konden erin zoeken, waarna vervolging werd ingezet. Napster werd daarna al snel overvleugeld door een nieuwe dienst, peer-to-peer. Uitwisselingsprogramma’s die op die leest zijn geschoeid houden geen centraal bestand meer bij, de bestanden worden gedistribueerd uitgewisseld: deelnemers geven elkaar onderling door wat ze zoeken en aanbieden. Het ontbreken van een centrale registratie maakt peer-to-peer diensten lastig te bestrijden: vraag en aanbod zijn niet langer transparant voor de buitenwacht.

Auteursrechtinbreuken op het net zijn ook om een andere reden interessant studiemateriaal voor degenen die hate speech op het net de kop willen indrukken. Met auteursrechtinbreuken zijn beweerdelijk miljarden gemoeid, en de instanties die erachteraan zitten hebben in tal van landen vergaande wetgeving te bewerkstelligen. Maar bijster effectief is dat allemaal niet: handhaving is moeilijk, opsporing en bewijsvoering lastig, en bovendien zijn gebruikers inventief. Waarom zou wetgeving op het gebied van hate speech en racisme dan plots wel effectief zijn?

Buiten zulke meer technische, netgerelateerde argumenten is er een politiek argument tegen regulering. In bijna alle gevallen wordt gepleit voor ingrepen van providers, al dan niet in samenwerking met meldpunten of NGOs. Maar ISPs noch meldpunten zijn rechters en missen vaak simpelweg de deskundigheid om de moeilijke afweging tussen rechten en verboden zorgvuldig te kunnen maken. En het gaat het in zulke zaken natuurlijk altijd om de vraag hoe het verbod op discriminatie versus het recht op de vrijheid van meningsuiting zich tot elkaar verhouden, en welk van die twee in welke situatie de overhand moet hebben.

Zowel de procedure bij ISPs als die bij meldpunten ontneemt de mensen wier teksten inzet van dispuut zijn, voorts fundamentele rechten die ze bij een klassieke rechtsgang wel hebben: het recht op een advocaat, het recht van beroep, en soms zelfs het recht op weerwoord. Tenslotte worden ook de belangen van het publiek geschaad: er is slechts bij uitzondering sprake van transparantie van de zijde van de meldpunten en ISPs, er wordt zelden verantwoordelijkheid afgelegd. Niemand weet hoe vaak er teksten worden verwijderd of op welke grond dat gebeurt.

Tot slot geldt er een getalsmatig argument tegen regulering. Want om hoeveel sites hebben we het nu eigenlijk? De Anti Defamation League telt meer antisemitische sites op het net dan anderen doen, maar hun definitie is dan ook buitengewoon ruim: ook sites waar christenen joden trachten te bekeren, beschouwen ze als unverfroren antisemitisch en verbodswaardig. De definities van Hatewatch.org zijn wat strikter en meer algemeen gedeeld. Hatewatch heeft in 2000 400 tot 450 zogeheten hard core hate sites geïdentificeerd, en trof daarnaast 1500 tot 1750 sites die ze als problematisch aanmerkten. (In deze berekening gaat het bij mijn weten overigens uitsluitend om Engelstalige sites; worden alle talen onder de loep genomen, dat zullen de aantallen zonder twijfel hoger liggen.)

Datzelfde Hatewatch.org, inmiddels omgedoopt to het Southern Poverty Law Centre, herhaalde deze telling in 2004 en kwam tot de conclusie dat er circa 400 hate sites waren – evenveel als vier jaar terug, derhalve. En dat terwijl het aantal websites in die vier jaar meer dan verdubbeld is. (Het onderzoek wordt aangehaald op door Media Awareness, Canada, in Online Hate and Free Speech.)

Laat ons eens rekenen. Stel dat het aantal individuele pagina’s per site ongeveer 300 is (sommige sites zullen er meer hebben. De meeste minder, maar ik stel in dit geval prijs op een ruimhartige berekening). Dan kom je op 135.000 pagina’s, plus nog eens 525.000 pagina’s van die problematische sites. In totaal gaat het dus, ruim geschat, om 660.000 pagina’s. Google telt momenteel 4.285.199.774 pagina’s (telling eind juni 2004) en indexeert niet alles, maar meer dan anderen. 660.000 van 4,25 miljard is 0,015%. Met andere woorden: we hebben het over nog geen tweetiende promille van alle webpagina’s.

Je zou willen dat er zo weinig racisme was in de gewone wereld.

Orkut pirates privacy and copyright

On-line friend networks such as Friendster and Friend-of-a-friend have fallen somewhat out of grace. Orkut however is different. It is soaring: less than a month after it was launched (on January 23), Orkut can boast almost 100.000 members and it seems to be discussed everywhere, both on the net and In Real Life.
Basically, it is everybody’s own responsibility to assess how much they want to disclose. Many of these on-line communities or interfaces, however, also affect other people’s privacy. Orkut however takes things a few steps further: it is a real privacy pirate. And it claims the legal right to all your content.

Microsoft was bashed for less

[Originally appeared in the Dutch net magazine Netkwesties.]

On-line friend networks such as Friendster and Friend-of-a-friend have fallen somewhat out of grace. Orkut however is different. It is soaring: less than a month after it was launched (on January 23), Orkut can boast almost 100.000 members and it seems to be discussed everywhere, both on the net and In Real Life.

The idea behind such friends’ networks is simple. After joining, you describe your interests and particularities such as age, sex and relational status, you make a list of your friends and invite them, and thus you map your social networks onto Friendster or Orkut. After registering you can take a look at the friends of your friends or investigate who else shares your interests. You can invite the new people that you find in this way to become part of your own network and thus create new ties.

That’s basically it. It’s all a tad trite, basically a great way of doing away with your time, although admittedly it must be fun to suddenly find an old friend in this way.

But indeed: Orkut is different. Unlike Friendster or Friend-of-a-friend, it is incredibly hip, and it is especially popular especially amongst the internet savvy. Orkut’s close ties to Google, the internet’s best search engine (Orkut was developed by a Google employee during company hours), may have greatly promoted Orkut’s cool factor: Google doesn’t often affiliate itself with a new toy, so that if it does, it must mean something. Such spill-over of good-will works.

Even when Orkut is different.

All more or less formalised on-line networks depend on databases. Friendster puts your profile together with that of all other Friendsters in a huge file and thus preserves everything that you were willing to spill about yourself: who your friends are, whether you smoke, your favourite films and bands, your political preferences. The sheer amount of private data that is being preserved makes such databases rather sensitive, even though the participants have entered those data themselves. People usually do not mind telling their friends that they have experimented with drugs, but when their mother or boss makes an appearance on that same network, the situation somehow changes.

Basically, it is everybody’s own responsibility to assess how much they want to disclose. Generally, it isn’t very smart to put things on-line which you do not want to be retrievable until kingdom come, be it in a usenet posting on your own web site or in Friendster or Orkut. Anybody participating on the net should be aware that the internet’s collected memory lasts a tad longer than an analogue conversation. On the net, everything is archived and usenet postings and web pages are kept for eternity.

Many of these on-line communities or interfaces, however, also affect other people’s privacy. According to a critical article in The Register of February 10, 2004, Plaxo encourages you to put your whole address book on-line. When a vague acquaintance is a Plaxo member, there is a good chance that your vcard – address, telephone number, mobile, date of birth – is on-line too. Swell: one’s privacy gets compromised because others are naive.

Orkut however takes things a few steps further: it is a real privacy pirate. If an acquaintance were to invite me to join Orkut, Orkut itself reserves the right to retain the data pertaining to me and use them for its own purposes. By now, I am labeled as part of several of Orkut’s circles of friends – I have even received mail for events within these circles – while I am not a member myself. Hence, Orkut ‘knows’ who my friends are, even while I keep my mouth tightly shut.

Besides, Orkut’s architecture provides a wonderful spamming tool. After having joined Orkut, you have the option to mail all your friends in one go; another option is to mail all friends of your friends. A friend of mine who has joined, Paul, has 89 Orkut friends. Not a particularly huge circle in Orkut terms, because people spread invitations like viruses and the lack of more nuanced labels promotes every acquaintance to a friend. (A strategy that quite erodes the meaning of the term friendship. ‘A person is lucky when he has five real friends,’ an acquaintance of mine often states. If Paul would take these 89 Orkut friendships seriously, he and I would never meet again due to his sudden lack of time.)

These 89 Orkut-inflated friends each have their own huge circle. With a simple mail to ‘friends of my friends’, Paul would reach circa 4500 people at once (roughly: 89 time 89, then half the result to account for the double instances). It is a matter of time before spammers abuse this option. More to the point: what on earth is the practical and honest use of an option to mail all ‘friends’ of all your ‘friends’ with one simple click?

Orkut does weird things with such – and all other – mail. Everything that one mails through Orkut, will be kept and preserved. In its privacy policy, Orkut states:


When you invite new members into your network or send messages through the orkut.com service, we collect and maintain the information associated with those messages, including email addresses and content on secure servers.

Any ISP who would remotely consider doing the same, would be slashed and thrashed by all digital rights / civil liberties organisations – and rightfully so. For a number of years already, Europe has been hotly debating data retention of internet traffic. Anybody who cares two hoots about privacy is greatly alarmed by these plans to oblige providers to retain such data: after all, data retention is meant to enable data retrieval. Knowing who mails who when and about what, renders rather detailed information about people: for instance, it means knowing the networks that people participate in. It also means that you can get implied by proxy if a member of your network is a police suspect. For this reason, such information is considered to be highly sensitive and is very much contested.

Orkut does not only store traffic data. It stores all content. Without a time limit. While Orkut does store this data on secured servers (it would only be yet more scandalous if these servers were not secured), the mere storing makes this data retrievable for anybody who manages to secure an authority’s compliance. Isn’t it odd that data retention for ISPs causes huge debate on international platforms, while a company can do so without even causing any digital rights organisation to twitch a muscle?

Or, erm, perhaps that is not too odd. Because members, supporters, founders, financiers and employees of such digital rights and civil liberties organisations themselves have joined Orkut en masse. From Dutch ex-hackers Felipe Rodriquez and Rop Gonggrijp to Electronic Frontier Foundation front man John Perry Barlow, from Esther Dyson to all-time top-15 hacker Julf Helsingius: all are on Orkut and have founded their own Orkut communities: Hippies From Hell, Electronic Frontier Foundation, Hack-tic. Because they were curious. Because it was brought to us by Google. Or because it’s just hip. Or perhaps for the same reason that I have a supermarket loyalty card: because my concerns for privacy diminish when I think I have something to win if I give up my privacy.

Orkut can boast more oddities. In its terms of service, their claims to copyright are explained:


orkut.com’s proprietary rights

By submitting, posting or displaying any Materials on or through the orkut.com service, you automatically grant to us a worldwide, non-exclusive, sublicenseable, transferable, royalty-free, perpetual, irrevocable right to copy, distribute, create derivative works of, publicly perform and display such Materials.

