Pingpongen met patiëntengegevens

Vorige week bewees ik dat patiëntengegevens niet veilig zijn opgeslagen. Een groep beveiligingsdeskundigen wist zonder idioot veel moeite door de beveiliging van twee ziekenhuizen heen te breken en kon naar believen in de patiëntendatabases vissen. Als je deze groep experts op andere ziekenhuizen zou loslaten, zouden ze in negen van de tien gevallen precies dezelfde resultaten behalen.

De reden? Nederland is bezig over te stappen naar een landelijk elektronisch patiëntendossier (EPD). Alle zorginstellingen zijn bezig hun patiëntendossiers voor elkaar open te stellen: huisartsen moeten de EPD’s bij ziekenhuizen kunnen bekijken, ziekenhuizen die van apothekers, enzovoorts. En waar bevoegden mogen binnenkomen, is vrijwel altijd een slinks weggetje te vinden voor onbevoegden. Patiëntgegevens worden niet versleuteld bewaard maar in klare tekst, en er zit zoveel programmatuur omheen – die EPD’s moeten namelijk steeds mooier en ingenieuzer worden – dat de software onbeheersbaar wordt.

De Inspectie voor de Gezondheidszorg, die ik een week geleden op de hoogte stelde, schrok zich en hoedje. Wat ze gingen doen om zulke lekken in de toekomst te voorkomen, vroeg ik. ‘Daar hebben we standaarden voor!’ zei de inspecteur. ‘Die werken niet, dat heb ik net bewezen,’ zei ik, ‘het gaat om volkomen nette ziekenhuizen die zich keurig aan de regels houden.’ Ondertussen weigert de Inspectie om eisen te stellen aan de software die wordt gebruikt: men vindt dat een zaak voor de markt. De Vereniging van Nederlandse Ziekenhuizen schrok eveneens maar kon of wilde niets zeggen: alles wat met het landelijk EPD te maken heeft, valt onder het Nictiz, het Nationaal Instituut ICT in de Zorg. Het Nictiz tenslotte wilde ook niks zeggen omdat ‘beveiliging van medische informatie de verantwoordelijkheid van de zorginstellingen zelf is’.

Een prachtig spelletje pingpong. Iedereen laat de ziekenhuizen in de steek, ook de overheid, die paal en perk stelt aan het geld dat ziekenhuizen mogen uittrekken voor hun automatisering. Hoe huisartsen de zaak moeten aanpakken, is helemaal een raadsel. Die hebben immers geen automatiseringsafdeling achter zich staan, geen systeembeheerder die hun computer up-to-date en virusvrij houdt, geen hoofd ICT dat helpt om de beveiliging te regelen.

De opvatting van het Nictiz is formeel juist – zij hebben immers geen zeggenschap over ziekenhuizen of huisartsen – maar in de praktijk onhoudbaar. Want de patiëntengegevens bij al die individuele zorginstellingen vormen de basis van het landelijke EPD. Het Nictiz is bezig een structuur bovenop al die huisartsen, ziekenhuizen, apothekers en verpleegtehuizen aan elkaar te knopen, maar als de onderste laag niet veilig is, kan wat daar bovenop wordt gebouwd nooit veilig worden.

Mijn hack is het derde grote incident in het afgelopen half jaar rond het EPD. In maart van dit jaar had het Spaarne Ziekenhuis in Hoofddorp te kampen met een computervirus; het gevolg daarvan was dat de poliklinieken een week lang niet of moeilijk bij de elektronische dossiers van hun patiënten kon. Veel afspraken moesten worden afgezegd. Twee weken gelden bleek dat de software die veel apotheken gebruiken om recepten te beheren en doseringen uit te rekenen, een fout bevatte waardoor bij 200 verschillende medicijnen de verkeerde dosering werd afgeleverd. En nu mijn hack, waardoor de gegevens van acht procent van de Nederlandse bevolking ineens op straat lagen.

Wie moeten ons zorgen gaan maken. We moeten nog eens heel goed nadenken hoe die invoering van dat landelijk dossier beter en veiliger kan.

Medische geheimen

Het elektronische patiëntendossier (epd) dat vanaf 2006 wordt ingevoerd, moet bewerkstelligen dat artsen over en weer elkaars dossiers over een patiënt kunnen raadplegen. Door gegevens te delen, kunnen medicatiefouten worden voorkomen en wordt vermeden dat onderzoek dubbel wordt uitgevoerd. Dat maakt de zorg efficiënter en goedkoper, en voorkomt medische missers.
Een prachtig plan, maar niet zonder haken en ogen. Hoe zorg je dat alleen bevoegde personen toegang krijgen? Tot welk niveau krijgt de patiënt zelf toegang? Hoe veilig zijn al die persoonlijke gegevens? Wie kunnen er allemaal bij?

Omslag Medische geheimenDetails:

Medische geheimen: de risico’s van het elektronisch patiëntendossier – uitgeverij Nijgh & Van Ditmar – Amsterdam, september 2005 – The Next Ten Years, deel 1 – ISBN 90-388-6959-2 – 78 pagina’s – 2e druk 2006

Bestellen:

Bol.comBrunaSelexyz

Flaptekst:

Het elektronische patiëntendossier (epd) dat vanaf 2006 wordt ingevoerd, moet bewerkstelligen dat artsen over en weer elkaars dossiers over een patiënt kunnen raadplegen. Door gegevens te delen, kunnen medicatiefouten worden voorkomen en wordt vermeden dat onderzoek dubbel wordt uitgevoerd. Dat maakt de zorg efficiënter en goedkoper, en voorkomt medische missers.

Een prachtig plan, maar niet zonder haken en ogen. Hoe zorg je dat alleen bevoegde personen toegang krijgen? Tot welk niveau krijgt de patiënt zelf toegang? Hoe veilig zijn al die persoonlijke gegevens? Wie kunnen er allemaal bij? Een elektronisch bestand dat duizenden patiëntengegevens bevat is via de computer makkelijk te kopiëren. Wat gebeurt er als een ziekenhuis besmet raakt met een computervirus? Waarom moeten we eigenlijk ineens allemaal een elektronische identiteitskaart krijgen?

Wat telt is de zekerheid dat er vertrouwelijk met medische gegevens wordt omgegaan. In dit boek onderzoekt Karin Spaink of het medisch geheim wel bewaard kan blijven in het elektronische tijdperk.

Presentatie:

De boekpresentatie wred nogal interessant, omdat we diezelfde week met een groep mensen een ziekenhuisdossier hadden gehackt. Een video van de presentatie is hier te zien. Let op: hij duurt 2 uur, maar je kunt fast-forwarden voor de juicy bits :)

Het medisch geheim gehackt

De gezondheidszorg heeft een nieuwe droom: patiëntgegevens die altijd paraat zijn en vanaf elk bevoegd bureau oproepbaar. Met een paar muisklikken kan een specialist iemands röntgenfoto’s ophalen, de resultaten van onderzoek bekijken of een recept uitschrijven en dat elektronisch afleveren bij de apotheek. Apotheken kunnen zien wat een patiënt eerder voorgeschreven heeft gekregen. Handig als je op vakantie bent en een oude kwaal ineens weer opspeelt. Ook kun je zo voorkomen dat iemand een middel krijgt voorgeschreven dat bijt met andere medicijnen die hij slikt, of waarvoor hij allergisch is.

