Tag: Privacy

Over het recht op de persoonlijke levenssfeer: niet iedereen mag alles van je weten.

Boete voor lekken

De Europese Commissie piekert over een betere richtlijn voor datalekken. Telecombedrijven die de gegevens van hun klanten per ongeluk blootgeven, zijn nu verplicht om hun clientèle daarvan op de hoogte te stellen.

Daarbij maakt het niet uit of die gegevens zijn vrijgekomen door een hack of door slordig beheer. Zulke gegevens horen immers terdege beschermd te worden, en mocht die bescherming hebben gefaald, dan hebben de getroffen klanten op z’n minst het recht dat zo snel mogelijk te weten. Het zijn per slot van rekening hún gegevens die onbedoeld rondslingeren.

De huidige richtlijn – niet veel meer dan een notificatieplicht – helpt weinig: hij is te beperkt, te soepel en te laks. Alleen telecombedrijven vallen onder de richtlijn, ze hebben liefst een week om hun klanten te waarschuwen, en er zijn amper repercussies. Wie zich er enigszins in verdiept weet dat datalekken tegenwoordig aan de orde van de dag zijn, en dat ze behoorlijk ingrijpend kunnen zijn. Honderdduizenden patiëntendossiers hier. Tienduizenden creditcards daar. Een half miljoen accounts elders. Persoonsgegevens verliezen (of hacken) is een internationale sport geworden.

Vandaar dat Neelie Smit-Kroes – Steelie Neelie noemen de Engelsen haar – de bewuste Europese richtlijn wil herzien, waarvoor dank! Haar collega Viviane Reding haakte meteen fors in: ook online betaalsystemen, videogames, webwinkels en sociale media horen onder de richtlijn te vallen.

Terecht, want zulke gegevens zijn kostbaarder dan telecomgegevens. Chic is het niet, maar uiteindelijk kan het mij niet bar veel schelen wanneer KPN een bestand laat slingeren met mijn telefoonnummer erin. Maar als de ING of een one click to pay webwinkel mijn inloggegevens kwijtraakt, hoor ik dat echter juist graag. En wel per ommegaande!

Wat mist in de voorstellen is een boetebepaling. Bedrijven en instanties die slordig zijn met andermans gegevens, krijgen alleen een notificatieplicht opgelegd: ze moeten ons melden dat ze hebben gefaald. Nu kosten ook zulke meldingen geld – er is wel uitgerekend dat klanten informeren over een datalek al snel oploopt tot vijf euro per klant – maar dat helpt weinig.

Ik ben voor stevige boetes. Voor elk ontdekt datalek wordt een ferme boete in rekening gebracht, gebaseerd op hoe privé of misbruikbaar de gelekte gegevens zijn, vermenigvuldigd met het potentieel aantal getroffenen.

Alleen dan zullen bedrijven en instanties zich realiseren hoeveel onze gegevens werkelijk waard zijn. En hopelijk stelt die prijs grenzen aan hun tomeloze verzameldrift.

Analogie

Wanneer je duidelijk wilt maken wat de impact van allerlei technologie is – en vooral: van privacyschendingen die met moderne technologie verbonden kunnen zijn – helpt het vaak om een vergelijking met de offline wereld te maken. Dan wordt de impact ineens een stuk inzichtelijker.

Bijvoorbeeld: waarom is verkeersanalyse via DPI een grove inbreuk op de privacy van internetgebruikers? KPN zegt toch dat ze alleen heeft geanalyseerd welk type verkeer haar mobiele abonnees genereren en dat ze de onderschepte datapakketten niet heeft gelezen? Dan schendt KPN het communcatiegeheim toch niet?

Analoog antwoord: analyse via DPI betekent dat KPN alle brieven die u heeft ontvangen en verzonden, heeft opengemaakt om nauwkeurig te bestuderen wat voor type post er in de envelop zat. Kreeg u een reclamefolder, stuurde u een rekening, ontving u een ansichtkaart, schreef u een liefdesbrief, verstuurde u een foto-afdruk, bestelde u een tijdschrift? Het gaat KPN werkelijk niets aan wat voor type post wij versturen of ontvangen; het enige dat KPN mag doen, is controleren of die post goed geadresseerd en voldoende gefrankeerd is. Dat KPN niet een nog grovere schending heeft begaan – te weten, het daadwerkelijk lezen van de post – wil bepaald niet zeggen dat deze schending ‘dus’ wel in orde is.

Twee verslaggevers van The Hungry Beast, een Australisch tv-programma, gebruiken de methode van de analogie om duidelijk te maken hoeveel van onze privacy we zelf prijsgeven via Facebook. Hun aanpak: willekeurige mensen op straat aanhouden en hun precies dezelfde vragen stellen als Facebook aan zijn gebruikers stelt. Hoe oud ben je, waar woon je, wie zijn je vrienden, kun je hun namen even geven (liefst alfabetisch), heb je een relatie, waar was je gisteravond?

Kijk en leer.

Ook macht moderniseert

Middenin een referaat over de Egyptische revolutie realiseerde ik me opeens iets belangrijks. Dat het geen Facebook- of Twitterrevolutie is geweest, was evident: de protesten waren al jaren gaande. De bestaande revoltes kregen door het gebruik van sociale media wél ineens een duidelijker gezicht. Een gezicht dat nu bovendien wereldwijd te bekijken viel, zodat Mubaraks regime van repressie en corruptie steeds moeilijker te verdedigen werd – zowel intern, in eigen land, als extern, voor het oog der buitenlandse naties.