In other words, Orkut claims the rights to anything that its members post or publish through Orkut, be it a photograph of their daughter, a plot for a film that is in the making or an incipient business plan. Orkut claims the eternal, worldwide and royalty-free right to re-publish, perform, display and/or distribute whatever its members mail or mention.

Of course, such a provision would probably not be upheld in court, should Orkut wish to exercise the rights it granted itself and should a user sue Orkut. But the mere fact that Orkut whipped up such a condition for the use of its network is rather remarkable. Through its close affiliation with Google, one would have expected a less Microsoftish, less Disneyesk provision.

Speaking of which: a few years ago Microsoft was planning to issue a .NET passport. .NET passport users would (unwittingly) allow Microsoft to collect information on which sites they visited, whom they mailed, what they bought where. These plans led to a confrontation between Microsoft and the European Commission, who stated that the gathering and storing of such data was illegal. In the end, Microsoft was forced to cancel its .NET passport plans.

Unlike that .NET passport, Orkut is completely voluntary. And unlike Microsoft, Orkut is being used by highly informed civil right activists. That doesn’t only make it more difficult to fight Orkut’s conditions, it also means that Orkut might be our Trojan horse. After all, can EFF and other civil rights’ organisations keep up their complaints about .NET like plans after having joined Orkut so heartily, so massively and so uncritically?

Orkut spot met privacy en auteursrecht

Microsoft zou voor minder op z’n donder krijgen

Online vriendennetwerk Orkut heeft een waarlijk vliegende start gemaakt: drie weken na oprichting zijn zowat al mijn internettende vrienden al lid. Het wordt druk besproken, zowel op het net als in Het Echte Leven.

Het principe achter al die vriendennetwerken is simpel: je meldt je aan, zet een beschrijving van je interesses neer, geeft op wie je vrienden zijn, stuurt ze een uitnodiging en vormt al doende cirkeltjes. Vervolgens kun je bekijken wie de vrienden van je vrienden zijn of opzoeken wie er je interesse deelt. Met die vers gevonden mensen kun je vervolgens ook banden aanknopen. Heel gezellig en een geweldige manier om je tijd te verliezen. ‘t Heeft allemaal niet veel om het lijf, ook al is het natuurlijk erg leuk om een verloren gewaande kennis terug te vinden.

Maar Orkut is anders. Het kan – anders dan Friendster of al die andere online communities – rekenen op een forse dosis sympathie van de meer doorgewinterde internetters en groeit derhalve als kool. Dat Orkut hechte banden heeft met Google – Orkut is in bedrijfstijd gemaakt door een werknemer van Google – zal daaraan niet vreemd zijn: als Google zijn goedkeuring aan iets nieuws hecht, is dat nieuwe verschijnsel alleen al door dat stempel vanzelfsprekend vreselijk hip.

Zelfs als Orkut anders is, zo blijkt.

Alle min of meer geformaliseerde online netwerken bestaan bij gratie van databases. Friendster stopt je profiel samen met dat van alle andere Friendster-leden in een groot bestand en bewaart derhalve alles over jezelf wat je hebt willen prijsgegeven: wie je vrienden zijn, of je rookt, wat je favoriete films en bandjes, je politieke voorkeuren zijn. Al die persoonlijke informatie maakt zo’n database enigszins gevoelig materiaal, ook al heb je al die gegevens zelf ingevoerd: mensen willen gewoonlijk gerust tegen hun vrienden zeggen dat ze graag experimenteren met drugs, maar als hun baas of hun moeder op datzelfde netwerk verschijnt, komt de zaak toch iets anders te liggen.

Soit, eigen verantwoordelijkheid en zo. Het is sowieso dom om zaken op het net te zetten waarvan je bij enig doordenken weet dat je ze liever niet algemeen of tot in lengte der dagen bekend wilt hebben, ongeacht of dat nu in een online community of een Usenet-posting is. Het geheugen van het net gaat immers langer mee dan een gesprek. Op internet wordt van alles gearchiveerd en blijven Usenet-berichten en webpagina’s voor de eeuwigheid bewaard.

Maar veel van die on-line gemeenschappen schenden de privacy van derden. Volgens een kritisch artikel in The Register van 10 februari, stimuleert Plaxo haar leden bijvoorbeeld om hun hele adresboek pardoes in die gemeenschap neer te zetten. Als een vage kennis van je bij Plaxo zit, loop je een redelijke kans dat ook jouw visitekaartje (naam, adres, telefoonnummer, geboortedatum) er is te vinden. Dank u wel: door andermens’ onnadenkendheid liggen dan ook uw en mijn gegevens er voor het oprapen.

Orkut is – zoals gezegd – anders. Orkut spot met alle regels op het net en daarbuiten. Als een kennis mij via Orkut uitnodigt, behoudt Orkut zich het recht om mijn gegevens voor eigen doeleinden te bewaren. Ik zit thans zelfs in Orkut-vriendenkringen – en krijg daar wel eens mail van – zonder dat ik mezelf ooit heb aangemeld. Orkut ‘weet’ derhalve wie mijn vrienden zijn, ook al houd ik zelf mijn mond dicht.

Orkut is door haar opzet trouwens geweldig gereedschap voor spammers. Binnen Orkut kun je niet alleen in een keer al je vrienden mailen, maar ook alle vrienden van je vrienden. Een vriend van mij, Paul, heeft 89 Orkut-vrienden, geen bizar grote kring voor Orkut omdat iedereen elkaar werft en tot intimus bombardeert. (Een strategie die de betekenis van het woord vriend nogal uitholt. ‘Een mens mag blij zijn als hij vijf ware vrienden heeft,’ zegt een andere vriend van me geregeld. Als Paul zich echt met al die 89 Orkut-vrienden gaat bezighouden, zou dat betekenen dat dat ik ‘m nooit meer zie wegens zijn plotselinge tijdgebrek.) Die Orkut-geïnfleerde vrienden hebben allemaal ook zo’n bulk aan contacten. Met een eenvoudig mailtje aan ‘friends of my friends’ kan Paul in een keer zo’n 4500 mensen bereiken (grofweg 89 x 89, en daar dan weer de helft van omdat er doublures in zitten). Je kunt erop wachten dat spammers dat gereedschap gaan misbruiken. Sterker: wat voor praktisch doel heeft het in hemelsnaam om alle ‘vrienden’ van je vrienden tegelijk te mailen?

Orkut doet trouwens iets raars met die mail. Alles wat je via Orkut verstuurt, wordt bewaard. In haar privacy policy meldt Orkut:


When you invite new members into your network or send messages through the orkut.com service, we collect and maintain the information associated with those messages, including email addresses and content on secure servers.

Met andere woorden: Orkut bewaart de inhoud van de mail die je via hen verstuurt.

Een provider die hetzelfde van plan is, zou – terecht – onder vuur komen te liggen van alle digitale burgerrechtenbewegingen. In Europa is al een paar jaar een groot debat gaande over het bewaren van verkeersgegevens (wie mailde wanneer aan wie) en zowat iedereen die privacy een goed hart toedraagt, maakt zich ernstige zorgen over die bewaarplicht. Wie met wie mailt en dus wie in welke netwerken zit, geeft een nogal gedetailleerd beeld van mensen en is informatie die niet zonder meer uit handen gegeven mag worden, reden waarom ook het bewaren – en dus opvraagbaar maken – ervan bepaald niet onomstreden is.

Orkut bewaart zulke gegevens zonder meer. Bij Orkut gaat het bovendien niet alleen om de verkeersgegevens, ook de inhoud van ieders mail wordt bewaard. Zonder termijn. Dat gebeurt weliswaar op beveiligde servers (het zou een nog groter schandaal zijn dat die servers ni­et waren beveiligd), maar niettemin zijn zulke gegevens, simpelweg doordat ze bewaard worden, opvraagbaar geworden door iedereen die een bevoegde autoriteit weet in te schakelen. Is het niet raar dat over het bewaren van zulke gegevens grote debatten in parlementen worden gevoerd, en onderwijl een enkele partij dat op eigen houtje doet zonder commentaar uit te lokken van organisaties die digitale burgerrechten bewaken?

Of nee, heel vreemd is dat niet. Want sympathisanten, leden, medewerkers, oprichters en financiers van diezelfde digitale burgerrechtenorganisaties zijn zelf en masse lid geworden op Orkut. Van ex-hackers Rop Gonggrijp en Felipe Rodriquez tot privacy-voorvechter Maurice Wessling en internet-advocaat Christiaan Alberdink Thijm, ze zitten er allemaal op en hebben er hun eigen communities gesticht: ‘Hippies from Hell’, ‘Electronic Frontier Foundation’, ‘Hack-tic’. Uit nieuwsgierigheid. Of omdat het hip is. Of om dezelfde reden waarom ik een Albert-Heijnbonuskaart heb: privacy kan me iets minder schelen als ik denk dat er iets te halen valt.

Orkut heeft meer idioterie. In de terms of service zet Orkut uiteen hoe ze het auteursrecht beziet:


orkut.com’s proprietary rights

By submitting, posting or displaying any Materials on or through the orkut.com service, you automatically grant to us a worldwide, non-exclusive, sublicenseable, transferable, royalty-free, perpetual, irrevocable right to copy, distribute, create derivative works of, publicly perform and display such Materials.

Op alles dat je via hen verstuurt – een foto van je dochter, een verhaaltje, een plot voor een te maken film of een zakelijk plan – geef je Orkut rechten. Ze dichten zichzelf het recht toe om wereldwijd, zonder royalties, onherroepbaar en voor de eeuwigheid uit te mogen kopiëren, distribueren en te mogen uitbaten wat je schrijft of bedenkt.

Wie ruzie krijgt met Orkut in geval het bedrijf een dergelijk recht te gelde wil maken, heeft gerede kans de rechter aan zijn zijde te vinden. Maar dat Orkut überhaupt met dergelijke gebruiksvoorwaarden komt aanzetten, is opmerkelijk. Juist van het net-savvy Google en haar medewerkers zou je beter mogen verwachten.

Microsoft had een paar jaar geleden plannen voor een . NET paspoort en wilde daartoe allerlei informatie van haar gebruikers vergaren: welke sites bezochten ze, wie mailden ze, wat kochten ze waar. Dat leidde tot een fikse ruzie met de Europese Commissie, die stelde dat het bewaren van zulke gegevens indruiste tegen Europese regelgeving. Microsoft blies haar paspoortplannen uiteindelijk af.

Orkut is, anders dan Microsofts voorgestelde paspoort, geheel vrijwillig. En Orkut wordt, anders dan Microsoft, naar hartelust gebruikt door goed-geïnformeerde burgerrechten-voorvechters. Dat maakt Orkut niet lastiger te bevechten, maar ook ons eigen paard van Troje.