Met elektronische patiëntendossiers maakt het niet meer uit waar iemands medische gegevens fysiek worden bewaard. Het gesleep met papieren dossiers is dan voorbij, evenals de vraag of iemands dossier wel compleet is en niet deels elders ligt. Als artsen aan de hand van iemands patiëntnummer overal kunnen zoeken, is alle informatie immers altijd voorhanden en door meerdere zorgverleners tegelijkertijd te raadplegen.

De zorg wordt op die manier beter en efficiënter, hoopt men. Bovendien kunnen zo ‘medische missers’ worden voorkomen, oftewel fouten in de zorg die veroorzaakt worden door onvolledige informatie of door gebrekkige informatie-overdracht.

Met de invoering van zulke elektronische patiëntendossiers (EPD) en elektronische medicatiedossiers (EMD) zijn beleidsmakers en zorgverleners al een tijd bezig. Te lang, vindt de regering, die er vaart achter wil zetten. Minister Hoogervorst wil als eerste stap het EMD in de loop van 2006 overal invoeren, en wie niet meewerkt kan op maatregelen rekenen. ‘Als het niet goedschiks gebeurt, dan maar kwaadschiks,’ dreigde hij een half jaar geleden in een overleg met de Tweede Kamer. Het landelijk dekkend EPD moet in 2010 klaar zijn.

Bijna alle specialisten en huisartsen werken al met een elektronische versie van de oude patiëntenkaart, dat is het probleem niet. Waar het om gaat is dat zorgverleners elkaars gegevens over een patiënt elektronisch kunnen inzien. Je moet dus zorgen voor (internet)lijntjes tussen al die honderden locaties waar patiëntendossiers worden bijgehouden, je moet een systeem verzinnen om patiënten uniek te maken (zodat ze bij alle zorgverleners herkenbaar zijn), en een systeem om zorgverleners te autoriseren.

We zijn een eind op streek. Ik heb de afgelopen maanden prachtige EPD’s gezien waar je met een druk op de knop rats-rats alle informatie over een patiënt uit alle hoeken van het ziekenhuis ophaalt, er zijn regio’s waar huisartsenposten, ziekenhuizen en fysiotherapeuten elkaars gegevens eenvoudig en snel kunnen raadplegen, er zijn complexe identificatie- en autorisatieprocedures uitgedacht met pasjes en wachtwoorden en dikke pakken papier met normen en standaarden zijn gepubliceerd.

Beleidsmakers willen het EPD liefst snel verder uitbreiden. Sommigen hebben science-fictionachtige visioenen, getuige het artikel dat twee leden van de Raad voor de Volksgezondheid en Zorg vorige week in Medisch Contact publiceerden. Ze schilderden het beeld van een soort zelfdenkend dossier dat automatisch informatie verzamelt, waardes uitrekent en waarschuwingen rondstuurt en waar de patiënt thuis zelf allerlei gegevens aan kan toevoegen.

Maar EPD’s zijn nu al hoogst ingewikkelde systemen die gegevens uit diverse disciplines moeten combineren en interpreteren, en die bovendien met computersystemen van buiten moeten communiceren. Hoe meer functionaliteit je eraan koppelt, hoe kwetsbaarder je de gegevens maakt: elke toeter en bel erbij maakt de programmatuur onoverzichtelijker en onbeheersbaarder. De benodigde link naar de buitenwereld maakt de systemen extra gevoelig. Want alles waar externe zorgverleners bij mogen, is vrijwel altijd ook bereikbaar voor slimme onbevoegden.

*

Om de proef op de som te nemen, liet ik experts van de beveiligingsbedrijven ITSX, Fox-IT en Madison Gurkha de beveiliging van twee ziekenhuizen testen. De resultaten waren schrikbarend. Beide ziekenhuizen waren ernstig lek. Bij één ziekenhuis hebben ‘mijn’ hackers via internet twee weken lang toegang gehad tot 1,2 miljoen patiëntgegevens en niemand merkte dat op. Ik kon de gegevens bestellen die ik wilde en kreeg ze dan binnen tien minuten per e-mail aangeleverd. Namen, adressen, telefoonnummers, patiëntnummers, polisnummers, geslacht, geboortedatum, lengte, gewicht, dood of levend. Erbij zat ook een lijst met patiënten die een besmettelijke ziekte hadden. Bij het andere ziekenhuis konden de ze eveneens vrijelijk zoeken in alle interne gegevens.

Hoe gevoelig een dergelijke hoeveelheid data is, is evident. Met één enkele hack kregen we toegang tot de medische gegevens van bijna acht procent van de hele Nederlandse bevolking. We konden gegevens inzien, kopiëren, weggooien of veranderen. We hadden alle bloedgroepen kunnen veranderen: rhesus positief naar rhesus negatief. We hadden mensen kunnen chanteren: weet uw vrouw dat u in 1999 een geslachtsziekte had? Weet uw aanstaande baas dat in uw familie genetische kanker voorkomt?

Dat de hackers binnen konden komen, lag niet alleen aan de complexiteit van de systemen. Natuurlijk, er was een oude versie van Oracle hier en een niet gepatchte fout in SQL daar, maar ja, tegen de tijd dat je dat hebt gerepareerd is er weer een lek zus of een gat zo. Dat is dweilen met de kraan open. Het was vooral omdat beveiliging van de gegevens achteraf is bedacht: eerst zijn al die gegevens verzameld, daarna is er iets overheen gelegd met toegangscodes. Maar zo werkt databeveiliging niet, het is geen toefje slagroom waarmee je een taart bedekt als-ie af is. Beveiliging moet in het meel zitten waarmee je bakt.

Wie aan massale dataopslag doet, moet die data permanent monitoren, ook op het laagste niveau. Alle procedures die zijn ontworpen regelen de beveiliging op hoog niveau, via de gebruikersprogramma’s (de interfaces). Op dat niveau wordt keurig bijgehouden wie gegevens bekijkt of wijzigt. Wie echter op de command-line werkt – zeg maar: met de ruwe data – kan vaak overal bij zonder dat dat wordt bijgehouden. ‘Dat kan niet, als je alle databewegingen moet bijhouden worden de echte programma’s te traag en kunnen we al die extra dingen niet doen!’ zeggen beleidsmakers dan. Die redenering verkwanselt elementaire veiligheid voor ‘mooie’ functionaliteit, en het zijn de patiënten die daar de tol voor betalen.

Ziekenhuizen en huisartsen bewaren hun patiëntendossiers voorts open en bloot, zonder encryptie. Wie eenmaal zo’n systeem binnen is, heeft de data letterlijk voor het oprapen. Waarom eist niemand dat het medisch geheim ook op medisch gegevensbeheer wordt toegepast en dat zulke gegevens alleen versleuteld mogen bewaard?