Mubarak vertrouwde op de beproefde methodes van censuur. Zijn aanpak was gebaseerd op een verouderd, hiërarchisch informatiemodel: wie de informatie beheerst, beheerst de massa. Dus verbood hij de kranten en de tv om over de opstanden te rapporteren, zich niet realiserend dat tegenwoordig iedereen met een mobieltje zichzelf als verslaggever kan opwerpen. Dat was Mubaraks grootste vergissing: niet snappen dat tegenwoordig iedereen betrekkelijk eenvoudig de middelen kan vinden om zijn stem in de wereld te laten opklinken. Censuur werkt alleen als je de media beheerst, en dat is tegenwoordig een stuk lastiger geworden, zo niet ondoenlijk.

Maar waarom denken we dat daardoor overal ineens de lente zal uitbreken? Geloven we nu heus dat we, omdat informatie niet langer geknecht maar voortaan ‘vrij’ is en door iedereen de wereld kan worden in geholpen, overal bestaande machten kunnen breken?

Dat optimisme suggereert enerzijds dat machthebbers alleen informatiemonopolies tot hun beschikking hebben, en anderzijds dat ze nooit leren. Beide opvattingen zijn betreurenswaardig naïef.

Machthebbers hebben bepaald meer dan informatiemonopolies alleen. Ze hebben immers échte macht: luidere stemmen, slappe parlementen, gekleurde wetten, internationale bondgenoten, geheime diensten, geld, grondig geknede publieke moraal, en in laatste instantie: een leger en gevangenissen. En als de explosieve informatie die WikiLeaks hier in het westen verspreidt uiteindelijk niets verandert, waarom zou informatie verspreid in Arabische landen dan wél iets uithalen, terwijl de repercussies voor mensen die ‘onwenselijke’ informatie lekken daar zoveel groter zijn dan hier?

Wie de macht heeft en wil behouden, is beter af wanneer-ie traceert wie ongewenste informatie verspreidt en wie zulke informatie opzoekt. Het akelige is dat diezelfde nieuwe media die het oude informatiemonopolie doorbreken, juist dát zo makkelijk maken. Het is tegenwoordig doodsimpel om te achterhalen wie iets twittert, wie een video post, wie een mail stuurt.

Informatie onderdrukken is een achterhaald model. Anoniem kunnen blijven terwijl je iets doet of zegt, dat is het nieuwe gevecht – een gevecht dat we in het westen allang hebben verloren.

Dweilen met de kraan open

[Bijdrage aan de bundel Wie is U? Identiteit, privacy & politiek (deel 5 in de serie The Next Ten Years).]

Er zit een wrange paradox in de huidige verzameldrift. Terwijl dataverzamelaars enerzijds wonderen verwachten van het koppelen en verwerken van alle gegevens die ze vergaren – betere gebruikersprofielen en risicoanalyses maken, sporen beter natrekken, misdaad voorkomen, monitoring opschroeven, logistiek en efficiëntie verbeteren, kosten drukken enzovoorts – zijn ze anderzijds vaak te nonchalant met het beheer van die gegevens.

Te veel mensen hebben toegang tot gegevens, gegevens worden onversleuteld bewaard en gekopieerd, laptops en USB-sticks zijn niet beveiligd, computernetwerken zijn onvoldoende afgeschermd of hebben een architectuur die meer let op gebruiksgemak dan op veiligheid, et cetera. Het gevolg: rondslingerende en ontsnapte verzamelingen persoonsgegevens. Zulke ‘ongelukjes’ worden data breaches genoemd, oftewel datalekken.

In Engeland is het rapporteren over datalekken een nationale hobby geworden. Nadat diverse ambtenaren kort na elkaar cd’s kwijtraakten met daarop de gegevens van miljoenen burgers (compleet met adres, geboortedatum, gezinssamenstelling, bankrekening en soms zelfs hun saldo), werd de Britse pers alert. Er verschenen vaker artikelen over interne documenten die open en bloot op websites stonden, wagenwijde lekken in software, en verloren of verkeerd bezorgde cd’s met persoonsgegevens.

Aanvankelijk zagen de meeste mensen weinig reden tot bezorgdheid. Stom van die ambtenaren natuurlijk, maar ach, veel kwaad kon het toch niet? Toen de Britse sociale dienst cd’S verloor met daarop de adressen, geboortedata en rekeningnummers van 25 miljoen landgenoten, schreef Jeremy Clarkson – de presentator van het populaire BBC-programma Top Gear – een badinerend artikel in de Sunday Times. Dat gekakel van de critici was overtrokken, met zulke informatie kun je immers niets aanvangen. Pestend publiceerde Clarkson zijn eigen rekeningnummer.

In een mum van tijd wist iemand zich toegang tot Clarksons rekening te verschaffen en maakte een maandelijkse afschrijving van vijfhonderd pond naar een goed doel aan. Clarkson is sindsdien van mening veranderd: zorgvuldig omgaan met andermens’ gegevens is belangrijker dan we vermoeden. 1

Vanaf dat moment veranderde de toonzetting in de pers. Datalekken zijn nu serieus nieuws in Engeland. Er struikelde sindsdien zelfs een minister over.

***

Wat zijn eigenlijk de risico’s van datalekken? Dat hangt ervan af wat er lekt en wie dat doorheeft.

Identiteitsfraude neemt overal in het Westen toe. Wie slechts een paar persoonsgegevens van een ander heeft, blijkt daarmee al een heel eind te kunnen komen. En naarmate we meer registreren over mensen, wordt het interessanter je als een ander voor te doen. Steeds meer mensen ontberen de juiste papieren: ze zijn onverzekerd, onvoldoende gediplomeerd of niet kredietwaardig. Ze hebben schulden, een strafblad of geen paspoort. Of ze kunnen papier B niet krijgen omdat ze papier A niet hebben. Voor al die mensen zijn de personalia van anderen interessant: die bieden een schone lei, de juiste opstap. Zodoende is grootschalig misbruik en doorverkoop van persoonsgegevens inmiddels een lucratief terrein voor de misdaad geworden; lastig te achterhalen, veilig (want zonder fysieke confrontatie, en van achter het toetsenbord te doen), en in bulk uitvoerbaar. Identiteitsdiefstal is de witte-boordenvariant op ordinaire beroving.