Wellicht is het tijd dat Bits Of Freedom, Neerlands enige digitale burgerrechtenbeweging, een nascholingscursus geeft aan haar eigen oprichters, (mede-)financiers en een van haar medewerkers. En dan beloof ik mijn AH-bonuskaart op te geven.

De eigenrichting van het MDI

Nu het stof wat is opgetrokken – na een publieke ruzie in Het Parool tussen Meldpunt Discriminatie Internet (MDI) en Maroc.nl, twee artikelen in Netkwesties (hier staat het mijne), een stroom reacties in allerlei webfora en nadat het MDI eindelijk recente jaarverslagen online heeft gezet – is het mogelijk een balans op te maken van de werkwijze van het MDI en haar voorman Ronald Eissens. Op minstens vier punten zijn er fundamentele kanttekeningen te plaatsen: ondoorzichtigheid, liegen over cijfers, onzorgvuldig bestuur en overijverige interpretatie van de wet.

Wat allereerst opvalt, is hoe buitengewoon moeilijk het is om informatie van het MDI zelf te krijgen over haar werkzaamheden. De enige jaarverslagen die online stonden, waren oud en bestreken de periode 1997 tot aan 2000. Meer recente informatie gaf het MDI simpelweg niet, ook niet aan mensen of instanties die het meldpunt daar gericht om vroegen. Nadat het MDI in het kielzog van mijn artikel Netkwesties schimmigheid was verweten, zette het meldpunt druppelsgewijs de jaarverslagen van 2001 en 2002 op haar site (en verwijderde daarnaast, heel onlogisch, oudere jaarverslagen).

Een organisatie als het MDI moet het van publiciteit en transparantie hebben. Alleen door inzage te geven in de ontvangen meldingen kan het MDI haar functie van monitor uitoefenen: hoeveel klachten over discriminatie ontvangt de organisatie precies, hoe ernstig zijn de betwiste uitlatingen, om wat voor type discriminatie gaat het eigenlijk, wat gebeurt er precies met klachten, wat is het effect van de interventies van het MDI? En alleen door het publiek duidelijk te maken welk soort uitlatingen inhoudelijk over de schreef gaan, kan het MDI bevorderen dat internetgebruikers foute opmerkingen gaan schuwen.

Die transparantie heeft het MDI nimmer betracht. De enige publiciteit die het meldpunt verkoos, was de algemene stelling dat antisemitisme toeneemt, aangevuld met harde aanvallen op zowel Maroc.nl als Indymedia.nl, fora die door MDI-directeur Eissens respectievelijk als ‘een vieze modderpoel’ en als ‘een publiek urinoir’ werden gekwalificeerd. Maar uitleggen welke uitlatingen op de bewuste fora dan zover over de schreef gingen, weigerde hij apert. Niet alleen publiek, maar ook in correspondenties met de bewuste fora.

Dat is buitengewoon vreemd. Sterker, het is onfris. Waarom zou je in hemelsnaam een forum publiek aanvallen als je tegelijkertijd halsstarrig weigert uit te leggen wat daar in jouw ogen inhoudelijk verkeerd gaat? Eissens antwoord op dergelijke vragen komt neer op: “Ze merken vanzelf wel wat ze fout hebben gedaan. We hebben immers aangifte tegen ze gedaan.”

Ben je bovendien niet gehouden om, als je iemand publiek aanvalt, hem of haar door specificatie van je klacht de gelegenheid te bieden zichzelf te verklaren of te verdedigen? Wie precisering van zijn klacht bewust en herhaaldelijk achterwege laat, zoals het MDI in haar uitlatingen in de pers over Maroc.nl en Indymedia.nl heeft gedaan, wekt ten minste de schijn dat het eerder te doen is om verdachtmakingen en zwartmakerij, dan om een integer debat over de grenzen van het recht en van de vrijheid van meningsuiting, en hoe om te gaan met het spanningsveld tussen beide.

De cijfers

Het tweede opmerkelijke feit is het verschil tussen de cijfers van het MDI en hun uitspraken daarover. MDI-directeur Eissens verklaart in de pers geregeld dat antisemitisme fors toeneemt, maar nauwkeurige lezing van de eigen, ten langen leste geplaatste jaarverslagen staaft die uitspraak niet. Een analyse in de vorige editie van Netkwesties liet zien dat het aantal klachten over antisemitisme in de loop der jaren verhoudingsgewijs zelfs iets is gedaald, zij het licht.

Geen wonder dat het MDI die cijfers niet wilde publiceren, zou de cynicus zeggen: als de feiten de mening van het MDI niet schragen is dat jammer voor die cijfers… Veel spraakmakender – maar nimmer door het MDI ten overstaan van de pers meegedeeld – is dat het aantal meldingen van discriminerende opmerkingen over moslims, Turken en Marokkanen groeit en in absolute zin het aantal meldingen van antisemitisme nu overstijgt.

Waarom worden die cijfers over discriminatie van moslims door het MDI zo achteloos behandeld? Vanwaar die zo exclusieve aandacht voor antisemitisme, getuige ook de publieke aanval van het MDI op Maroc.nl? Dat is toch niet de enige vorm van discriminatie waarover het MDI zich druk heeft te maken?

Er hoeft toch geen wedstrijd gevoerd te worden tussen de verschillende vormen van discriminatie? Discriminatie van Marokkanen is simpelweg even fout en verkeerd als discriminatie van joden en behoeft even veel aandacht, kritiek en maatregelen.

Onzorgvuldig bestuur

Als derde is er de kwestie van onbehoorlijk bestuur. Het MDI telt een aantal werknemers en een directeur, Ronald Eissens. Het bestuur wordt gevormd door de stichting Magenta. Dat de directeur van het MDI de levenspartner is van een van de bestuursleden van datzelfde Magenta is al minder netjes: zo’n intieme relatie maakt de onderlinge verhoudingen apert onzuiver, en wie netjes is vermijdt zulke verwikkelingen. Andere bestuursleden hebben dan immers altijd een informatieachterstand en partijdigheid van zo’n bestuurslid – of het verwijt ervan – ligt op de loer.

Maar pertinent onacceptabel is dat datzelfde bestuurslid – Suzette Bronkhorst – tevens werknemer is van de stichting. Dat mag simpelweg niet. Bronkhorst heeft als bestuurslid de taak Eissens te instrueren en te controleren; als werknemer is ze zijn ondergeschikte en heeft ze formeel zijn orders op te volgen. Die bizarre constructie maakt niet alleen de verantwoordelijkheden buitengewoon schimmig en ondoorzichtig, maar geeft Eissens feitelijk volledig de vrije hand.

Dat de rest van het bestuur van het MDI voorts niets in de pap te brokkelen heeft, is de ethische doodsklap. Penningmeester Onno Rodbard heeft thans een spreekverbod opgelegd gekregen van medebestuurslid Bronkhorst, op grond van zijn eerdere openheid over de geldstromen in Netkwesties. In dat eerste gesprek zei Rodbard dat “het meldpunt .. ook eigenlijk van hun is”. Dat wil zeggen: het is van Eissens en Bronkhorst.

Daarmee diskwalificeert hij zichzelf en het bestuur volledig als controlerende instantie: ze zouden er net zo goed niet kunnen zijn. Voorzitter Brieuc-Yves Cadat zegt publiekelijk al helemaal niets: hij reageerde simpelweg niet op een groot aantal verzoeken om informatie of opheldering.

Het MDI draait volledig op subsidie van het ministerie van Justitie. Je zou dan toch iets meer controle en verantwoording willen eisen dan wat twee geliefden elkaar bij het ontbijt vertellen.

Het handelen van het MDI

Tenslotte: de overijverige interpretatie van de wet door het MDI. In het jaarverslag 2002 meldt het MDI: “Van 1.238 uitingen constateerde het Meldpunt dat er sprake was van strafbaar materiaal. Naar aanleiding hiervan werden 881 verzoeken tot verwijdering [van de bewuste teksten, KS] verzonden. In 557 gevallen werd dit verzoek opgevolgd door verwijdering en in 324 gevallen niet. Van deze 324 uitingen zal over 143 aangifte worden gedaan (26 dossiers) en 169 zullen aan het [Openbaar Ministerie] worden voorgelegd voor verdere toetsing.”

Allereerst is toetsing aan de wet natuurlijk voorbehouden aan de rechter, niet aan het Meldpunt. De rechter is de enige instantie die een oordeel kan vellen over de toelaatbaarheid van publieke uitingen, juist omdat er altijd sprake is van een delicate afweging tussen verboden en rechten – in casu: van het discriminatieverbod versus de vrijheid van meningsuiting.

De formulering dat ‘het Meldpunt .. constateerde dat er sprake was van strafbaar materiaal’ is dan ook op zijn minst voorbarig en aanmatigend. Aangenomen dat een goed geïnformeerde burger – en dus ook het Meldpunt – zich een globaal beeld kan vormen van wat de rechter wel en niet toelaatbaar acht, kan het meldpunt hooguit iemand waarschuwen dat zijn uitlatingen waarschijnlijk niet door de beugel kunnen indien iemand aangifte zou doen, en dienen ze het daarbij te laten (of zelf aangifte te doen, wat iedereen natuurlijk vrij staat).

Al het meerdere is eigenrichting. En het MDI doet meer. Ze sturen brieven op hoge poten – zie bijvoorbeeld de brief die het MDI aan Geenstijl.nl stuurde waarin het dreigen met aangifte als dwangmiddel wordt gebruikt en onmiddellijke verwijdering van materiaal wordt geëist. Het MDI gedraagt zich daarmee als beoordelaar en handhaver van de wet.

Naar uit het jaarverslag 2002 blijkt, zijn die boze brieven redelijk effectief: veel van de omstreden uitlatingen werden terstond verwijderd. Maar van de resterende 324 uitlatingen, oftewel ruim een derde van alle door het MDI strafbaar geachte uitspraken, wil het MDI zelf uiteindelijk over slechts 143 metterdaad aangifte doen. Over 169 gevallen willen eerst ze zelf nog hun licht opsteken bij het Openbaar Ministerie om uit te zoeken of die nu wel of niet kunnen.

Hoe nu? Het MDI had zich naar eigen zeggen toch al uitgebreid vergewist van de strafbaarheid van alle 881 uitlatingen waarvan ze verwijdering verlangden? Waarom bindt het meldpunt plots in wanneer zijzelf voor het blok wordt gezet, doordat de aangeklaagden weigerden hun opmerkingen te verwijderen?

De 324 opmerkingen die niet werden verwijderd, zouden toch – volgens MDI’s eigen logica – terstond tot aangifte moeten leiden? Was die strafbaarheid ervan wellicht niet zo evident als het MDI het aanvankelijk voorstelde, aangezien ze over ruim de helft van alle niet verwijderde uitlatingen eerst overleg willen voeren nu puntje bij paaltje komt?