*

Goed met data omgaan kost veel geld. Het vergt fikse investeringen en er komt sterk gespecialiseerde kennis aan te pas. Ziekenhuizen krijgen dat geld nu niet. Ter vergelijking: banken en dergelijke geven tegenwoordig zo’n 12% van hun budget uit aan IT, onder meer omdat de beveiliging van die gegevens centraal staat, en zulke beveiliging nu eenmaal kostbaar is. Ziekenhuizen, die vergelijkbare maatregelen zouden moeten nemen, mogen van de overheid echter maar 2% van hun budget aan al hun IT besteden.

Als ziekenhuizen, die vanwege hun omvang een fatsoenlijke IT-afdeling kunnen opzetten, er al niet in slagen medische geheimen goed te beschermen, hoe moeten individuele huisartsen dat doen? Ook zij werken steeds vaker mee aan regionale EPD’s en leggen daartoe via internet contact met andere zorgverleners. Ze hebben derhalve diezelfde kwetsbaarheid, maar dan zonder een IT-afdeling die de ergste problemen oplost en die hun computer beheert. Wat als de computers van een huisartsenpraktijk gehackt worden, een virus binnenkrijgen, of erger: spyware? (Spyware zijn programma’s die slinks via webpagina’s je computer binnenkomen en opgeslagen gegevens kapen, zoals creditcard gegevens en wachtwoorden.)

Blijven we laks met de beveiliging van medische gegevens, dan gaan we een tijdperk van grootschalige medische spionage tegemoet. Want patiëntgegevens zijn machtig interessant. Voor verzekeraars. Voor bedrijven die in een overname verwikkeld zijn en willen weten hoe het staat met de conditie van de te kopen werknemers. Voor bedrijven met veel personeel: als je op personeelskosten kunt besparen door iedereen die een familiale aandoening heeft op voorhand te weren, bespaar je fors op ziekte- en arbeidsongeschiktheidskosten. Natuurlijk mogen bedrijven sollicitanten niet op zulke zaken screenen; maar de kosten van verzuim en arbeidsongeschiktheid zijn zo hoog dat dergelijk vuil spel aantrekkelijk wordt.

Waar beleidsmakers zich te weinig rekenschap van geven, is dat een kwetsbaar EPD individuele patiënten en de gezondheidszorg zelf in het hart raakt. Mensen beschouwen hun medische gegevens als strikt vertrouwelijk en wensen ze met dezelfde hoge mate van beveiliging behandeld te zien als hun financiële data. Zodra patiënten denken dat hun medische gegevens niet veilig zijn, zullen ze zich (tenminste gedeeltelijk) van de zorg afkeren. Wie gaat nog een vertrouwelijk gesprek met de huisarts aan over alcoholmisbruik, gokverslaving of relatieproblemen als derden erbij kunnen? Zou u nog een aidstest laten doen als u wist dat de uitslag ervan op straat kan komen te liggen?

Moet trouwens niet het hele concept van het medisch geheim herzien worden? Schending van het beroepsgeheim wordt nu als een één-op-één probleem gedefinieerd: arts A die de medische privacy van patiënt B schendt. De straf erop is een berisping van de tuchtraad. In moderne maatschappijen is dat een nogal oubollig concept. Het medisch geheim moet worden uitgebreid naar al diegenen die zich beroepsmatig met medische data bezighouden; ook datatypistes en systeembeheerders in de zorg dienen er bijvoorbeeld onder te vallen. Schending van het beroepsgeheim kan tegenwoordig bij honderdduizendtallen tegelijk gebeuren, en wordt daarmee – naast een ethische kwestie – vooral een economisch delict.

Onder deze beveiligingsvraagstukken gaat een ander probleem schuil. We verzamelen data vaak simpelweg omdat we het kunnen, zonder ons af te vragen hoe nuttig, noodzakelijk of correct ze zijn. Het zit in de computer, dus verlaten we ons erop. Het gevolg is dat eenmaal ingevoerde gegevens makkelijk een eigen leven gaan leiden (herinnert iemand zich nog hoeveel moeite het studenten kostte om foutieve gegevens te corrigeren toen de studiefinanciering ging automatiseren?), en dat mensen meer naar het scherm kijken dan naar de werkelijkheid. Juist bij artsen wil je dat niet: die zijn er om onbevangen naar ons haperende lichaam te kijken.

We kunnen beter koersen op een summier EPD waarin de kern van iemands gezondheidsprobleem wordt samengevat. Een soort landelijk nooddossier met alleen de hoogstnodige gegevens: of iemand diabetes heeft, een hoge bloeddruk, een penicilline-allergie, of hartproblemen. Condities die snel en alert ingrijpen kunnen vergen en die cruciaal zijn juist omdat iemand die daaraan lijdt, bewusteloos kan zijn. In alle andere situaties is die patiënt er zelf altijd nog bij. Dat die patiënt met zijn arts kan praten en zelf informatie kan verschaffen, verliezen we uit het oog.

Adequate zorg staat of valt niet met massale dataopslag. Adequate zorg staat en valt met de privacy van patiënten, met hun vertrouwen in hun artsen en in het voortbestaan van het medisch geheim.

We zijn volstrekt niet gewend om met zulke enorme hoeveelheden gevoelige gegevens om te gaan. Terwijl we enerzijds wonderen verwachten van het verzamelen en structureren van medische data, is anderzijds onze wetgeving rond het medisch geheim ronduit ouderwets, ons beheer ervan slordig, ons besef van de gevoeligheid van al die data rudimentair en onze greep erop slecht. Zolang dat probleem niet is opgelost, kunnen we het EPD beter maar zo beperkt mogelijk houden, en zijn fantasieën als die de Raad voor de Volksgezondheid en Zorg vorige week ventileerde, ronduit gevaarlijk.

Kader:

Twee ziekenhuizen lieten hun computersystemen op verzoek van Spaink testen door een groep beveiligingsexperts. Werknemers van ITSX, Fox-IT en Madison Gurkha voerden deze testen gratis uit. Iedereen gaf zijn belangeloze medewerking vanwege het inzicht dat de maatschappelijke acceptatie van het elektronisch patiëntendossier staat of valt met de veiligheid ervan.

De beveiligingstest is onderdeel van het project The Next Ten Years, een serie boeken opgezet door internetprovider XS4ALL in samenwerking met uitgeverij Nijgh & Van Ditmar. De serie behandelt de maatschappelijke veranderingen teweeg gebracht door nieuwe technologie, met name door internet. Spaink is hoofdredacteur van de serie en auteur van het eerste boek, Medische geheimen. Het tweede boek, over on-line gaming, verschijnt in maart 2006.