Je rekening kan geplunderd worden, zoals Clarkson ondervond. Iemand die een kopie van je paspoort heeft, kan op jouw naam allerlei transacties aangaan. Iemand kan met een pre-paid mobieltje, aangeschaft op vertoon van jouw paspoort, een politicus bedreigen. (Dat overkwam Renate Tromp, die zodoende in alle vroegte door een arrestatieteam van haar bed werd gelicht en urenlang vastzat; jaren later verstijft ze nog altijd van schrik als ze een politiesirene hoort. 2) Wie je rekeningnummer en je adres weet, kan op jouw naam een tweede rekening openen, daar je spaargeld naar doorsluizen en dat vervolgens opnemen. Wie je BSN heeft, kan eenvoudig je naam, adres, geboortedatum en verzekeringsmaatschappij achterhalen en op jouw naam een medische behandeling ondergaan. Daarvoor draait weliswaar je verzekering op en niet jijzelf, maar je hebt er de rest van je leven last van dat er dingen in je medisch dossier staan die er niet thuishoren – gegevens uit een dossier krijgen is altijd moeilijker dan ze erin krijgen. Je vingerafdruk, die sinds de nieuwe paspoortwet centraal is opgeslagen, bleek niet goed beveiligd en duikt nu geregeld op bij afrekeningen in het criminele circuit.

Ook zonder dat derden er misbruik van maken, kan het akelig zijn als je gegevens op straat liggen. Want al roepen we in koor dat we niets te verbergen hebben, toch heeft iedereen wel íets dat-ie liever niet wereldkundig gemaakt ziet of door Google geïndexeerd weet.

De buren kunnen ontdekken dat jullie zoon geen longontsteking had maar stierf aan aids; je baas dat je vroeger in de gevangenis hebt gezeten of verslaafd was. De verdenking van geweldpleging die de politie maandenlang volhield en die je eindelijk kon ontzenuwen, belandt alsnog op straat; en waar rook is, is vuur, nietwaar? Je hebt liever niet dat iedereen weet dat jij en je lief relatietherapie volgen, welk salaris je precies verdient, hoeveel geld je maandelijks uitgeeft aan Swarovski-kristal, of onder welke naam je op datingsites actief bent. Als de bedrijfsagenda op straat ligt, kan je vrouw ontdekken dat je dat weekend helemaal geen congres in Rotterdam had. Of je geheime telefoonnummer wordt bekend, zodat de gewelddadige echtgenoot waarvan je met moeite wist te scheiden, je opnieuw traceert. Om maar een greep te doen.

Maar eigenlijk is het verzoek ons nadeel toe te lichten misplaatst. We hoeven helemaal niet te bewijzen dat we in onze belangen geschaad worden als bedrijven en instanties die erop staan onze gegevens los te pulken, daar vervolgens slordig mee omgaan. De zaak ligt precies andersom. Instanties die onze gegevens verzamelen, moeten ons bewijzen dat ze zeer zorgvuldig met die gegevens omgaan.

***

Ook in Nederland zijn datalekken aan de orde van de dag. 3 Ze ontstaan door slordigheid of onnadenkendheid van de mensen die beroepshalve met persoonsgegevens werken. Je kunt daarbij denken aan verloren laptops, websites waar gevoelige informatie voor het oprapen ligt, open directory’s die door Google zijn geïndexeerd, data die niet versleuteld zijn, rondslingerende USB-sticks, verdwaalde cd’s, bestanden die door een typefout aan de verkeerde mensen worden gemaild, afgedankte computers of harde schijven waar nog van alles op blijkt te staan.

In de beeldvorming zijn hackers doorgaans het probleem. We hebben een landelijke politieafdeling die zich met dergelijke cybercriminaliteit bezighoudt, er zijn dikke overheidsnota’s over geschreven, en zodra een hacker gegevens jat staan de kranten er vol van.

De praktijk wijst anders uit, en rapport na rapport onderschrijft dat. De overgrote meerderheid van de boosdoeners – van onnadenkende datalekkers tot kwaadwillende datajatters – bestaat uit werknemers en onderaannemers. De mensen die met die data werken zijn naar schatting verantwoordelijk voor 60 tot 90 procent van alle lekken. 4 Er gaan voorts, zo blijkt, geregeld maanden overheen voordat iemand iets doorheeft. Vaak weet zo’n bedrijf of instantie helemaal niet waar alle gegevens die ze verzamelen en gebruiken zich eigenlijk bevinden of wie er allemaal toegang tot hebben, laat staan dat er een deugdelijk plan is voor de bescherming en monitoring van die data. Meestal wordt een lek pas ontdekt wanneer een goedhartige buitenstaander het meldt, en weet niemand hoe lang het al bestond.

Het is niet alleen onachtzaamheid; er zit soms moedwil bij. Een onderzoek tijdens een Nederlandse computerbeurs wees uit dat de meerderheid van de IT’ers er geen been in ziet om bij dreigend ontslag waardevolle data te stelen. ‘Sommige automatiseerders hebben dit al uit voorzorg gedaan […] De datadieven gebruiken in de meeste gevallen een USB-stick om hun buit mee te nemen. Als men mag kiezen is de klantendatabase favoriet, gevolgd door productinformatie, bedrijfsplannen, gebruikersnamen en wachtwoorden en HR informatie.’ 5

Bedrijven en instanties hebben zelden beleid over beheer, bescherming en uitbesteding van gegevens; ook dat zou je onder moedwil kunnen scharen. Het betekent immers dat werknemers (of onderaannemers) op dit vlak onvoldoende worden opgevoed of gecoacht. Als het besef te weinig leeft dat persoonsgegevens een hoge mate van bescherming verdienen, worden procedures en regels daaromheen al snel als rompslomp terzijde geschoven. Natuurlijk is het makkelijker om snel even een kopietje van een volledige dataverzameling te vragen aan een collega dan om een gericht en met redenen omkleed verzoek in te dienen – maar of iets handig is, kan nooit het leidende argument zijn.