Wat zegt die zo plots optredende aarzeling voorts over de strafbaarheid van de wel op verzoek van MDI verwijderde berichten? Was daar wellicht ook, ondanks de stelligheid van het MDI, ruimte voor aarzeling en behoefte aan overleg met het OM? Met andere woorden: in hoeveel gevallen is er onder grote druk van van het MDI materiaal verwijderd waarvan de strafbaarheid helemaal niet zo evident was als het MDI jegens de betrokkenen deed voorkomen?

Die vragen worden des te prangender voor wie verder leest in het jaarverslag van 2002. Want uiteindelijk blijkt dat het MDI in 2002 helemaal niet over 143 gevallen aangifte heeft gedaan, maar over slechts zes. Deze zes aangiften bestreken bij elkaar 70 uitlatingen.

De rest wordt in portefeuille gehouden: ze zijn blijkens het jaarverslag ‘in voorbereiding’ dan wel ‘in dossier’. Kennelijk bieden de betreffende uitlatingen te weinig houvast om terstond tot aangifte over te gaan, terwijl zulks wel de grond was waarop het MDI eerder onmiddellijke verwijdering eiste.

De ‘grondige toetsing’ die het MDI zegt te verrichten, blijkt wel heel wankel, en het dreigen met aangifte doen is precies dat: een dreigement, dat zelden wordt waargemaakt.

Wat de kwestie van aangiftes nog lastiger maakt is dat het MDI de jurisprudentie over onrechtmatige uitlatingen op internet in minstens twee gevallen bewijsbaar fout heeft geïnterpreteerd, namelijk in de aangifte tegen Indymedia.nl en in die tegen Maroc.nl.

De zaak waar eenieder zich op verliet als het ging om de verantwoordelijkheid van providers was die van Scientology versus XS4all en Spaink (arrondissementsrechtbank Den Haag, 96/1048, 9 juni 1999). In die uitspraak legde de Haagse rechtbank vast dat een provider “die ervan in kennis wordt gesteld dat een gebruiker van zijn diensten op diens home page auteursrechtinbreuk pleegt of anderszins onrechtmatig handelt, terwijl aan de juistheid van die kennisgeving in redelijkheid niet valt te twijfelen, zelf onrechtmatig handelt indien hij alsdan niet ingrijpt. Van de Service Provider mag dan worden verwacht dat hij de inbreukmakende documenten uit zijn computersysteem verwijdert”.

Met andere woorden: wie een klacht heeft over een gebruiker, mag de provider slechts dan verantwoordelijk stellen wanneer aan twee voorwaarden is voldaan:

  • de provider moet op de hoogte zijn gesteld van de kennelijke onrechtmatige handeling, en
  • aan de juistheid van die kennisgeving kan in redelijkheid niet worden getwijfeld.

De aangiften tegen Indymedia.nl en Maroc.nl die het MDI heeft ingediend, richtten zich beide op de webfora van die sites: op publiek toegankelijke plaatsen waar derden berichten en reacties kunnen plaatsen. Wat betreft de webfora bevinden Indymedia en Maroc.nl zich in de positie van providers: ze plaatsen het materiaal niet zelf, ze zijn slechts doorgeefluik voor anderen.

Indymedia en Maroc.nl kunnen derhalve alleen verantwoordelijk worden gehouden voor de inhoud van die berichten indien zij expliciet op onrechtmatige berichten worden gewezen en vervolgens niet ingrijpen. Het MDI heeft echter altijd geweigerd Maroc.nl en Indymedia.nl te wijzen op de precieze berichten die hun wrok wekten.

Met die weigering ontnam het MDI beide webfora niet alleen de mogelijkheid in te grijpen, maar negeerde het MDI ook de jurisprudentie: alleen door een provider – en analoog: een webforumhouder – van tittel en iota op de hoogte te stellen, kan hem verantwoordelijkheid worden aangerekend bij niet-ingrijpen.

Het MDI heeft feitelijk zijn eigen glazen ingegooid door niet opener te zijn tegenover Maroc.nl en Indymedia.nl over de aard van hun klachten: door hen niets te vertellen, pleitte het MDI hen onbedoeld vrij. Eerst informeren, dan pas aansprakelijk stellen: zo hoort het.

Geen wonder dat het OM op 20 december j.l. te kennen heeft gegeven niet tot vervolging van Maroc.nl over te gaan, ondanks de met veel tam-tam omgeven aangifte van het MDI. Het OM kent de jurisprudentie uiteraard wel…

Zeker voor een organisatie die geheel door het ministerie van Justitie wordt gefinancierd is een dergelijke vrije en overijverige interpretatie van de wet – compleet met eigenrichting – een buitengewoon pijnlijke zaak.

Mij lijkt dat de inzet van MDI niet kan zijn om op eigen houtje berichten te laten verwijderen. Wat het MDI wel zou kunnen – en nalaat – is om in goed overleg met webforahouders methodes te ontwikkelen om zorgvuldig te kunnen modereren en secuur met het blokkeren van berichten of deelnemers om te gaan, en daarnaast – eveneens in goed overleg – soms een proefproces te beginnen teneinde de jurisprudentie te verfijnen.

Maar het MDI heeft een andere weg gekozen: die van dreigementen en de publieke aanval via de pers, zonder overleg of transparantie.

‘Een vieze modderpoel’

Een paar weken geleden stuitte ik op een ingezonden brief in Het Parool waarin bestuurslid Dick Sipkes van Maroc.nl zich beklaagde over de werkwijze van het Meldpunt Discriminatie Internet (MDI). Lange tijd verwijderde Maroc.nl berichten waarover het MDI klachten had ontvangen: het MDI stuurde de klachten aan Maroc.nl door en Maroc.nl deed er wat aan. Men betitelde de samenwerking over en weer als “prettig”. Tevens had Maroc.nl een eigen klachtenprocedure.

In de zomermaanden van 2002 liep het mis. De bestuursleden waren op vakantie en hadden – erg dom, erkenden ze later ootmoedig – geen vervangende moderators aangesteld. Een discussie tussen buurtende bezoekers van Joods.nl en een vaste Maroc.nl-bezoeker liep uit de hand. Het MDI kreeg vervolgens een serie klachten van (vermoedelijk) de Joods.nl-bezoekers op zijn bureau gedeponeerd. Na de vakantie greep het bestuur van Maroc.nl rap in en de rust keerde weer.

Ogenschijnlijk, tenminste. Maroc.nl maakte een afspraak met het MDI om te bezien hoe ze dergelijke escalerende ruzies voortaan konden bezweren. Het MDI zegde die afspraak op het laatste moment af en weigerde een nieuw gesprek. Het meldpunt motiveerde deze opstelling later schriftelijk met de denigrerende opmerking “wij organiseren geen praatgroepjes bij een kopje thee”. Een nogal bevreemdende kwalificatie voor een instantie die volgens haar eigen site veel aan voorlichting wil doen.

Kort daarna hoorde Maroc.nl via de pers dat het MDI “het helemaal gehad heeft met die site” en bij het Openbaar Ministerie aangifte tegen Maroc.nl had gedaan. MDI-directeur Ronald Eissens meldde voorts publiekelijk dat Maroc.nl niets dan “een vieze modderpoel” was. Maroc.nl had geen idee tegen welke berichten op hun forum de aangifte zich richtte en het MDI wilde daar geen helderheid over verschaffen. Maroc.nl heeft ruim een jaar later nog niets van het OM gehoord.

Maroc.nl heeft een paar keer geprobeerd zijn versie van de gebeurtenissen in de publiciteit te krijgen, maar dat mislukte schromelijk. Kranten herhalen telkenmale het verhaal van het MDI als zou Maroc.nl een beerput zijn tegen wie aangifte loopt, zonder wederhoor bij Maroc.nl te vragen. Maroc.nl heeft uiteindelijk besloten een klacht bij de Raad voor Journalistiek te deponeren, gericht tegen Het Parool, dat de beschuldigingen van het MDI zonder enige verificatie herpubliceerde.

Dat verhaal kwam me bekend voor. Vreselijk bekend. In april 2003 speelde zich iets dergelijks af tussen Indymedia.nl en het MDI. Indymedia.nl werkt via ‘open publishing’: iedereen kan er iets schrijven en dat wordt zonder meer gepubliceerd. Als de redactie wordt geattendeerd op stukken die over de schreef gaan, verhuizen ze die naar de bittenbak.

In de herfst en winter van 2002 liepen de emoties op Indymedia.nl steeds hoger op: de opkomst van Fortuyn werd er met argwaan gadegeslagen, en er kwamen nogal wat rechtse lummels een potje stoken op de fora van Indymedia. Het MDI meldde Indymedia geregeld dat er een klacht over een anti-semitische of racistische bijdrage was binnengekomen. Indymedia verhuisde zo’n bericht dan gewoonlijk naar de afvalbak.

In de lente van 2003 stokte de communicatie plots. Vlak daarna verscheen een groot artikel in de Volkskrant waarin MDI-directeur Ronald Eissens zich bij monde van een Volkskrant-redacteur beklaagde over Indymedia, dat hij ‘één groot urinoir’ noemde. De kop van het paginagrote stuk: ‘Anti-semitische walm’. Eissens beweerde in dat artikel onder meer: “Het linkse web Indymedia.nl plaatst geregeld anti-semitische teksten en weigert ze te verwijderen.”

Dat laatste was aantoonbaar niet waar: Indymedia had eerder, na overleg met het MDI, juist wel anti-semitische berichten verwijderd. Dat Indymedia.nl zulke stukken zelf niet plaatst maar dat de bezoekers het doen, is een verschil dat Eissens helemaal uit het oog verloor. Eissens deelde de Volkskrant mee dat het MDI aangifte tegen Indymedia.nl had gedaan, en gaf en passant Maroc.nl nog een veeg uit de pan door in datzelfde interview die site “een rotte appel” te noemen.

De Volkskrant vroeg Indymedia.nl niet naar diens versie van het verhaal, maar slikte de weergave van Eissens voor zoete koek. En Eissens weigerde Indymedia in te lichten over welke berichten die aangifte precies handelde. Ook Indymedia.nl heeft bij mijn weten nadien niets van het OM gehoord.

Wat is dat MDI eigenlijk? Op de site word je niets wijzer. Er staat uitgebreid uitgelegd hoe ze te werk gaan. Tussen neus en lippen vertellen ze dat ze door de overheid worden gesubsidieerd en dat ze hun inkomsten aanvullen door de “verkoop van producten (website design en onderhoud)”. Een meldpunt tegen discriminatie dat websites zit te bouwen?

Maar daarmee houdt het op. Wie werken er bij het MDI, wie zitten er in het bestuur? Hoeveel meldingen van discriminatie krijgen ze jaarlijks binnen en hoeveel daarvan beoordelen ze als terecht? Wat beschouwen ze precies als discriminatie? Gaat het alleen om anti-semitisme, of ook om moslimhaat? Vallen homofobe uitspraken volgens het MDI onder discriminatie?