Hacken als publieksvoorlichting

Een machine hacken doe je om te zien hoe het mechanisme erachter werkt. Pas toen ik als kind mijn wekker uit elkaar had gehaald snapte ik hoe je met een veer en wat radertjes de tijd kunt bijhouden. Dat ik de boel de eerste keer niet in elkaar terug wist te zetten, was een kleine prijs om voor die kennis te betalen.

Moderne apparaten zijn fiks complexer dan mijn oude opwindwekker was. Sinds alleen al het normaal bedienen van een doorsnee-apparaat een duimdikke handleiding vraagt, lijkt het hacken van die machines nog maar voor een enkel genie te zijn weggelegd. Maar dat is een misvatting.

Makers van apparatuur en mechanismen volgen gewoonlijk elkaars sporen. Verbeteringen en verfijningen gaan uit van eenzelfde premisse: dat het apparaat zó bediend moet worden, dat je er X mee moet kunnen doen terwijl voorkomen moet worden dat iemand Y doet. Hun eigen vertrouwdheid met hun product zorgt voor vaste gewoontes en uiteindelijk voor blinde vlekken. De goede hacker is in staat buiten die gebaande paden te denken en kan met verse ogen naar een apparaat kijken.

Zo ontdekte Toool, een groep mensen die zich toeleggen op het begrijpen van hang- en sluitwerk, recent dat vrijwel alle sloten een manco hebben, inclusief de sloten die door beveilingsbedrijven en de politie worden aangeraden. Met een speciale sleutel en een paar tikjes erop krijgen ze vrijwel elk slot binnen een paar seconden schadevrij open. Hun ontdekking verklaarde een grote serie diefstallen zonder sporen van braak. Fabrikanten van sleutels werken nu aan nieuwe typen sloten, en de slimme onder hen laten hun prototypes door Toool testen. De samenwerking tussen slotenmakers en Toool maakt zo uiteindelijk uw sloten veiliger.

Niet alle fabrikanten reageren zo verstandig als slotenmakers. Wat Toool doet heet ‘reverse engineering’: iets uit elkaar halen om de werking al deducerend te achterhalen. Sommige bedrijven bewegen momenteel hemel en aarde om reverse engineering strafbaar te stellen, of beginnen rechtszaken tegen mensen die een lek of fout in hun machines of software hebben gevonden en dat in een publicatie of een lezing beschrijven. Dit laatste onder het motto dat hackers ‘bedrijfsgeheimen’ of auteursrecht schenden.

Op die manier wordt hacken gecriminaliseerd. Dat is dom. Je wilt juist dat buitenstaanders producten testen en fouten aan bedrijven en consumenten melden. Want wat je niet wilt is dat bedrijven zulke fouten voor zich houden en dat kennis ervan alleen in het geheim circuleert of in foute handen valt. Hacken is publieksvoorlichting en bedrijfsopvoeding ineen, en een pleidooi voor een verstandig gebruik van techniek.

Op diezelfde conferentie waar Toool hun kunnen demonstreerde, sprak ook een Nederlander die sinds jaar en dag machines bestudeert waarmee vingerafdrukken worden gelezen. Hij liet zien hoe hij in tien minuten een andermans vingerafdruk kan afnemen en een latex vingertopje weet te maken waarmee hij elke machine om de tuin leidt. Zijn oplossing: laat vingerlezers controleren of ze levend materiaal lezen. Maar fabrikanten weigeren die oplossing vooralsnog.

Daarmee geven ze ons een vals gevoel van veiligheid. Als we zo hameren op het belang van vingerafdrukken – bijvoorbeeld in ons aanstaande paspoort – moeten we ook hechten aan een goede verificatie om onze eigen afdruk te laten beoordelen. Anders doet al die techniek niets anders dan slimme criminelen een betere dekmantel geven, namelijk die van uw of mijn vingerafdruk. En wij betalen uiteindelijk de rekening van die falende techniek.

Slotgracht

Terwijl de Nederlandse politiecommissarissen speculeren over een ‘virtuele slotgracht’ die om alle grote steden kan worden gelegd – via gezichts- en kentekenherkenning en het volgen van mobiele telefoons zou permanent moeten worden geregistreerd wie de stad inkomt of verlaat – maakt Europa plannen om een vergelijkbare slotgracht om alle lidstaten te leggen. De Europese Commissie wil, ook al is door het Europees met klem geconstateerd dat deze plannen ongrondwettelijk zijn, alle communicatiegegevens van burgers vastleggen. Met wie je wanneer mailt en waarover, met wie je chat en wie daarbij zijn, met wie je wanneer en hoe lang belt, waar je mobiele telefoon is, wat je op het web leest – al deze zogeheten ‘verkeersgegevens’ van alle burgers zouden voor minstens een jaar moeten worden vastgelegd.

Aan zulke plannen is niets virtueels. Ze betekenen een onvoorstelbare inbreuk op het leven van 450 miljoen Europeanen, net zoals de voorstellen van de politietop een enorme inbreuk op de privacy van 16 miljoen Nederlanders behelzen. Als China of Iran zulke plannen maken, zouden we op onze achterste benen staan en er schande van spreken en de plannen totalitair noemen.

Het argument waarmee zulke plannen steeds worden ontworpen en verdedigd, is de jacht op terroristen. De angst is voor terreur is zo groot, dat veel gerechtvaardigd en te verkopen lijkt. Maar buiten het argument dat je in je plannen nooit kapot mag maken wat je beschermen wilt, namelijk onze vrijheid, zijn er overwegingen waarmee we terdege rekening moeten houden.

‘Wie niets misdaan heeft, heeft ook niets te vrezen,’ zeggen de plannenmakers. Maar wie niets misdaan heeft, hoeft ook niet in de gaten gehouden te worden. Is het gerechtvaardigd om de gangen van alle Europeanen en alle Nederlanders vast te leggen om tien, twintig mensen te vangen? Is er dan nog wel sprake van proportionaliteit?

Een ander probleem is dat zulke technieken nooit sluitend zijn (want te onnauwkeurig en te breed), en sommige mensen zullen er ten onrechte uit worden gevist. Je hoeft geen groot voorspeller te zijn om te begrijpen dat mensen die iets afwijken van het gewenste gemiddelde telkens de pineut zullen zijn. Zulke onterechte aanhoudingen en onderzoeken zullen – daar kun je gif op innemen – mensen vervreemden en ze het gevoel geven uitgesloten te worden. De jaren zeventig hebben ons geleerd dat zulke processen radicalisering en extremisme in de hand werken. Dat maakt de slotgrachtplannen volstrekt contra-productief, nog los van het feit dat een overheid die zo bemoeizuchtig en invasief te werk gaat, zelf tegenstand en oppositie in het leven roept. Aan een overheid die haar burgers zo wantrouwend bejegent, zullen veel mensen zich niet langer loyaal betonen.

Het laatste argument, dat van de glijdende schaal, zien we zich nu al ontwikkelen. De Amsterdamse commissaris Welten kondigde meteen al aan dat die slotgracht ook zou helpen mensen te snappen die boetes of achterstallige belasting open hebben staan. Mag je voor futiliteiten als een financiële schuld nu werkelijk de burgerrechten van alle inwoners schenden?