Banken hebben dat wél geleerd: bij hen valt klantinformatie per definitie samen met hooggevoelige informatie. Hun procedures voor beheer en toegang van klantgegevens zijn dientengevolge zeer strikt. Niet alleen omdat de klanten anders weglopen, ook omdat de Nederlandse Bank strenge eisen stelt aan de vertrouwelijkheid en bescherming van die gegevens: wie te vaak de fout in gaat, kan fluiten naar zijn status als bank. Wee het gebeente van de bankemployé die klantgegevens mee naar huis neemt.

***

De striktheid rond gegevensbescherming die banken in acht nemen, is lang niet in alle sectoren doenlijk. Bij banken werkt het doordat vertrouwelijkheid en betrouwbaarheid van gegevens de core business is. Voorts is deze bedrijfstak meer dan bijna elke andere sector vertrouwd met automatisering, en zijn procedures en regels rondom dataverwerking er gegrondvest in traditie en cultuur. En dan zit er nog die toezichthouder bovenop.

Talloze andere branches, van vervoersbedrijven tot gezondheidszorg, hebben inmiddels eveneens te maken met grote hoeveelheden gevoelige informatie die dagelijks worden verwerkt. Zij ontberen echter die bancaire traditie. Sommige branches, zoals bijvoorbeeld de zorgsector, hebben zelfs een volledig tegengestelde cultuur, een die juist is geschoeid op het zo snel en volledig mogelijk delen van gegevens. Elektronische patiëntendossiers zijn gebouwd om informatie snel te kunnen uitwisselen, niet om die zo goed mogelijk voor anderen af te schermen.

Tel daarbij op dat ziekenhuizen en huisartsen amper budget hebben voor adequate automatisering. Plus dat het de bedoeling is dat alle betrokken (para)medici patiëntgegevens overal moeten kunnen raadplegen. Plus dat de patiënt zelf vanuit z’n eigen huis alle medische gegevens moet kunnen inzien die op de diverse locaties over hem worden bewaard.

Wie iets van databeveiliging weet, huivert bij dit scenario. Ik vond het dan ook niet vreemd maar wel onverteerbaar ernstig toen bij een test bleek dat een groep veiligheidsdeskundigen met wie ik samenwerkte, via internet vrij simpel toegang wist te krijgen tot alle 1,2 miljoen patiëntgegevens van een streekziekenhuis. We konden die gegevens niet alleen kopiëren en weggooien, maar ook veranderen. En als wij dat konden, konden anderen dat ook. We hebben een dikke week in alle gegevens gegrasduind en hele databases van links naar rechts verhuisd en weer terug, en het ziekenhuis – dat had ingestemd met de proef en dus op haar qui vive was – merkte niks. 6

De zorg weet hoe belangrijk actuele en correcte patiëntgegevens zijn en hoe belangrijk het medisch geheim is. Maar de sector is niet ingesteld op het grootschalig beheren, verwerken en afschermen van dergelijke gevoelige en kostbare gegevens. Dat is hun vak ook helemaal niet.

En dus zijn er talloze incidenten met elektronische dossiers. Van verloren laptops tot medisch personeel dat het ziekenhuisnetwerk per ongeluk met een virus infecteert, zodat alle computers op hol slaan en geen enkele arts nog bij een dossier kan. Van een slecht beveiligd landelijk bestand van iedereen die opiaten krijgt voorgeschreven, tot honderdduizenden medische dossiers die openlijk op internet belanden.

Maar omdat de zorg begrijpt hoe belangrijk het zorgvuldige beheer van dergelijke gegevens is, is hen goed aan het verstand te brengen dat het anders moet. Het concept datahygiëne – dusdanig netjes met gegevens omgaan dat je geen risico’s voor de patiënt veroorzaakt – kun je daar met enige inspanning ingang doen vinden, temeer daar het aansluit bij een bekend concept.

Geen arts die erover piekert een niet-steriel mes in een patiënt te zetten, geen verpleegkundige die iemand injecteert met een eerder gebruikte naald, geen tandarts zonder autoclaaf en geen chirurg die niet grondig haar handen wast voor een operatie. Allemaal heel onhandig, tijdrovend en duur, maar toch is ’t broodnodig – en onderhand volkomen in de dagelijkse praktijk ingebakken. Ook niet-medici zijn inmiddels doordrongen van het belang van alledaagse hygiëne. Niet drinken uit stilstaand water op straat. Niet je schoenen afborstelen boven je eten. Niet in andermans gezicht hoesten. Oppassen met rauwe eieren en rauwe kip. En je neus snuit je in een zakdoek.

Zo zou het rond gegevens ook horen te gaan. Iedereen die met andermans gegevens werkt, hoort thuis te zijn in datahygiëne. Gegevens niet zonder versleuteling kopiëren. Geen gevonden USB-sticks in een computer stoppen. Bestanden niet even in een onbeschermde directory parkeren. Laptops die in een netwerk worden geprikt, geen toegang geven tot interne databases. Harde schijven die worden weggegooid, eerst schoonvegen of demonteren. Wellicht dat we dan gaandeweg verschrikt terugdeinzen als iemand een onbeveiligde USB-stick in een computer steekt en we het vies vinden als gegevens niet versleuteld worden overgedragen.