Hoe vaak slagen ze erin de beheerders van webfora te overtuigen dat ze specifieke berichten beter kunnen verwijderen? Hoe vaak hebben ze aangifte gedaan? Hoe vaak leidde zo’n aangifte metterdaad tot een veroordeling? Hoe effectief is het MDI?

Allemaal niets over te vinden. Het laatste jaarverslag dateert van 1999, en cijfers van na die tijd zijn nergens te vinden. Ze lijken er wel te zijn: het Centrum Informatie en Documentatie Israël (CIDI) verwijst in zijn eigen rapportage, lopend tot mei van dit jaar, immers naar cijfers van het MDI over 2001 en 2002. Maar het MDI verschaft deze rapportages niet aan de bezoekers van haar eigen site.

Een bestuurslid van Maroc.nl vertelde me dat hij herhaaldelijk om het laatste jaarrapport van het MDI heeft gevraagd, maar het simpelweg niet van ze krijgt. Waarom staan zulke cijfers niet online? Is het MDI, als gesubsidieerde instantie, niet gehouden zo breed mogelijk inzage te geven in zijn werkzaamheden?

Waarom is Eissens in hemelsnaam zo idioot stil over de goede werken die hij verricht, behalve als hij met overtrokken beschuldigingen kan uitpakken in een krant?

[Werd vervolgd in De eigenrichting van het MDI.]

Nederlandse spampraktijken

Vraag een internetgebruiker naar spam en hij zucht: ‘Ik krijg verdorie steeds meer van die troep.’ Vraag een marketeer naar de mogelijkheden die internet biedt en hij wordt lyrisch: ‘Zoveel nieuwe mogelijkheden om mensen te bereiken!’ Maar haast niemand wil op deze manier worden bereikt: mensen ergeren zich meer aan ongevraagde massamail dan aan andere vormen van reclame. Uit een onderzoek uit december 2002 bleek dat ongevraagde reclame door maar liefst 85% van de ontvangers als hoogst irritant wordt gezien. 1 Spam neemt onderwijl schrikbarend in volume toe.

Spam is spotgoedkoop voor de adverteerder, dat is een deel van het probleem. Voor reclame in andere media moet flink worden betaald: folders, advertenties en spotjes zijn duur. Massamail daarentegen kost haast niets. Iedereen met een computer en een internet- verbinding – en steeds meer mensen en bedrijven hebben beide – kan spammen voor zijn site of product. Het kost je als verzender hooguit je account (en je reputatie). Professionele spamruns worden al vanaf 129 dollar aangeboden: voor dat bedrag koop je een mailing naar 5 tot 28 miljoen e-mail adressen. 2

Een belangrijk verschil tussen gewone reclame en spam is dat waar advertenties tijdschriften en zenders voor de consument betaalbaar houden, de kosten van spam worden afgewenteld op het internet zelf – en dus op de gebruikers. Providers hebben nu al gemiddeld tweemaal zoveel mailservers nodig vanwege spam: de helft van alle e-mailverkeer bestaat tegenwoordig uit ongevraagde reclame (aan het begin van dit jaar was dat nog 40%). Abusedesks maken overuren, providers moeten zich in bochten wringen om e-mail beheersbaar te houden.

Spam werkt, dat is het tweede deel van het probleem. Al gooit bijna iedereen zulke mail geërgerd weg, als een promille van alle geadresseerden positief reageert, doet de spammer al goede zaken. Wired publiceerde deze maand de uitgelekte verkoopcijfers van een Viagra-spammer 3: in vier weken tijd bestelden 6000 mensen een of meer verpakkingen. De omzet in die ene maand behelsde ruim een half miljoen dollar. Zolang er eens per dag een koop wordt gesloten, is spammen lucratief, juist omdat de kosten zo laag zijn. Anders gezegd: de overlast wordt mede in stand gehouden door naïeve consumenten die op spam ingaan.

Spam is ondertussen een dusdanig groot probleem geworden dat sommigen denken dat e-mail als medium eraan tenonder zal gaan. Provider MSN blokkeert dagelijks een slordige 2,5 miljard spammails. Zelf krijg ik tegenwoordig bijna 150 spams per dag, waarin mijn echte mail bijna verzuipt. Het is alsof er dagelijks honderd reclamefolders in mijn brievenbus worden gepropt.

Hardcore, mainsleaze en opportunisten

XS4all, een provider die zich meer dan gemiddeld met spambestrijding bezighoudt, gebruikt in haar typologie van spammers de volgende indeling 4:

  • Hardcore spammers, die elke legale en illegale methode gebruiken om hun massamail te lozen. Elke voorzichtige aanpak is zinloos, aangezien deze categorie onder meer systematisch andermans machines misbruikt. Dat doen ze onder meer via open proxies en open relays, oftewel onbeveiligde computers, en via spam trojans: virussen die andermans computer ombouwen tot open relay. 5 Doorgaans is volstrekt onduidelijk wie erachter zit. Het bijhouden en gebruiken van zwarte lijsten van misbruikte IP-nummers is een vrij effectieve (maar arbeidsintensieve) remedie tegen deze groep spammers. (Elke computer die met internet is verbonden, heeft een uniek IP-nummer; via dat IP is de bron van spam en de locatie van een website te achterhalen. Via diezelfde IP-nummers kunnen providers spammers blokkeren: hun eigen mailservers raadplegen de zwarte lijst, en zodra het om een ‘fout’ IP gaat dat mail wil afleveren, weigeren ze die of markeren ze hem als spam.)
  • Mainsleaze spammers, die even onverbeterlijk zijn, maar zich technisch in verhouding tot de hardcore spammers netter gedragen: ze misbruiken tenminste andermans computers niet. Het betreft meestal organisaties uit de direct-marketingsector of bedrijfjes die hen faciliteren. Ook tegen hen is het gebruik van zwarte lijsten redelijk effectief; daarnaast kunnen ze, omdat ze vindbaar zijn, bij herhaald wangedrag eventueel worden afgesloten, afhankelijk van de gedragscode van de provider.
  • Opportunistische spammers, die ofwel niet goed doorhebben wat spam is, wat er verkeerd aan is en hoe hinderlijk het is, ofwel niet weten hoe slecht spammen voor hun reputatie is. Deze categorie is redelijk opvoedbaar, hoewel die educatie vaak een tijdrovende kwestie is en soms ‘naming and shaming’ vergt.

De hardcore en de mainsleaze-categorie spammen beroepsmatig. Ze gebruiken speciale programma’s om massamail te versturen en adressen van het net te oogsten, en handelen veelal in adressenbestanden. Beide groepen maken een afweging tussen hun winst en hun reputatie: zolang het netto rendement van een spamrun of van een marketingopdracht voor een klant de nadelen overstijgt, blijven ze doorgaan. Het is immers hun broodwinning.

Voor de opportunistische categorie is spam een goedkope manier om mensen op hun site of product te attenderen. Zodra ze ontdekken dat hun reputatie erdoor wordt geschaad, zijn ze gewoonlijk genegen hun leven te beteren.

In april is een meldpunt voor Nederlandse spam opgericht. Nu Spamvrij.nl een paar maanden functioneert en een ruime hoeveelheid in Nederland uitgevoerde spamruns heeft gedocumenteerd, is het mogelijk om na te gaan hoe de verhoudingen in Nederland liggen. Hoe ziet spammend Nederland eruit?

20 tot 30 miljoen spams per dag

In de categorie die werkelijk alles uit de kast haalt om hun massamail in ieders mailbox te dumpen en daarbij illegale handelingen niet schuwt, is er in Nederland maar één kandidaat: Cyberangels. De organisatie, gerund door Martijn Bevelander (mede-eigenaar en directeur van de ISP Megaprovider, die onlangs om die reden door de branchevereniging NLIP werd geschorst (6), is een berucht spamhaus. Een van hun klanten, de Argentijnse groep SuperZonda, was alleen al goed voor 20 à  30 miljoen spam mails per dag.

Vanaf de IPs van Cyberangels zijn duizenden portscans verricht, bedoeld om open proxies te vinden van waaraf gespamd kon worden. Soms werden andermans computer gekraakt om de spamvertised websites te hosten; onder meer British Airways werd daar slachtoffer van 7.

Nadat commotie ontstond over de rol die Bevelander in dit spamhaus speelde, dumpte Cyberangels hun domein cyberangels.nl. Spamvrij.nl wist het domein binnen het half uur te bemachtigen. Dat had als neveneffect dat Spamvrij.nl plots ook alle mail ontving die voor dat domein werd bezorgd. De eerste dag dat Spamvrij.nl over het domein beschikte, kwamen er bijna 6000 mails voor Cyberangels binnen.

Elders heeft Spamvrij.nl een analyse van die mail gepubliceerd 8. Wat mij daarbij opviel was dat er tussen de krap 6000 mails die in de loop van die eerste dag bij Spamvrij.nl werden bezorgd, slechts 371 klachten zaten: 225 over spam waarin websites werden geadverteerd die op het Cyberangels-netwerk stonden, 146 over portscans vanaf door Cyberangels beheerde IP-nummers.

Met SuperZonda’s geschatte spamoplage van 20 tot 30 miljoen per dag in het achterhoofd zijn 225 klachten over spam een te verwaarlozen percentage. Nu werd veel van SuperZonda’s mail al voor aflevering geblokkeerd – dat is precies het nut van blacklists; aan de hand daarvan beslis je als provider welke afzender je liever niet aan de deur hebt – maar toch. Kennelijk bestaat er grote gelatenheid over spam: gewoon maar weg mieteren, niet klagen. Anderzijds zijn 146 klachten over portscans op een dag er absurd veel; dat levert een goede indicatie op van de hoeveelheid illegaal verkeer die vanaf het Cyberangels-netwerk vandaan kwam.

“Wij gaan zorgvuldig met e-mail marketing om”

Nederlands eerste mainsleaze spammer was AbFab. Dat bedrijf maakte zichzelf eind 2001 in één klap gehaat bij Nederlandse internetters door 50.000 massamails voor NRC Handelsblad te versturen. De spam belandde bij de duvel en z’n ouwe moer: niet alleen bij bestaande abonnees maar ook bij technische (beheer)adressen. Veel mensen ontvingen hem bovendien meermalen. Marie-José Klaver, freelancer voor die krant, schreef boos in haar column: ‘Zelf heb ik ongeveer twintig aanbiedingen voor proefabonnementen gekregen op de verschillende e-mailadressen die ik gebruik. [..] De reputatie van NRC Handelsblad als kwaliteitskrant is zwaar beschadigd. Wie vijf spamberichten heeft ontvangen, is voorlopig niet meer bereid te geloven dat NRC Handelsblad door intelligente mensen wordt gemaakt.’ 9

NRC Handelsblad voelde zich genoopt publiekelijk excuses aan te bieden en werd vergeven; AbFab niet. Die had geen spijt betuigd en had NRC Handelsblad belazerd door ordinair te spammen, vermoedelijk tegen forse betaling. Bovendien bleef het marketingbedrijf ongevraagde reclame rondsturen, wat uiteindelijk zelfs tot een rechtszaak leidde die AbFab pas in hoger beroep won, hoofdzakelijk omdat de Nederlandse wet (nog) geen regels tegen spam kende 10. AbFab ging in januari 2003 failliet.