De Erasmus Universiteit heeft vorige week een rapport gepubliceerd naar het nut van de plannen. Niet één politiecorps gaf aan dat ze nu mensen hadden moeten laten lopen die ze op basis van verkeersgegevens wel hadden kunnen oppakken. En allemaal wilden ze die gegevens wel graag hebben. Voor de zekerheid.

De hamvraag is of wij bereid zijn voor de zekerheid van de politie onze burgerrechten op te geven.

Nederlander krijgt ‘servicenummer’

Uit Het Parool van 15 mei 2004:


Nederlanders krijgen een servicenummer. Met dat nummer moet alles wat de overheid voor burgers doet gesmeerder lopen, kunnen overheidsdiensten gemakkelijker persoonsgegevens uitwisselen en hoeven burgers op termijn nog maar een keer hun gegevens aan de overheid op te geven. Ook meent de overheid dat zo fraude beter te bestrijden is. Het nummer wordt op 1 januari 2006 ingevoerd.

We hebben allemaal toch al een uniek nummer, dat de overheid bovendien gebruikt om ‘gemakkelijker’ persoonsgegevens uit te wisselen? Het sofinummer. (En dat moeten we herhaaldelijk opgeven. Net als ons paspoortnummer.) Nu zal de bedenker van dit verse plan wellicht zeggen dat het sofinummer ook naar ‘gevoelige’ financiële informatie verwijst zodat het servicenummer ‘werkbaarder’ is, maar het is natuurlijk een kwestie van tijd voordat servicenummer en sofinummer aan elkaar worden gekoppeld. En ook voor die tijd staat bij een van de gebruikers van het servicenummer zonder twijfel een verwijzing naar het sofinummer.

Wat de winst van zo’n servicenummer is: geen idee. En tot nu toe is de combinatie van naam en geboortedatum voor iedereen uniek genoeg geweest.

Macht en moraal

Amerika wil, zo meldden de kranten vorige week, op de minstens zeven grote Europese vliegvelden – waaronder Schiphol – zijn eigen inspecteurs neerzetten om alle vertrekkende passagiers te screenen. Deze ‘immigratiebeveiliging’ zou terroristen moeten onderscheppen voordat ze Amerika bereiken. Maatschappijen die vluchten naar Amerika willen blijven verzorgen, moeten nu al uitgebreide informatie over alle passagiers naar de VS sturen om hun landingsrechten te behouden: het gaat om zaken als nationaliteit, creditcardnummer en maaltijdkeuze (terroristen eten anders dan oppassende burgers, of proef ik per ongeluk een vooroordeel jegens iedereen die geen varkensvlees wil eten?). Daarnaast leeft al langer het plan om op alle vluchten naar de VS zogeheten ‘air marshals’ te stationeren, bewapend veiligheidspersoneel dat in burger mee vliegt.

Een raar idee, natuurlijk, die Amerikaanse politie op Schiphol. Voor dergelijke controles hebben we onze eigen marechaussee: die doet zijn werk naar behoren. En sinds wanneer kan een vreemde mogendheid het recht opeisen om op Nederlands grondgebied controles uit te voeren op Nederlandse passagiers? We zijn toch geen Amerikaanse kolonie, of wel soms? Och nee, ‘t is geen eis, repliceerde de VS, maar ja, dat was het overhandigen van die passagiersgegevens ook niet. Dat was slechts economische chantage: overhandigen of we trekken je landingsrechten in. Waarop de rest van de wereld zich en masse schikte. Alleen Brazilië nam tegenmaatregelen en riep dat zij zulke gegevens dan ook wilde van alle passagiers die vanuit de VS naar Brazilië vlogen. Politiek gezien een hilarische zet, maar van privacy blijft op die manier niet veel over.

Bij de Nederlandse regering (en bij die van een paar andere Europese landen met drukke internationale vliegvelden) ligt binnenkort de vraag of ze dat Amerikaanse verzoek inwilligen. Balkenende en Donner zijn vast voor, die zagen er ook geen been in om zich tegen het verschaffen van die passagiersgegevens te verzetten. ‘Het recht op privacy is schuilplaats voor het kwaad’ zei de Groningse korpschef Welten eind vorig jaar namens de Raad van Hoofdcommissarissen. De regering lijkt het hartelijk met hem eens te zijn, vergetend dat je om één kwaaie te pakken de privacy van tienduizenden onschuldigen systematisch moet schenden.

Donner kwam afgelopen week alvast met een nieuw voorstel om cybercriminaliteit in te dammen. En passant worden daarin nieuwe bevoegdheden voor Justitie omschreven: hulpofficieren mogen plots telefonisch beslag laten leggen op gegevens van individuele gebruikers zonder dat er een rechter-commissaris aan te pas komt. (Waar telefonische bevelen toe leiden heeft een brave internet-gebruiker vorig jaar met grote schrik ontdekt: een misverstaan IP-nummer leidde tot een politie-inval, een vernielde voordeur en een onterechte verdenking van het verspreiden van kinderporno.)

Donner wil daarnaast dat de gezamenlijke providers, justitie en een auteursrechtenorganisatie dwingend kunnen adviseren over de verwijdering van illegaal materiaal op het net: zonder transparantie in de besluitvorming, zonder beroepsmogelijkheid van de gebruiker, en – erger – zonder dat enige instantie die de rechten van gebruikers in het oog houdt zijn zegje kan doen. De rechten van gebruikers komen simpelweg niet in het plaatje voor. Maar wat legaal en illegaal is is lang niet altijd duidelijk, en soms vindt een rechter zelfs dat inbreuk gerechtvaardigd is: de zaak die Scientology tegen mij heeft aangespannen wegens auteursrechtinbreuk sleept al ruim acht jaar en heeft het zelfs tot de Hoge Raad geschopt nadat het Haagse Hof oordeelde dat de vrijheid van meningsuiting in dit geval boven auteursrecht ging. Kan een klein clubje in dwingend conclaaf voortaan nu heus dergelijke complexe beslissingen voor zijn rekening nemen?

Zulke voorstellen – van Donner tot de Amerikaanse politie gestationeerd te Schiphol – maken me buitengewoon ongerust. Ze suggereren dat voor het bestrijden van criminaliteit zowat alles moet wijken, inclusief de rechten van burgers. Maar wat of wie wil je nu eigenlijk beschermen? Diezelfde burgers, toch? De slang bijt in zijn eigen staart: om gewone burgers tegen criminaliteit en terrorisme te beschermen, worden de rechten van diezelfde burgers aangetast en moeten ze steeds kleine beetjes privacy inleveren. Opsporingsbevoegdheden worden veel te gemakzuchtig verruimd (alsof opsporing ooit makkelijk kan worden), privacy wordt schaarser, en er zijn steeds minder waarborgen dat doodnormale burgerrechten fatsoenlijk worden verdisconteerd in fora waar verstrekkende beslissingen worden genomen.