Een samenleving die zo structureel steunt op datastromen, kan het zich niet permitteren slordig te zijn met diezelfde gegevens. Het wordt tijd dat we gaan nadenken over datahygiëne: hoe voorkomen we vervuiling en lekken van data, hoe beschermen we gegevens, hoe verifiëren we ze – en dus: hoe beschermen we onszelf.

***

Een praktijk van datahygiëne ontwikkelen helpt, maar het zal niet voldoende zijn. Sinds kort wordt daarom nagedacht over een meldplicht voor datalekkages. De plannen zijn helaas beperkt; zo wil de EU de telecomaanbieders verplichten datalekken voortaan te melden, maar blijven alle andere vergaarders – van banken tot zorg, van bedrijfsleven tot overheidsinstanties – buiten schot. Me dunkt dat ook zij onder zo’n meldplicht horen te vallen.

De hoop is dat bedrijven en overheden uit angst voor reputatieschade zorgvuldiger met onze gegevens zullen omspringen. Toch is een meldplicht een karig instrument: het dwingt openbaarheid af over iets dat nu vaak onbekend blijft, maar het kwaad is dan al geschied. Zelf ben ik er daarom voorstander van dat bedrijven en instanties die data lekken, voortaan fikse boetes krijgen opgelegd: Als slordig zijn meer kost dan laksheid bespaart, wordt datahygiëne economisch rendabel. 7 Ook kunnen we overwegen om mensen die een datalek vinden met een bonus uit die boetepot te belonen.

Vermoedelijk snijdt dat mes aan twee kanten. Allereerst zullen instanties en bedrijven hopelijk een degelijker databeleid ontwikkelen, nadenken over informatiearchitectuur en procedures, en hun werknemers opvoeden. Hopelijk zullen ze, als ze aansprakelijk worden gesteld voor datalekken, leren de logs te onderzoeken die allerlei computers nu vruchteloos produceren zonder dat iemand ooit de moeite neemt ze door te vlooien. De wetenschap dat er bonusjagers rondlopen die speuren naar datalekken, houdt iedereen extra scherp.

Ten tweede zullen bedrijven en instanties zich hopelijk afvragen welke data ze nu écht nodig hebben. Iedereen wil aldoor meer gegevens van ons hebben en onze gedragingen liefst real-time vastleggen. Voor zowat alles moet je je registreren, en bijna alles wat we doen leidt tot digitale sporen die aan ons worden onttrokken en worden opgeslagen. De vergaar- en bewaardrift van bedrijven en overheid kent weinig grenzen, terwijl de nadelen daarvan nu eenzijdig en uitsluitend bij de burgers worden gelegd.

Schrappen in de gegevens die iedereen maar te hooi en te gras opeist, is bepaald geen overbodige luxe. Waarom moet ik, als ik bij Belbios een bioscoopkaartje wil kopen, daar eerst een account aanmaken waarin ik verplicht moet invullen hoe ik heet, hoe oud ik ben, waar ik woon en of ik een man of een vrouw ben? Het enige persoonsgegeven dat ze nodig hebben voor een internetbetaling is mijn e-mailadres, zodat ze me een bevestiging kunnen sturen nadat mijn bank hen heeft gemeld dat transactie XYZ is afgehandeld. Waarom willen ze al die extra gegevens, die ze ook nooit kregen toen klanten gewoon aan de kassa verschenen? Wat doen ze ermee, behalve ze – waarschijnlijk – slecht beveiligen? Moet ik kwetsbaar worden omdat hun marketingafdeling het leuk vindt te weten welke films aanslaan bij vrouwen boven de vijftig?

Belangrijker nog is dat de overheid competent wordt op datagebied. Hoe kan een overheid die wil dat we ons voor alles identificeren, in hemelsnaam brakke OV-chipkaarten accepteren die zo makkelijk te vervalsen zijn als de Mifare-chip? Hoe kan diezelfde overheid zo zwaar leunen op vingerafdrukken, het enige biometrische kenmerk dat we overal in overvloed achterlaten; vingerafdrukken, die in twintig seconden te jatten en na te maken zijn op een manier waarmee je elke controle fopt?

Noten:

Show 7 footnotes

  1. Chris Soghoian: Twice bitten: Acts of stupidity can lead to identity theft, CNet, 10 januari 2008.
  2. Tromp vertelde haar verhaal onder meer bij Pauw & Witteman (28 januari 2008) en bij de uitreiking van de Big Brother Awards op 5 februari 2010.
  3. Op www.spaink.net/dutch-data-breaches hield ik van november 2007 tot augustus 2010 een overzicht bij van alle Nederlandse datalekken die in de pers zijn verschenen. De meeste lekken halen de pers echter niet, zodat de lijst hooguit een indicatie geeft. Later begon ook Bits of Freedom een Zwartboek Datalekken. Goede internationale lijsten worden bijgehouden op Privacy Rights Clearinghouse en op Office of Inadequate Security.
  4. Zie onder meer: Microsoft Security Intelligence Report; The Insider Security Threat in I.T. and Financial Services: Survey Shows Employees’ Everyday Behavior Puts Sensitive Business Information at Risk, RSA, 13 oktober 2008; Security of Paper Documents in the Workplace, Ponemon Institute, oktober 2008.
  5. Klantendatabase favoriet van stelend personeel, Security.nl, 10 december 2008.
  6. Karin Spaink: Medische geheimen. Risico’s van het elektronisch patiëntendossier, (The Next Ten Years 1), XS4ALL / Nijgh & van Ditmar, september 2005; Karin Spaink, Het medisch geheim gehackt, de Volkskrant, 3 september 2005.
  7. De Britse denktank Demos stelde onlangs hetzelfde voor. Zie Peter Bradwell: Private lives: A people’s inquiry into personal information, Demos 2010.