AbFabs onbetwiste troonpretendent is First Impressions, een direct marketingbedrijf geleid door Rob de Heus. Spamvrij.nl ziet tegenwoordig zo’n twee tot drie spamruns van De Heus per week. Naar eigen zeggen heeft De Heus de beschikking over 2 miljoen Nederlandse e-mail adressen en stuurt de firma wekelijks honderdduizenden mails rond. De Heus beweert alleen met ‘permissie’ en gericht mail te sturen, de klassieke tegenwerping van alle direct marketeers. In werkelijkheid zendt het bedrijf ook willekeurige mensen ongevraagde reclame, zodat eenpersoons-huishoudens reclame voor Romac bedrijfsreinigingsmachines in hun mail treffen of platgemaild worden over Frama frankeermachines – met alle gevolgen voor de reputatie van die bedrijven van dien.

Waar De Heus, in tegenstelling tot andere spammers, wel netjes in is, is dat wie zich bij hem uitschrijft inderdaad gewoonlijk van de lijst wordt afgehaald. Maar mensen schijven zich zelden uit bij ongevraagde massamail. Deels omdat sommige spammers een verzoek tot uitschrijving beschouwen als bewijs dat het misbruikte adres daadwerkelijk in gebruik is en het vervolgens voor goed geld verder verkopen, deels omdat er teveel (ook Nederlandse) spammers zijn die verzoeken tot uitschrijven botweg negeren. Bovendien: waarom zou je je uitschrijven voor iets waarvoor je je nooit hebt ingeschreven? Zo blijft het e-mailbestand van De Heus onveranderd groot, een ‘prestatie’ die het bedrijf als aanbeveling jegens zijn klanten gebruikt.

Spamvrij.nl heeft een aantal bedrijven voor wie De Heus heeft gespamd benaderd met de vraag of zij weten dat hun mail ook naar ongeselecteerde adressen gaat. Eén bedrijf bedrijf reageerde geschrokken en zei meteen alle banden te zullen verbreken; een ander zei wel wat klachten te hebben ontvangen, doch vooral positieve reacties, maar niettemin voortaan af te zien van de diensten van De Heus en First Impressions ‘omdat het een relatief dure vorm van reklame is.’ 11 Of zijn klanten er veel beter van worden is de vraag, maar De Heus verdient goed geld. Een spamrun uitvoeren kost hem immers vrijwel niets.

“Maar dit waren geselecteerde adressen!”

Momenteel worden bij Spamvrij.nl elke dag twee tot drie Nederlandse spamruns aangemeld. (Nederlandse spammers houden zich overigens goeddeels aan de arbeidstijden: er wordt weinig in het weekend of in de avonduren gespamd, en ook de vakantie was te merken. We zijn en blijven een gereguleerd land.) Het aantal meldingen groeit gestaag; eerder dit jaar ging het nog om een tot twee runs per dag – maar de toename kan ‘m ook zitten in de toenemende bekendheid van de organisatie. We krijgen gaandeweg immers ook meer meldingen per spamrun.

De lijst van Nederlandse bedrijven die ooit hebben gespamd wordt zodoende wekelijks langer. De meeste ervan zijn geen hardcore spammers maar opportunistische spammers die een goedkoop reclamemedium denken te hebben ontdekt. Gelukkig verdwijnen er ook bedrijven van de lijst: die hebben beterschap beloofd. Boze providers helpen daar erg bij, net zoals het openbaar maken van namen, zoals Spamvrij.nl doet.

Te vaak blijkt het nodig bedrijven de principes van nette mailinglijsten uit te leggen. ‘We hebben onze mailing alleen gestuurd aan geselecteerde adressen,’ zegt een spammer dan, er geheel aan voorbijgaand dat het de ontvanger is die zou moeten bepalen wat hij aan reclame wil krijgen, niet de verzender, omdat zijn mailbox anders geheel vol zou lopen, en omdat de gebruiker betaalt voor het ontvangen van zijn mail. Of: ‘Maar ze kunnen zich toch uitschrijven?’, zich niet realiserend dat het precies andersom hoort: pas na een inschrijving stuur je iemand massamail.

Opvoeding helpt. Bedrijven moet eindeloos en met veel geduld worden uitgelegd hoe het wel moet. Wat bepaald niet helpt is dat marketeers gouden bergen blijven beloven en zelf ondertussen te vaak de regels grof schenden. Zoals E2Ma bijvoorbeeld, dat een compleet adressenbestand van een Nederlandse zoekmachine overnam en 60.000 adressen lustig bespamde met reclame voor financiële producten van de DSB Groep. DSB kon er niet veel aan doen, maar E2ma had absoluut beter moeten weten: andermans adressenbestanden overnemen mag simpelweg niet. Niettemin deed E2ma of ze van de prins geen kwaad wist.

Regulering en wetgeving

De Heus heeft al diverse malen van provider moeten wisselen: spammen wordt niet overal getolereerd. Na een paar van zulke gedwongen verhuizingen vindt een massamailer gewoonlijk een provider die wel coulant is jegens spam en klachten niet honoreert. Er ontstaat een tweedeling tussen internet providers: spammen is een niche-markt geworden, en er zijn providers die – zoals Cyberangels ook deed – zich hoofdzakelijk op die markt richten.

Providers die al te soepel omgaan met spammers en open proxies, komen uiteindelijk zelf op zwarte lijsten te staan. Dat leidt ertoe dat ook de nette klanten van zulke ISPs uiteindelijk moeite krijgen hun mail afgeleverd te zien. en hetzij massaal weglopen, hetzij massaal protesteren. Chello en LaDot hebben daar eerder de vingers aan gebrand; beide bedrijven hebben hun beleid inmiddels herzien. Wanneer (vermoedelijk) eind oktober de regels voor elektronische reclame worden aangepast na de herziening van de Telecommunicatiewet, wordt spammen iets moeilijker.

Bedrijven moeten volgens die nieuwe voorstellen hetzij expliciete toestemming van de geadresseerde hebben om massamail op te sturen, hetzij een eerder zakelijk contact met hem hebben. Een bedrijf als De Heus komt onder die nieuwe regelgeving in de problemen, reden waarom hij en andere direct marketeers momenteel zwaar lobbyen bij het parlement om de toch al niet heel strenge voorstellen verder te versoepelen.

Het grootste probleem bij de aanstaande wet is dat er geen sancties op overtreding staan. Spammen wordt een economisch delict. Maar hoe kun je als ontvanger een zaak gaan voeren? Het is immers zelden die ene mail van dat ene bedrijf dat de ontvanger financiële schade berokkent: het is juist het totale volume dat hinder en nadeel oplevert. Mogelijk kunnen providers gezamenlijk een zaak aanspannen (zoals XS4ALL eerder tegen AbFab heeft gedaan) of kan een consumentenorganisatie een proefproces voeren.

De hardcore en de mainsleaze spammers verdwijnen echter waarschijnlijk naar het buitenland. Het net is immers internationaal. Spammen ook.

Noten:

Show 11 footnotes

  1. Interview-NSS, ‘Ongevraagde E-mailreclame meest irritante reclame’, 16 december 2002.
  2. Op http://202.63.201.239/promotional werden in juli 2003 spamruns voor die prijs aangeboden. Een discussie erover staat op groups.google.com.
  3. Brian McWillams, ‘Swollen orders show spam’s allure’, in Wired, 6 augustus 2003.
  4. De indeling is van Vincent Schönau, medewerker Abuse Team XS4ALL, in een lezing bij de Megabit Spamcarroussel, 26 juli 2003. De toelichting op elk van de categorieën is van mij.
  5. De werking van een zo’n spam trojan, Proxy-Guzu, wordt beschreven in Kevin Poulsen, ‘Rise of the Spam Zombies’, The Register, 27 april 2003.
  6. Persverklaring NLIP d.d. 8 juli 2002, ‘NLIP schorst lid’.
  7. BBC-journalist Andrew Bomford beschreef hoe SuperZonda onder meer een site waar Russische postorderbruiden werden aangeboden in het netwerk van British Airways wist te parkeren. ‘Spam peddlers hijack computers’, 1 juli 2003.
  8. ‘Analysis of incoming cyberangels.nl mail’, 7 juli 2003, www.cyberangels.nl.
  9. Marie-José Klaver, ‘Wordt e-marketeer! Vandaag nog!’, NRC Handelsblad, 26 oktober 2001.
  10. XS4all spande een zaak tegen AbFab aan, won in kort geding en verloor in hoger beroep. XS4all is in cassatie gegaan.
  11. Romac in een reactie aan Spamvrij.nl op 15 juli 2003.

Het nieuwe gezicht van overheidscensuur

[Op 13 en 14 juni 2003 organiseerde het bureau FOM (Freedom of the Media) van de OVSE (de Organisatie voor Veiligheid en Samenwerking in Europa) een conferentie over vrijheid van de media en internet. Het resultaat daarvan: de zogeheten Amsterdam recommendations, aanbevelingen die namens de OVSE/FOM naar alle aangesloten lidstaten zijn gestuurd. Eerdere teksten die ik voor de OVSE/FOM ter voorbereiding van dit congres schreef, zijn

Burgemeester Job Cohen en OSCE/FOM directeur Freimut Duve,
vlak voor de opening van het congres

nternet, wijd verspreid en ver vertakt als het is, is feitelijk piepjong. Diensten als e-mail en discussiegroepen zijn weliswaar ouder, maar de ‘big bang’ vond precies tien jaar geleden plaats. 1993 was het jaar dat de eerste webbrowser werd gelanceerd, het jaar dat het Witte Huis en de VN een website openden, en tevens het jaar dat het grote publiek toegang kreeg tot het net. In die tien jaar is het internet onvoorstelbaar rap gegroeid. Inmiddels worden er wereldwijd een paar miljard mails per dag verstuurd, zijn er bijna vijftigduizend discussiegroepen op Usenet en ligt het totale aantal webpagina’s ver boven de drie miljard.

De crux van het net is dat mensen, waar ook ter wereld, informatie kunnen opvragen en uitwisselen. Regelmatig betreft het informatie die overheden hun bevolking liever willen onthouden of binnen hun landsgrenzen zelfs verboden hebben. Waar censuur op tijdschriften of kranten betrekkelijk makkelijk is te realiseren, is dat op internet lastiger, juist door het open en internationale karakter van het net. Er is immers altijd wel een land te vinden waar dergelijke informatie wel legaal en vrij voorhanden is. Nadat Singapore websites verbood waar politieke of religieuze discussies plaatsvonden die niet met het nationale beleid strookten, weken zulke sites uit naar andere landen; de meeste van die sites zijn daardoor nog steeds lokaal toegankelijk. Australië heeft betrekkelijk strenge fatsoenseisen opgesteld waaraan websites in dat land moeten voldoen, maar het land kan – tenzij het tot draconische, Chinese maatregelen overgaat – niet voorkomen dat haar onderdanen sites in het buitenland bezoeken die de nationale toets der kritiek niet kunnen doorstaan.