Ondertussen meldt Balkenende keer op keer dat het volk haar eigen moraal moet gaan verbeteren. Spreek voor jezelf, kan ik dan niet nalaten te denken. De minister-president levert de soevereiniteit van ons land in, durft bouwfraudeurs niet aan te pakken, en verruilt concrete burgerrechten voor vage bezweringsformules als ‘nationale veiligheid’. Balkenende buigt telkenmale voor economische macht. Een geweldig moreel voorbeeld, die man.

De patiënt in de computer

In 2006 moet het elektronisch patiëntendossier landelijk zijn ingevoerd: een centraal bijgehouden medisch dossier waartoe alle behandelaars toegang hebben. Zo’n elektronisch dossier (EPD) voorkomt, zo hoopt men, dat de ene arts niet weet wat de andere arts de patiënt in kwestie heeft voorgeschreven of dat onderzoeken dubbel worden uitgevoerd. Op zich een prachtig plan, hoewel ik me altijd afvraag of je een gebrek aan samenwerking eigenlijk wel via de techniek kan afdwingen.

Aan dat EPD zitten echter nog allerlei vragen vast die slecht of niet doordacht zijn, En de tijd dringt: over pakweg twee jaar zou het systeem werkend moeten zijn en gaan al uw medische gegevens, de informatie over uw medicijngebruik en de verslagen van uw fysiotherapeut erin.

De toegangsproblematiek – wie mag het EPD bekijken; wie mag gegevens invoeren; wie mag gegevens muteren – is buitengewoon complex. Het idee is dat alle betrokkenen het dossier moeten kunnen raadplegen. Maar dat is een veel te eenvoudig uitgangspunt. Als patiënt (en als beleidsmaker) wil je evident niet dat de bedrijfsarts zomaar toegang heeft tot alle gegevens, dat heeft hij nu trouwens ook niet. Maar hoeveel mag een verpleegkundige weten, hoeveel de vroedvrouw of de laborant? Hoort de opticien toegang tot zo’n systeem te hebben? De psychiater, de psycholoog? Wie regelt de niveaus van toegang? Kan de patiënt zelf iemand ‘promoveren’ en hem of haar hogere toegang geven of ontzeggen? Tot welk niveau krijgt de patiënt zelf eigenlijk toegang?

Deels zijn deze vragen natuurlijk dezelfde als bij een papieren systeem, maar juist omdat EPDs veel vollediger zullen zijn dan de dossiers die nu her en der over een en dezelfde persoon bestaan – immers, de bedoeling is dat alle medische informatie per persoon wordt verzameld en geordend – worden deze vragen navenant prangender.

Daarnaast maakt de aard van het EPD dat er plots twee heel nieuwe categorieën beroepsgroepen toegang hebben tot de patiëntendossiers: ten eerste datatypisten (die oude gegevens en de notities van computervrezende artsen moeten invoeren), ten tweede de systeembeheerders. Alleen voor artsen en verpleegkundig personeel geldt thans een geheimhoudingsplicht, compleet met privacyregels en sancties. Ook aan de niet-medici die met het EPD te maken krijgen, de systeembeheerders en datatypisten, zal een geheimhoudingsplicht moeten worden opgelegd. Gebeurt dat niet, dan zou ik als patiënt heel ongerust worden van zo’n EPD.

Voorts roept het karakter van een EPD een heel nieuw probleem op. Misbruik maken van gegevens – ze ontvreemden, bijvoorbeeld – wordt aanzienlijk makkelijker. Een kopie van iemands medisch dossier maak je niet zo een-twee-drie, maar een bestand op een floppy zetten is een fluitje van een cent. En ik wil wedden dat er grof te verdienen zal zijn aan zulke medische spionage: bladen als Story en Weekend zullen vermoedelijk goud geld betalen voor het EPD van Maximá, Frans Bauer of de minister-president. Werkgevers zullen erg nieuwsgierig zijn naar het medisch dossier van hun sollicitanten, verzekeringsbedrijven naar dat van hun klanten. ‘Wist mevrouw X echt niet dat ze een chronisch progressieve ziekte had toen ze zich bij ons aanmeldde?’

Los van slechte bedoelingen: ook met de beste intenties of uit onnadenkendheid wordt er thans al te soepel met medische informatie omgesprongen. Nu al is het gebruikelijk dat allerlei instanties, al dan niet bedoeld, persoonlijke medische informatie van hun cliënten uitwisselen. (Verzekeringsmaatschappijen krijgen bijvoorbeeld, zuiver via de rekeningen die ter declaratie bij hen binnenkomen, een vrij gedetailleerd beeld van de actuele conditie van hun verzekeringsnemers.) Met de ingebruikneming van EPDs zal die hoeveelheid enthousiast uitgewisselde informatie alleen maar toenemen. Er is voorts amper wetgeving ter bescherming van medische gegevens, terwijl (om database- en privacy-deskundige Simson Garfinkel te citeren) ‘op geen enkel gebied het verschil tussen enerzijds de gegevensbescherming die mensen verwachten en anderzijds de alledaagse realiteit zo groot is als juist in de medische sector.’

Toch is juist de zekerheid dat met medische gegevens bijzonder secuur wordt omgesprongen, cruciaal. Immers, de bereidwilligheid van mensen om pijnlijke of gênante zaken aan specifieke personen of instanties te openbaren, staat of valt met hu vertrouwen dat er zorgvuldig met zulke gegevens wordt omgesprongen. Wie zou er nog een aidstest doen als hij weet dat er kans is dat die gegevens morgen op straat liggen? Maar juist die geheimhouding is een lastig ding, en des te moeilijker te handhaven naarmate meer mensen toegang tot gegevens hebben. Zoals Garfinkel zegt: ‘De geheimhouding van feiten vergt de medewerking van alle betrokkenen. Het openbaar maken ervan vergt slechts één klootzak.’

Orkut pirates privacy and copyright

On-line friend networks such as Friendster and Friend-of-a-friend have fallen somewhat out of grace. Orkut however is different. It is soaring: less than a month after it was launched (on January 23), Orkut can boast almost 100.000 members and it seems to be discussed everywhere, both on the net and In Real Life.
Basically, it is everybody’s own responsibility to assess how much they want to disclose. Many of these on-line communities or interfaces, however, also affect other people’s privacy. Orkut however takes things a few steps further: it is a real privacy pirate. And it claims the legal right to all your content.

Microsoft was bashed for less

[Originally appeared in the Dutch net magazine Netkwesties.]

On-line friend networks such as Friendster and Friend-of-a-friend have fallen somewhat out of grace. Orkut however is different. It is soaring: less than a month after it was launched (on January 23), Orkut can boast almost 100.000 members and it seems to be discussed everywhere, both on the net and In Real Life.

The idea behind such friends’ networks is simple. After joining, you describe your interests and particularities such as age, sex and relational status, you make a list of your friends and invite them, and thus you map your social networks onto Friendster or Orkut. After registering you can take a look at the friends of your friends or investigate who else shares your interests. You can invite the new people that you find in this way to become part of your own network and thus create new ties.