Aanbod

Bij de Tweede Kamer ligt een voorstel om mensen met uitkeringen die gerelateerd zijn aan de gezinssamenstelling – denk aan kinderbijslag, AOW en bijstand – aan een nadere controle te onderwerpen. De uitkerende instanties mochten al veel: zo kunnen het UWV en de SVB huiscontroles afleggen wanneer ze willen uitzoeken of iemand stiekem samenwoont.

Mensen hebben echter het recht zo’n huiscontrole te weigeren. Dat is vastgelegd in de grondwet en in allerlei mensenrechtenverdragen: zonder een gegronde verdenking en zonder een huiszoekingsbevel mag de overheid een huis simpelweg niet zonder toestemming van de bewoner betreden.

Heel lastig, die burgerrechten, meent de overheid, en trok haar plan. In het voorstel wordt daarom geregeld dat de betrokken uitkeringsgerechtigden het ‘aanbod’ van een huisbezoek krijgen, opdat hun woonsituatie kan worden gecontroleerd. Weigeren mag uiteraard nog steeds – mensenrechten en internationale verdragen kun je immers niet zomaar opzijschuiven – maar al wie zich vervolgens beroept op dat recht, krijgt subiet straf: die wordt namelijk gekort op zijn uitkering. Zulk huisbezoek kan ook worden opgelegd – pardon, ‘aangeboden’ – wanneer er ‘geen aanleiding is om misbruik te vermoeden’.

Het wetsontwerp is ronduit Orwelliaans. Wie gebruik maakt van zijn rechten wordt gestraft, een afgedwongen huisbezoek noemen we voortaan een ‘aanbod’, en we willen de wet zo aanpassen dat de overheid het huis mag controleren van mensen op wie – volgens diezelfde overheid – geen enkele verdenking rust. Met dit voorstel overschrijdt de overheid bovendien een belangrijk principe: burgers moeten nu kennelijk bewijzen dat ze onschuldig zijn, nota bene groepsgewijs, in plaats van dat de overheid een gerichte, individuele verdenking moet kunnen aantonen.

De motivatie van de regering is dat alleen met een dergelijke strenge controle het maatschappelijke draagvlak voor uitkeringen behouden kan worden. Die toelichting suggereert dat mensen thans lukraak een uitkering krijgen, wat bepaald niet het geval is. Al wie ooit een uitkering heeft gehad, weet hoeveel controles er al zijn, hoe dik de vereiste papierwinkel is, met hoeveel wantrouwen je wordt bejegend en hoe hard, soms tegen de klippen op, je moet bewijzen dat je eerlijk waar niet liegt.

Juist zo’n voorstel ondermijnt het draagvlak voor uitkeringen. Het maakt mensen die keurig zijn geslaagd voor alle toetsen die worden opgeworpen voordat ze een uitkering konden krijgen en bij wie bovendien ‘geen aanleiding is om fraude te vermoeden’ immers alsnog tot een verdachte groep, en schendt bovendien hun elementaire rechten.

Huiscontrole! We komen even kijken of u écht onschuldig bent.

U wel, wij niet

De Rotterdamse korpschef Frank Paauw meldde vanmorgen dat het ‘m een goed plan lijkt om voortaan het DNA van alle Nederlanders in een databank op te nemen, of ze nu iets ernstigs hebben misdaan of niet. De privacy van burgers is volgens Paauw namelijk ondergeschikt aan het opsporingsbelang. ‘Als samenleving zijn we te voorzichtig. Als je de wereld veiliger wilt maken, moet je daar een prijs voor betalen.’ Paauw deed zijn oproep in de partijkrant van de lokale partij Leefbaar Rotterdam.

Een paar – vrij cruciale – tegenwerpingen:

  • Alleen wie verdacht wordt van een misdrijf waar vier jaar celstraf of meer voor staat, is verplicht dna af te geven. Paauw wil kennelijk alle Nederlanders als verdachten behandelen.
  • In november 2008 stelde toenmalig minister Guusje ter Horst voor dat alle politieagenten DNA zouden afstaan; dit om ‘verdwaald’ DNA op een plaats van misdrijf sneller te kunnen onderkennen. De politiebonden waren mordicus tegen: ‘De afname van DNA bij politiemensen is slechts bij hoge uitzondering aanvaardbaar en dan alleen indien daartoe een dringende noodzaak is,’ zei voorzitter van de politievakbond ACP Gerrit van de Kamp indertijd.
  • Engeland, dat een veel te brede DNA-database had ingericht, kreeg in 2008 daartoe een unanieme veroordeling aan haar broek van het Europees Hof voor de Rechten van de Mens wegens schending van de mensenrechten. Alleen het DNA van mensen die daadwerekelijk zijn veroordeeld mocht erin worden opgenomen, en na een aantal jaar hoort ook dat DNA te worden verwijderd.

Kortom, Korpschef Paauw roept op tot een ernstige overtreding. En hij sollliciteert naar een Big Brother Award 2011.

Publiciteit BBA

Niet eerder is er zoveel publiciteit geweest rond de uitreiking van de Big Brother Awards. Deze keer hebben we zelfs het NOS Journaal gehaald. Eerst het 8 uur journaal van gisteren (met veel informatie over de nummerbordscans), daarna diezelfde avond het late journaal (een iets kortere versie, met beelden van de uitreiking). Maar ook RTL TV, Ochtendspits, NOS Radio, Vara radio, VPRO radio en wie al niet hebben aandacht aan de BBA besteed. OBA live – waar ik sinds kort vaste gast ben – trok eind februari ook ruim tijd uit voor een gesprek over de BBA (hier te zien).

Mijn beschouwingen over de ontwikkelingen op het gebied van privacy en grondrechten werden gisteren als opinie-artikel geplaatst in NRC Handelsblad en NRC.next (natuurlijk ook op mijn blog te vinden: ‘Even controleren’). Zowel de Telegraaf als de Volkskrant hebben vandaag, daags na de uitreiking, waarschijnlijk een artikel over de BBA en over de winnaars van deze poedelprijzen.