In de tien jaar dat het net stormenderhand groeide, zijn de censuurmaatregelen die overheden treffen echter ook volwassener geworden – en daarmee efficiënter. De OVSE, de Organisatie voor Veiligheid en Samenwerking in Europa, heeft als een van haar kerntaken het bewaken van de vrijheid van de media in de veertig aangesloten landen. Journalistiek en informatie op het net verdienen niet minder bescherming dan die in andere, oudere media. Het is het hoog tijd om censuurmaatregelen rond het net te identificeren en inventariseren: vandaar dat we daar dit weekend in Amsterdam met experts over congresseren.

Wat ons in de voorbereiding voor het congres opviel – die onderzoekingen zijn gebundeld in ons boek From quill to cursor – is dat censuur van gezicht lijkt te veranderen. Ondemocratische regimes censureren als vanouds: ze stellen, zoals China en Saudi-Arabië – scherpe nationale proxies in: webservers die simpelweg verzoeken om bepaalde informatie weigeren. Maar ook moderne, democratische landen filteren en blokkeren steeds meer informatie, soms zonder dat de eigen bevolking daar weet van heeft, of stellen onhoudbare eisen aan internetjournalistiek.

Zo hebben Spanje, Italië, Turkije en Finland bestaande mediawetten van toepassing verklaard op het internet (of zijn daarmee bezig). In Italië betekent deze aanpak bijvoorbeeld dat iedereen die op het web wil publiceren, zich bij de overheid als journalist dient te registreren en moet melden wie de drukker is van zijn website. Dat laatste is uiteraard een onmogelijke eis, die naar juristen vrezen vooral tegen critici van de overheid gebruikt zal worden. Voorts claimt de Italiaanse overheid middels deze wet jurisdictie over websites die in het buitenland worden gehost; een juridisch monstrum. In Spanje betekent de maatregel dat internet providers verantwoordelijk worden gesteld voor materiaal dat hun abonnees publiceren en dat zij de inhoud daarvan dienen te screenen. Voorts mag volgens de nieuwe wet elke ‘bevoegde autoriteit’ een website sluiten, een daad die eerder een gerechtelijke uitspraak vergde.

Filteren is een andere moderne, en steeds populairder, censuurmaatregel. Amerika stelt filtersoftware verplicht voor openbare scholen en bibliotheken, met als oogmerk te voorkomen dat kinderen worden blootgesteld aan seks en geweld. Maar de betreffende software blijkt altijd veel meer te censureren dat officieel vermeld, en maakt ook volstrekt legitieme pagina’s ontoegankelijk. Onderzoeker Ben Edelman, spreker op de OVSE-conferentie, heeft lange lijsten aangelegd van ten onrechte geblokkeerde pagina’s. De Duitse deelstaat Nordrhein-Westfalen heeft universiteiten en internet providers bevolen neo-nazi sites te blokkeren, maar ook deze maatregel weert bewijsbaar aanzienlijk meer dan bedoeld en dan grondwettelijk verantwoord is.

Wat ons vooralsnog het meeste zorg baart, is de sterke nadruk die Westerse overheden en internationale instanties leggen op ‘zelfregulering’: de overheid komt niet met wetten, maar verwacht dat de betrokken partijen zelf hun verantwoordelijkheid nemen en ingrijpen waar nodig. De Raad van Europa is een van de vele supranationale instanties die deze methode aanbevelen; ook Nederland is er een warm voorstander van.

Het probleem van zelfregulering is dat gebruikers en hun rechten daarbij vermoedelijk het onderspit delven: zij zijn geen georganiseerde partij en hebben geen vertegenwoordigers. Zelfregulering betekent in de praktijk dat internet providers hun abonnees reguleren – daar komt weinig ‘zelf’ aan te pas. Voorts wordt deze zelfregulering met name aanbevolen op gebieden die juridisch schimmig zijn: het meest genoemd is ‘hate speech’, oftewel discriminerende of opruiende taal. Het is echter zelden in een oogopslag duidelijk of neerbuigend, platvloers of uitdagend taalgebruik daadwerkelijk de grenzen van het toelaatbare overschrijdt, en voor het beantwoorden van zulke lastige vragen zijn nu juist rechtbanken ingesteld. Het beoordelen van dergelijke heikele kwesties rond vrijheid van meningsuiting is in een rechtstaat geen taak die providers toevalt. Temeer niet daar gebruikers in dat geval alle civiele rechten ontberen: er is geen transparantie, geen toetsbaarheid van de beslissing, geen recht op verdediging, noch recht op beroep.

‘Zelfregulering’ lijkt, zo vrezen wij, vooralsnog nog het meest op privatisering van censuur. De overheid laat het aan het bedrijfsleven – in casu internet providers – over om paal en perk te stellen aan de rechten van gebruikers, zonder dat diezelfde overheid aan te spreken is op haar gedelegeerde censuur. Dat zijn ontwikkelingen die de vrijheid van de media en van expressie bepaald niet bevorderen.

Karin Spaink, external advisor OVSE/FOM
Christiane Hardy, senior advisor OVSE/FOM

Analysis of incoming cyberangels.nl mail

[I was on the board of Spamvrij.nl, a Dutch foundation that fought spam: we documented Dutch spam runs and tried to educate Dutch companies about the proper use of e-mail as an advertisement medium. Mid 2003, we developed a strong hunch that the biggest Dutch spam house, Cyberangels, was actually run by Martijn Bevelander, owner of the Dutch ISP Megaprovider. On July 3 2003, the owner of Cyberangels.nl dumped the domain, and we were able to re-register it ourselves. Suddenly, spam fighters owned a spammer’s domain name – and we got their mail. I analysed Cyberangel’s incoming mail. The original article is here; on Cyberangels.nl you can read more about the case.]

The story in a nutshell

Cyberangels are major spammers and spam facilitators. Amongst others, they facilitated Superzonda, who in themselves are responsible for an estimated 20 to 30 million spams per day. Initially, it wasn’t clear who was running Cyberangels; the contact information provided in SIDN’s database – SIDN is the Dutch domain registrar – was of course faked. Nevertheless, slowly information started to trickle out or was delved up. Cyberangels was owned by Megaprovider, a company in turn owned by Martijn Bevelander. Bevelander himself had previously gained some notoriety for being a domain hijacker. In March 2002, Bevelander’s company Bevelander Internet Services went bankrupt.

When the first big story about possible connections between Bevelander and Cyberangels was published, things speeded up fast. Bevelander denied most and admitted some; later on, he denied everything. Currently, he claims that he merely registered cyberangels.nl and Cyberangels.be when he was a domain hijacker. Predictably, he is also threatening to sue.

Meanwhile, several other Dutch ISPs have decided to no longer peer with Bevelander’s Megaprovider. Finally, Megaprovider requested Prenames to please discontinue the domain cyberangels.nl, which Spamvrij.nl registered twenty minutes later, in order to use the old spamming domain as a means to collect more information about Cyberangels.

Since MX-records for cyberangels.nl now point to spamvrij.nl too, we get all their mail: bounces, spam complaints and what have you. Have a peek: what kind of mail does a major spammer receive in the course of a day? By now, we have a very precise answer: 6305 mails. Here is the breakdown of those mails.

Introduction: 6305 mails in (basically) one day

Twenty minutes after Megaprovider asked its registrar to drop the cyberangels.nl domain on Thursday, 03 Juli 2003, Spamvrij.nl (a Dutch anti-spam foundation) obtained it. We wanted to make a website logging the affair, but most of all we wanted to prevent the spammers from ever getting the domain back again.

As a bonus, mail started pouring in Friday morning, when the NL-zonefiles were updated: the MX-records of cyberangels.nl were now pointing to us. (We made a catch-all for all addresses.) The first few hours, literally thousands of mails reached us: 5919 mails, most of them forwarded bounces. By now, the avalanche has dwindled to a trickle. What we receive now is mostly complaints.

Until now – 06-07-2003, 23:00 GMT+1 – we have received a grand total of 6305 mails. The oldest is dated Tue, 24 Jun 2003 01:10:17 GMT+1, and the bulk of the mail was sent between 01 July and 04 July 2003.

We received 5880 bounces and forwards

Apparently, Cyberangels – or one of their buddies hosting a website on their servers – sent a number of spam runs purporting to be from e-mail addresses not within their domain. Some of these addresses may have been real, others may not ever have existed.

Of course, the bounces of the spam run started arriving at these addresses. Either the people involved or their providers created .forwards, so that all these bounces ended up being redirected to ba@cyberangels.nl. For two accounts (@redick.de and @bitten.de) all other spam received on them seems to have been forwarded to ba@cyberangels.nl.

Only one postmaster forwarded non-deliverable spam for his @actis.ca addresses straight to ripe-contact@cyberangels.nl. Those spam mails, incidentally, looked like they were sent by frederickatingle_up@freemail.nl.

Here’s a short breakdown of what these abused addresses forwarded. We suspect that they must have received many more bounces on behalf of Cyberangels, and we offer this breakdown as an example of the abuse that spammers create:

abused provider abused account e-mails between
mediaweb.nl rjnr 3059   24-06 / 04-07-2003
mediaweb.nl 0005644986 2240   29-06 / 04-07-2003
mediaweb.nl livenlearn13 527   29-06 / 04-07-2003
redick.de@email.an 20   30-06 / 07-07-2003
bitten.de@vater.unser 20   01-07 / 05-07-2003
freemail.nl frederickatingle_up 6   02-07-2003

Additionally, and as a further annoyance, these addresses were now
in quite some people’s mail folders. Thus, they received some
virii when a spammee was infected. Those got forwarded, too:

abused account viruses
rjnr@freemail.nl 4  
0005644986@mediaweb.nl 2  
livenlearn13@mediaweb.nl 1  
email.an@redick.de 1  

If in one day ba@cyberangels receives almost 6000 mails from people who are smart enough to figure that they get bounces because their addresses have been abused by a spammer and who then proceed to redirect those bounces, you can begin to image the volume of bounces that spam runs create, the sheer volume of those spam runs themselves, and the that traffic spam creates for decent providers.

We received 12 spams for @cyberangels

Both ba@cyberangels and ripe-contact@cyberangels received some spam themselves:

  • Mr. RASHEED BELLO sent ba@ six Nigerian scams;
  • @yahoo.com.cn spammed four times with something rather illegible;
  • Mr. Ken Titoh was hoping to assist Mr. RASHEED BELLO;
  • Somebody believed that a Cyberangels’ dick was too small.