That’s basically it. It’s all a tad trite, basically a great way of doing away with your time, although admittedly it must be fun to suddenly find an old friend in this way.

But indeed: Orkut is different. Unlike Friendster or Friend-of-a-friend, it is incredibly hip, and it is especially popular especially amongst the internet savvy. Orkut’s close ties to Google, the internet’s best search engine (Orkut was developed by a Google employee during company hours), may have greatly promoted Orkut’s cool factor: Google doesn’t often affiliate itself with a new toy, so that if it does, it must mean something. Such spill-over of good-will works.

Even when Orkut is different.

All more or less formalised on-line networks depend on databases. Friendster puts your profile together with that of all other Friendsters in a huge file and thus preserves everything that you were willing to spill about yourself: who your friends are, whether you smoke, your favourite films and bands, your political preferences. The sheer amount of private data that is being preserved makes such databases rather sensitive, even though the participants have entered those data themselves. People usually do not mind telling their friends that they have experimented with drugs, but when their mother or boss makes an appearance on that same network, the situation somehow changes.

Basically, it is everybody’s own responsibility to assess how much they want to disclose. Generally, it isn’t very smart to put things on-line which you do not want to be retrievable until kingdom come, be it in a usenet posting on your own web site or in Friendster or Orkut. Anybody participating on the net should be aware that the internet’s collected memory lasts a tad longer than an analogue conversation. On the net, everything is archived and usenet postings and web pages are kept for eternity.

Many of these on-line communities or interfaces, however, also affect other people’s privacy. According to a critical article in The Register of February 10, 2004, Plaxo encourages you to put your whole address book on-line. When a vague acquaintance is a Plaxo member, there is a good chance that your vcard – address, telephone number, mobile, date of birth – is on-line too. Swell: one’s privacy gets compromised because others are naive.

Orkut however takes things a few steps further: it is a real privacy pirate. If an acquaintance were to invite me to join Orkut, Orkut itself reserves the right to retain the data pertaining to me and use them for its own purposes. By now, I am labeled as part of several of Orkut’s circles of friends – I have even received mail for events within these circles – while I am not a member myself. Hence, Orkut ‘knows’ who my friends are, even while I keep my mouth tightly shut.

Besides, Orkut’s architecture provides a wonderful spamming tool. After having joined Orkut, you have the option to mail all your friends in one go; another option is to mail all friends of your friends. A friend of mine who has joined, Paul, has 89 Orkut friends. Not a particularly huge circle in Orkut terms, because people spread invitations like viruses and the lack of more nuanced labels promotes every acquaintance to a friend. (A strategy that quite erodes the meaning of the term friendship. ‘A person is lucky when he has five real friends,’ an acquaintance of mine often states. If Paul would take these 89 Orkut friendships seriously, he and I would never meet again due to his sudden lack of time.)

These 89 Orkut-inflated friends each have their own huge circle. With a simple mail to ‘friends of my friends’, Paul would reach circa 4500 people at once (roughly: 89 time 89, then half the result to account for the double instances). It is a matter of time before spammers abuse this option. More to the point: what on earth is the practical and honest use of an option to mail all ‘friends’ of all your ‘friends’ with one simple click?

Orkut does weird things with such – and all other – mail. Everything that one mails through Orkut, will be kept and preserved. In its privacy policy, Orkut states:


When you invite new members into your network or send messages through the orkut.com service, we collect and maintain the information associated with those messages, including email addresses and content on secure servers.

Any ISP who would remotely consider doing the same, would be slashed and thrashed by all digital rights / civil liberties organisations – and rightfully so. For a number of years already, Europe has been hotly debating data retention of internet traffic. Anybody who cares two hoots about privacy is greatly alarmed by these plans to oblige providers to retain such data: after all, data retention is meant to enable data retrieval. Knowing who mails who when and about what, renders rather detailed information about people: for instance, it means knowing the networks that people participate in. It also means that you can get implied by proxy if a member of your network is a police suspect. For this reason, such information is considered to be highly sensitive and is very much contested.

Orkut does not only store traffic data. It stores all content. Without a time limit. While Orkut does store this data on secured servers (it would only be yet more scandalous if these servers were not secured), the mere storing makes this data retrievable for anybody who manages to secure an authority’s compliance. Isn’t it odd that data retention for ISPs causes huge debate on international platforms, while a company can do so without even causing any digital rights organisation to twitch a muscle?

Or, erm, perhaps that is not too odd. Because members, supporters, founders, financiers and employees of such digital rights and civil liberties organisations themselves have joined Orkut en masse. From Dutch ex-hackers Felipe Rodriquez and Rop Gonggrijp to Electronic Frontier Foundation front man John Perry Barlow, from Esther Dyson to all-time top-15 hacker Julf Helsingius: all are on Orkut and have founded their own Orkut communities: Hippies From Hell, Electronic Frontier Foundation, Hack-tic. Because they were curious. Because it was brought to us by Google. Or because it’s just hip. Or perhaps for the same reason that I have a supermarket loyalty card: because my concerns for privacy diminish when I think I have something to win if I give up my privacy.

Orkut can boast more oddities. In its terms of service, their claims to copyright are explained:


orkut.com’s proprietary rights

By submitting, posting or displaying any Materials on or through the orkut.com service, you automatically grant to us a worldwide, non-exclusive, sublicenseable, transferable, royalty-free, perpetual, irrevocable right to copy, distribute, create derivative works of, publicly perform and display such Materials.

In other words, Orkut claims the rights to anything that its members post or publish through Orkut, be it a photograph of their daughter, a plot for a film that is in the making or an incipient business plan. Orkut claims the eternal, worldwide and royalty-free right to re-publish, perform, display and/or distribute whatever its members mail or mention.

Of course, such a provision would probably not be upheld in court, should Orkut wish to exercise the rights it granted itself and should a user sue Orkut. But the mere fact that Orkut whipped up such a condition for the use of its network is rather remarkable. Through its close affiliation with Google, one would have expected a less Microsoftish, less Disneyesk provision.

Speaking of which: a few years ago Microsoft was planning to issue a .NET passport. .NET passport users would (unwittingly) allow Microsoft to collect information on which sites they visited, whom they mailed, what they bought where. These plans led to a confrontation between Microsoft and the European Commission, who stated that the gathering and storing of such data was illegal. In the end, Microsoft was forced to cancel its .NET passport plans.

Unlike that .NET passport, Orkut is completely voluntary. And unlike Microsoft, Orkut is being used by highly informed civil right activists. That doesn’t only make it more difficult to fight Orkut’s conditions, it also means that Orkut might be our Trojan horse. After all, can EFF and other civil rights’ organisations keep up their complaints about .NET like plans after having joined Orkut so heartily, so massively and so uncritically?