(Op deze pagina wordt een zo compleet mogelijk persarchief over de BBA-2010 bijgehouden: Big Brother Awards in de media.nl/in-de-media/.)

En de jury was breder dan ooit:

  • Bart de Koning, gerenommeerd journaalist en auteur van het boek ‘Alles onder controle’ (inmiddels een handboek geworden voor privacybewakers);
  • Nico van Eijk, hoogleraar Media- en Telecommunicatierecht aan het iViR;
  • ; Antoinette Hertsenberg, gelauwerd journalist en maker van de consumentenprogramma’s Radar en Opgelicht?!;
  • Melanie Rieback, RFID-deskundige die de OV-chipkaart beter kent dan de makers ervan.

De zaal was uitverkocht, de sfeer was goed, er waren veel jonge mensen, het programma hield een mooi midden tussen schrikbarende informatie en grappige intermezzo’s. Bovendien kreeg Rop Gonggrijp eindelijk zijn zeer verdiende Winston Award – de prijs voor mensen die privacy juist beschermen en technologie goed doordenken – zodat alles klopte. Thomas van Luyn presenteerde de avond en praatte alles prachtig aan elkaar.

Ik ben blij dat de avond zo’n succes was, bezorgd over de stand van zaken, opgelucht dat zoveel mensen die bezorgdheid delen, en al met al een beetje duizelig – maar dat laatste is vast de moeheid :)

Oh ja: de uitreiking is hier in zijn geheel te zien: Big Brother Awards 2010, uncensored and uncut.

Even controleren

[Voor de opiniepagina van NRC Handelsblad en NRC.next. Beeld: voorkant van een t-shirt van Bits of Freedom, ontworpen door Suzanna Noort / suzero.com.]

Het is een beleidsdogma geworden: we verliezen weliswaar onze privacy, maar ruilen die in voor veiligheid. Alleen wanneer de overheid ons adequaat kan controleren kan zij terreur en misdaad tegengaan, en alleen door ons te observeren is zij in staat ons tegen elkaar te beschermen.

Al doende dringt de overheid steeds dieper in ons privéleven door (zo wordt van alle burgers inmiddels secuur geregistreerd met wie ze bellen, mailen en sms’en, plus wanneer en vanaf welke locatie zij dat doen). De meeste burgers vinden dat echter geen probleem. Immers: wie niets te verbergen heeft, heeft niks te vrezen.

Die coulante houding van burgers is naïef. Ze is gestoeld op de gedachte dat de tomeloze nieuwsgierigheid van de overheid hen niet raakt en dat alleen ongure types eronder lijden. ‘Wat moeten ze met mijn gegevens? Ik ben niet interessant, ik doe immers niks verkeerds.’

Om drie redenen is die meegaandheid van burgers kortzichtig. Eén: we raken uit balans. Terwijl de burger transparanter wordt, wordt de overheid zelf juist ondoorzichtiger. Want wat doen ze eigenlijk met al die gegevens? Gaan ze daar volgens de regels mee om?

Nee, zoals blijkt uit de vele Big Brother Awards en –nominaties die de overheid heeft binnengesleept. Opsporingsdiensten vragen onze gegevens uit zonder zich aan procedures te storen, het OM liefhebbert in sleepnetacties, de politie bewaart 58 miljoen kentekenscans die ze had moeten weggooien. Wordt de overheid betrapt op wetsovertreding, dan past ze de wet aan. Is dat niet raar: een overheid die wetten overtreedt om te controleren of wij ons aan de wet houden?

Twee: de focus van de overheid verschuift. Steeds meer beleidsaandacht, budget, personeel en technologische inventiviteit wordt geïnvesteerd in maatregelen om iedereen te observeren, in de hoop dat verdachten zo ‘vanzelf’ komen bovendrijven. Maar niemand weet precies welk gedrag verdacht kan zijn. Zodoende wordt er veel gesignaleerd dat mogelijk ‘afwijkt’ en dan nader onderzoek vergt. We produceren kortom een groeiende, geld vretende hooiberg en gaan daarin zoeken welk strootje wellicht een speld kan worden.

Dat leidt vreselijk af en schept onnut werk. Niet privacy is ‘de schuilplaats van het kwaad’, zoals de Amsterdamse korpschef Welten in 2006 beweerde; de tijd die de overheid verdoet met het verzamelen, opslaan, verwerken, koppelen en kruisen van gegevens over alle burgers is dat. Strootjes waartegen geen enkele verdenking bestaat, hun onbespiede gang laten gaan en de beperkte overheidsmiddelen reserveren voor het navlooien van spelden – gepleegde misdaden, misdrijven en overtredingen – is efficiënter. Stukken goedkoper ook.

Drie. Grondrechten zijn ontwikkeld om de overheid op gezonde afstand te houden: binnen de kaders van de wet mogen burgers doen, denken en zeggen wat hen goeddunkt. Grondrechten zoals privacy zijn bufferzones: vrije ruimte rondom elke burger, die de overheid alleen op gedegen gronden mag betreden. Verdenking van een misdrijf is zo’n grond: wie eenmaal verdacht is, moet zich daarom inbreuken op zijn grondrechten laten welgevallen.

De overheid schendt dat grondrecht op privacy tegenwoordig echter op grote schaal. Erger, zij doet dat generiek, zonder aanziens des persoons, terwijl een dergelijke schending uitsluitend is toegestaan indien zij gericht, onderbouwd, doelmatig en proportioneel is. Critici hebben gewaarschuwd dat het loslaten van dit principe ertoe kan leiden dat de overheid haar burgers op voorhand behandelt als waren zij verdacht.