We received 40 attempts to annoy Cyberangels

Some people tried to vent their annoyance at getting spam. We received:

  • 2 attempts to subscribe ba@cyberangels to a gay magazine;
  • 6 spams by hostmaster@canube123.com about autoresponders, with a 1,3 Mb file called ‘rules.zip’ attached (5 of these were sent to ripe-contact@, 1 to ba@cyberangels.nl);
  • 14 messages informing Cyberangels that somebody had been ‘spamming’ in Cyberangels’ name. We received received 14 ‘address incorrect’ e-mails, bouncing to the ‘original’ sender ba@cyberangels.nl;
  • 18 ‘autoresponder’ messages purporting to be sent from ba@ to support@, containing a link to a ‘spamming is baaaaaad’ page.

We received 371 complaints about Cyberangels

… In reply to which we have sent 132 letters explaining the new situation. We received two positive replies to that, and five bounces – apparently, some people decided that our reply was spam.

146 of these complaints were not about spam but about (repeated) port scans. Some people complained about having been port scanned for weeks, or referred to previous complaints that they had filed with Cyberangels.

We received 2 business mails

  • 1 announcing that a request to cancel the cyberangels.nl domain has been received by cyberangels.nl’s registrar;
  • 1 other mail, enquiring about hosting services and addressed to martijn@cyberangels.nl.

Georganiseerd wantrouwen

[Verschenen in de serie ‘Brandende kwesties’ in Vrij Nederland.]

DE OVERHEID VERTROUWT ONS NIET MEER. Burgers moeten steeds uitgebreider worden gecontroleerd: we mochten eens een misstap begaan.

Justitie heeft haar bevoegdheden in de afgelopen jaren fors uitgebreid. Eind 1999 gaf de nationale ombudsman de gemeente Amsterdam ongenadig op haar donder vanwege de massale ‘preventieve aanhoudingen’ die rond de Eurotop van 1997 werden verricht. Er zijn toen zo’n zevenhonderd mensen opgepakt: soms omdat ze demonstreerden, soms omdat ze wilden demonstreren, soms uitsluitend omdat ze groepsgewijs in de stad arriveerden. Te hooi en te gras werd artikel 140 gebruikt: verdenking van lidmaatschap van een criminele organisatie.

De ombudsman achtte de getroffen maatregelen faliekant fout. De juridische grond om mensen vast te houden ontbrak veelal, er was in de meeste gevallen zelfs geen schim van een bewijs, de uitgevaardigde noodbevelen waren onwettelijk, het geboeid afvoeren van demonstranten miste elke grond, de mandaten die burgemeester Patijn aan de politie had gegeven waren veel te ruim. Kortom: de rechtstaat was geschonden.

De reactie van de politici? De wet moest maar worden aangepast, opdat zulke maatregelen voortaan wel legitiem zouden zijn. Zo geschiedde. Nog voordat het EK voetbal in de zomer van 2000 in Nederland neerstreek was de zaak geregeld. Mensen mogen tegenwoordig preventief worden opgepakt en daarna twaalf uur worden vastgehouden op grond van ‘feiten die mogelijk zullen worden gepleegd‘ (toenmalig vice-premier Jorritsma in de Volkskrant, 5 mei 1998). Kansberekening als aanhoudingsgrond, het is een griezelig juridisch novum. Er is weliswaar toestemming van de burgermeester nodig om tot dergelijke ‘bestuurlijke ophoudingen’ over te gaan, maar die moet van diezelfde burgemeesters komen – de Pepers en de Patijns – die eerder zo grif over de grenzen van de rechtstaat heen banjerden.

Alsof we niet al ver gingen: Nederland is het land met de meeste telefoontaps. Zelfs in absolute aantallen tapt Nederland meer telefoons af dan de VS, een land dat toch aanzienlijk meer bewoners heeft dan wij. Die taps nemen bovendien explosief toe. Werden er in 1996 nog 3000 telefoons in Nederland getapt, in 1998 was er sprake van 3000 telefoon- en 7000 GSM-taps. Vorig jaar heeft Nederland een nationaal afluistercentrum in gebruik genomen waar simultaan duizend telefoons (vast en mobiel) kunnen worden afgeluisterd. Het is het grootste centrum in zijn soort van Europa.

Er is amper controle op deze taps. De rechter-commissaris moet het tapbevel weliswaar ondertekenen, maar wanneer er tienduizend bevelen per jaar worden uitgevaardigd – dit jaar wellicht al vijftienduizend, dat wil zeggen: bijna zestig per werkdag- kunnen de rechter-commissarissen niet elk bevel nauwgezet beoordelen voordat ze er een krabbel onder zetten. Het openbaar ministerie legt voorts nimmer verantwoording af over haar tapgedrag. Er worden geen cijfers bekend gemaakt over het aantal taps (de eerder genoemde cijfers zijn per ongeluk naar buiten gekomen), noch over de duur of effectiviteit ervan.

Niemand weet hoe vaak een tap helpt om het bewijs in een strafzaak rond te krijgen. Derhalve kan er nimmer een adequaat, op feiten gebaseerd debat ontstaan over het nut van taps. We weten het simpelweg niet. Wat bijgevolg betekent dat de overheid ons de mogelijkheid ontneemt om een verstandige en publieke afweging te maken tussen enerzijds het kwaad van forse inbreuken op de privacy (vooral op dat van derden: aangezien je een gesprek per definitie nooit alleen voert, wordt ook de privacy van alle contacten van verdachten systematisch geschonden) en anderzijds het goed van opsporing, strafvervolging, rechtshandhaving en veiligheid.

Veiligheid boven al, is het devies, vooral na 11 september, en iedereen zwijgt deemoedig. Ehm, tsja, nou, aanslagen willen we uiteraard voorkomen, en we schorten onze aarzeling op. Bovendien zijn de instrumenten om die aarzeling te toetsen ons nooit toegekend. De overheid kan ons wel controleren, wij hen niet.

Er zijn angstige plannen in de maak: de politie moet binnenkort, zonder enige motivering en verantwoording, overal vrijuit klantgegevens kunnen opvragen. Uw giro- en creditcard nummer, waar u gepind en getankt heeft en wanneer u met wie heeft gebeld – zulke informatie moet voortaan zonder meer worden overlegd zodra de eerste de beste agent erom vraagt. Er hoeft zelfs geen enkele concrete verdenking te bestaan jegens burgers wier gegevens worden opgevraagd. De enige voorgestelde beperking geldt ‘gevoelige informatie zoals godsdienst, ras, seksuele of politieke overtuiging’. Daar moet wel een rechter-commissaris aan te pas komen en dient er een verdenking van een ernstig misdrijf te zijn. Uw zichtbare huidskleur is een beschermd gegeven en uw giroafschriften worden vogelvrij.

Je vraagt je af waar dat eindigt. De overheid lijkt een transparante burger te willen. Waarom weigert zijzelf even transparant zijn? En willen wi­j dat wel, geheel doorzichtig zijn? Hoeveel grondrechten willen we opgeven voor onze veiligheid? En hoeveel kans hebben we om tegen zulke ontwikkelingen te protesteren, wanneer juridische bezwaren slechts leiden tot wetaanpassingen die recht moeten breien wat krom was?

*

WEINIG, WANT OOK IN POLITIEKE ZIN wordt de burger gewantrouwd. Stemmen of pollen we een kant op die een partij niet zint, dan heeft die grofweg twee reacties. De ene is een beteuterd: ‘we hebben onze boodschap niet goed genoeg overgebracht’. De VVD zei zulke dingen tijdens hun neergang bij de afgelopen verkiezingen. Het klinkt als een halve schuldbekentenis, een schroomvallig toegeven van eigen falen, maar met een adder onder het gras. Want wij hebben de schone boodschap bewijsbaar niet goed begrepen.

Dat bestempelt de zich van de VVD afwendende burgers tot schoolkindjes met magere zesminnen, tot brugpiepers die er, ondanks de grootst mogelijke inspanning van de kant van het – uiteraard briljante – docentencorps, niet in zijn geslaagd om de basiscursus burgerschapskunde met een diplomaatje te kunnen afronden Wat ze feitelijk zeggen is dat ze niet doorhadden hoe dom we eigenlijk zijn. Dat ze nog lager op hun hurken moeten zitten om op ons niveau te geraken. Meer Jip- en Janneketaal gebruiken, zoals VVD-voorzitter Bas Eenhoorn het formuleerde.

De andere standaardreactie is vergoelijkend: de kiezers zouden ‘op emotionele gronden’ hebben gestemd. De PvdA legde haar échec zo uit: Melkert had ons niet ‘aangesproken’, hij was ‘te kil overgekomen’. Ook deze vergoelijking pleit de partijen vrij. Zij konden er immers niets aan doen. Wij, de kiezers, waren meegesleurd door onze gevoelens, we waren een beetje ontoerekeningsvatbaar geworden, geeft niks jongens, kan iedereen overkomen, maar rot toch dat zij, de partijen, nu het slachtoffer van onze emotionele roetsjbaan zijn geworden. We waren wel tegen, maar dat was emotioneel. Dus dan telt het niet. Eigenlijk.

Een mal, paradoxaal en ongefundeerd verwijt, alsof emoties niet rationeel kunnen zijn. Emoties spelen ook bij steun voor plannen en stemgedrag waarvan de bewuste politici wel geporteerd zijn. En doet niet vrijwel elke partij tegenwoordig z’n uiterste best om emoties te mobiliseren en ten eigen bate aan te wenden? Weet een politicus trouwens ooit op welke gronden een kiezer hem steunt?

*

MAAR ALLES WORDT ANDERS. Erger, vrees ik. Burgers wantrouwen de politiek en de overheid op hun beurt namelijk ook. En een deel van die burgers heeft op wel heel cynische wijze teruggeslagen: ze hebben zich georganiseerd – nu ja, ‘georganiseerd’ is een groot woord in dit verband – in de LPF en zijn de politiek ingegaan.

En wat doet de LPF, behalve mikpunt vormen van mijn politiek wantrouwen? Elkaar en de buitenwereld met argusogen gadeslaan. Hun eigen bestuur, fractieleden en kiezers wantrouwen.. Argwaan koesteren jegens ‘de’ media. Andere partijen wantrouwen Vraagtekens zetten bij rechters en rechtspraak. De ’emotionele grond’ gebruiken om zichzelf te vergeven en anderen te beschuldigen. En voorts: alles en iedereen in de gaten houden, en zichzelf immer schuldeloos achten.

De overheid heeft school gemaakt. Bestraf derhalve feiten die mogelijk gepleegd zullen gaan worden, luister af wat politici tegen elkaar zeggen, train uzelf in georganiseerd, oncontroleerbaar wantrouwen, en heb argwaan zodra iemand over jouw emoties begint. Wees des overheids dwingeland. Controleer Den Haag. Regeer uzelf!