Helaas blijkt uit een van de nominaties voor de Big Brother Award dat die grens nu inderdaad is overschreden. De Haagse Pandbrigade en het Rotterdamse Interventieteam leggen al enige tijd huisbezoeken af en controleren woningen en bewoners. De criteria? De wijk: alle huizen in een ‘probleemwijk’ worden bezocht. Of: ‘administratieve ongeregeldheden’, die vaak – hoe wrang – het product zijn van datavervuiling en van fouten van de gemeente zelf.

De huiscontroles zijn niet gebaseerd op enige specifieke verdenking. Er is geen grond voor een huiszoekingsbevel. Officieel mogen bewoners de teams daarom de toegang weigeren; maar de teams speculeren erop dat de bewoners dit niet weten. Het regent klachten bij de Haagse en de Rotterdamse Ombudsman; veel ervan zijn gegrond verklaard.

De overheid is gecharmeerd van deze aanpak. Er ligt nu een wetsvoorstel om mensen wiens uitkering afhankelijk is van hun leefsituatie – kinderbijslag, AOW of bijslag – voortaan ‘het aanbod’ van een huisbezoek te doen. De regering wil daarbij ‘ook cliënten waarbij geen vermoeden van fraude bestaat, verplichten tot het aantonen van hun leefsituatie door huisbezoek toe te staan’ (Kamerstuk 31.929, nr. 6).

Waarom zouden we in hemelsnaam mensen tegen wie expliciet geen verdenking bestaat, de vernedering van een huiscontrole opleggen? Waarom willen we het systematisch, ongefundeerd en nutteloos schenden van grondrechten tot wet verheffen?

Met dit wetsvoorstel hebben we het adagium ‘niets te verbergen, dan niets te vrezen’ officieel achter ons gelaten. Het nieuwe motto is: ‘Wij komen even bij u thuis controleren of u écht niets te verbergen hebt.’ Dat zulks akelig veel lijkt op je onschuld moeten bewijzen, behoeft hopelijk geen betoog.

Ochtendspits

Vanmorgen had WNL Ochtendspits een item over de Big Brother Awards, die vanavond worden uitgereikt. Ik mocht een algemeen commentaar geven. In het programma zat ook Mark Sedney, wiens gegevens door T-Mobile op Twitter werden gepubliceerd – iets dat hem enorm veel gelazer opleverde. Mark doet vanavond, bij de uitreiking van de Awards, een uitgebreidere versie van zijn verhaal.

De uitzending is hier terug te zien.

Wetschennis

[Noot vooraf: met ingang van deze week zijn de columns op de opiniepagina van Het Parool met éénderde ingekort: we gaan van 550 woorden naar 400. Ik moet mijn woorden leren wringen, da’s een boel werk. Ik hoop niettemin argumenten te kunnen blijven bieden, zonder terug te hoeven vallen op stellngen.]

Gisteren was het weer raak: Europol blijkt op grote schaal privacywetten te overtreden. Zodra Amerika dat vraagt overhandigt Europol haar domweg de financiële gegevens van Europese burgers, bij voorkeur in bulk, ook al ontbeert dat verzoek elke motivatie of onderbouwing.

Bij de jurering van de Big Brother Awards (morgen worden deze poedelprijzen voor privacyschenders opnieuw uitgereikt) kwamen we zulke kwesties vaker tegen. De overheid neemt haar eigen privacywetgeving weinig serieus. Soms heeft het de schijn dat zulke wetten vooral zijn bedoeld om critici te paaien; want de daadwerkelijke naleving ervan lapt de overheid met overtuiging aan haar laars.

Elke dag moeten internet- en telefoonproviders bij het CIOT verplicht overzichten inleveren over hun klanten: wie gebruikt welk e-mail adres, welk IP-nummer, welk vast of mobiel telefoonnummer, etc. De overheid beloofde plechtig dat inzage in deze bestanden streng zou worden gereglementeerd en dat er goed toezicht zou worden uitgeoefend.

Na een paar WOB-verzoeken werd bewezen dat niemand zich aan de opgelegde o-zo-nette beperkingen houdt. Ook onbevoegden kunnen in de bestanden grasduinen, verzoeken tot inzage worden zelden gemotiveerd maar niettemin bijna altijd gehonoreerd. Het CIOT bleek een grabbelton waarin zonder consequenties kon worden gegraaid. Het resultaat: de 36 (!) opsporingsdiensten die Nederland telt, raadplegen deze bestanden 2,5 tot 3 miljoen keer per jaar.

Nog zo’n mooie: politiekorpsen in Nederland doen tegenwoordig aan automatische nummerbordherkenning. Alle kentekens van voertuigen die een bepaald punt passeren, worden gescand en vastgelegd. Het doel: wetsovertreders vinden (denk aan achterstallige boetes, niet-betaalde rijtuigbelasting of erger). In de wet werd vastgelegd dat de politie de ingezamelde scans mocht vergelijken met opsporingsregisters en daarna alle scans van ‘onschuldige’ kentekens – de no-hits – subiet moest vernietigen.

Niettemin bewaarden twee korpsen die no-hits. Het korps Rotterdam, vaste klant bij de Big Brother Awards, bewaarde ze maar liefst drie maanden. Het College Bescherming Persoonsgegevens gaf beide korpsen ervan langs: dit was een ernstige overtreding, nota bene gepleegd door wetshandhavers.

Minister Opstelten (Veiligheid en Justitie) gaf zijn wetsovertreders lik-op-stuk en besloot hun illegale gedrag tot wet te verheffen. Hij wil alle gescande kentekens, inclusief de no-hits, laten verwerken en vier weken bewaren. Als bonus mag de politie het reisgedrag in kaart brengen: ook de locatie, datum en tijdstip van de scan mogen nu worden bewaard.

Is dat niet eng: een overheid die haar eigen wetten overtreedt om te controleren of burgers zich aan de wet houden, en die haar schending daarna tot wet promoveert?