Orkut spot met privacy en auteursrecht

Microsoft zou voor minder op z’n donder krijgen

Online vriendennetwerk Orkut heeft een waarlijk vliegende start gemaakt: drie weken na oprichting zijn zowat al mijn internettende vrienden al lid. Het wordt druk besproken, zowel op het net als in Het Echte Leven.

Het principe achter al die vriendennetwerken is simpel: je meldt je aan, zet een beschrijving van je interesses neer, geeft op wie je vrienden zijn, stuurt ze een uitnodiging en vormt al doende cirkeltjes. Vervolgens kun je bekijken wie de vrienden van je vrienden zijn of opzoeken wie er je interesse deelt. Met die vers gevonden mensen kun je vervolgens ook banden aanknopen. Heel gezellig en een geweldige manier om je tijd te verliezen. ‘t Heeft allemaal niet veel om het lijf, ook al is het natuurlijk erg leuk om een verloren gewaande kennis terug te vinden.

Maar Orkut is anders. Het kan – anders dan Friendster of al die andere online communities – rekenen op een forse dosis sympathie van de meer doorgewinterde internetters en groeit derhalve als kool. Dat Orkut hechte banden heeft met Google – Orkut is in bedrijfstijd gemaakt door een werknemer van Google – zal daaraan niet vreemd zijn: als Google zijn goedkeuring aan iets nieuws hecht, is dat nieuwe verschijnsel alleen al door dat stempel vanzelfsprekend vreselijk hip.

Zelfs als Orkut anders is, zo blijkt.

Alle min of meer geformaliseerde online netwerken bestaan bij gratie van databases. Friendster stopt je profiel samen met dat van alle andere Friendster-leden in een groot bestand en bewaart derhalve alles over jezelf wat je hebt willen prijsgegeven: wie je vrienden zijn, of je rookt, wat je favoriete films en bandjes, je politieke voorkeuren zijn. Al die persoonlijke informatie maakt zo’n database enigszins gevoelig materiaal, ook al heb je al die gegevens zelf ingevoerd: mensen willen gewoonlijk gerust tegen hun vrienden zeggen dat ze graag experimenteren met drugs, maar als hun baas of hun moeder op datzelfde netwerk verschijnt, komt de zaak toch iets anders te liggen.

Soit, eigen verantwoordelijkheid en zo. Het is sowieso dom om zaken op het net te zetten waarvan je bij enig doordenken weet dat je ze liever niet algemeen of tot in lengte der dagen bekend wilt hebben, ongeacht of dat nu in een online community of een Usenet-posting is. Het geheugen van het net gaat immers langer mee dan een gesprek. Op internet wordt van alles gearchiveerd en blijven Usenet-berichten en webpagina’s voor de eeuwigheid bewaard.

Maar veel van die on-line gemeenschappen schenden de privacy van derden. Volgens een kritisch artikel in The Register van 10 februari, stimuleert Plaxo haar leden bijvoorbeeld om hun hele adresboek pardoes in die gemeenschap neer te zetten. Als een vage kennis van je bij Plaxo zit, loop je een redelijke kans dat ook jouw visitekaartje (naam, adres, telefoonnummer, geboortedatum) er is te vinden. Dank u wel: door andermens’ onnadenkendheid liggen dan ook uw en mijn gegevens er voor het oprapen.

Orkut is – zoals gezegd – anders. Orkut spot met alle regels op het net en daarbuiten. Als een kennis mij via Orkut uitnodigt, behoudt Orkut zich het recht om mijn gegevens voor eigen doeleinden te bewaren. Ik zit thans zelfs in Orkut-vriendenkringen – en krijg daar wel eens mail van – zonder dat ik mezelf ooit heb aangemeld. Orkut ‘weet’ derhalve wie mijn vrienden zijn, ook al houd ik zelf mijn mond dicht.

Orkut is door haar opzet trouwens geweldig gereedschap voor spammers. Binnen Orkut kun je niet alleen in een keer al je vrienden mailen, maar ook alle vrienden van je vrienden. Een vriend van mij, Paul, heeft 89 Orkut-vrienden, geen bizar grote kring voor Orkut omdat iedereen elkaar werft en tot intimus bombardeert. (Een strategie die de betekenis van het woord vriend nogal uitholt. ‘Een mens mag blij zijn als hij vijf ware vrienden heeft,’ zegt een andere vriend van me geregeld. Als Paul zich echt met al die 89 Orkut-vrienden gaat bezighouden, zou dat betekenen dat dat ik ‘m nooit meer zie wegens zijn plotselinge tijdgebrek.) Die Orkut-geïnfleerde vrienden hebben allemaal ook zo’n bulk aan contacten. Met een eenvoudig mailtje aan ‘friends of my friends’ kan Paul in een keer zo’n 4500 mensen bereiken (grofweg 89 x 89, en daar dan weer de helft van omdat er doublures in zitten). Je kunt erop wachten dat spammers dat gereedschap gaan misbruiken. Sterker: wat voor praktisch doel heeft het in hemelsnaam om alle ‘vrienden’ van je vrienden tegelijk te mailen?

Orkut doet trouwens iets raars met die mail. Alles wat je via Orkut verstuurt, wordt bewaard. In haar privacy policy meldt Orkut:


When you invite new members into your network or send messages through the orkut.com service, we collect and maintain the information associated with those messages, including email addresses and content on secure servers.

Met andere woorden: Orkut bewaart de inhoud van de mail die je via hen verstuurt.

Een provider die hetzelfde van plan is, zou – terecht – onder vuur komen te liggen van alle digitale burgerrechtenbewegingen. In Europa is al een paar jaar een groot debat gaande over het bewaren van verkeersgegevens (wie mailde wanneer aan wie) en zowat iedereen die privacy een goed hart toedraagt, maakt zich ernstige zorgen over die bewaarplicht. Wie met wie mailt en dus wie in welke netwerken zit, geeft een nogal gedetailleerd beeld van mensen en is informatie die niet zonder meer uit handen gegeven mag worden, reden waarom ook het bewaren – en dus opvraagbaar maken – ervan bepaald niet onomstreden is.

Orkut bewaart zulke gegevens zonder meer. Bij Orkut gaat het bovendien niet alleen om de verkeersgegevens, ook de inhoud van ieders mail wordt bewaard. Zonder termijn. Dat gebeurt weliswaar op beveiligde servers (het zou een nog groter schandaal zijn dat die servers ni­et waren beveiligd), maar niettemin zijn zulke gegevens, simpelweg doordat ze bewaard worden, opvraagbaar geworden door iedereen die een bevoegde autoriteit weet in te schakelen. Is het niet raar dat over het bewaren van zulke gegevens grote debatten in parlementen worden gevoerd, en onderwijl een enkele partij dat op eigen houtje doet zonder commentaar uit te lokken van organisaties die digitale burgerrechten bewaken?

Of nee, heel vreemd is dat niet. Want sympathisanten, leden, medewerkers, oprichters en financiers van diezelfde digitale burgerrechtenorganisaties zijn zelf en masse lid geworden op Orkut. Van ex-hackers Rop Gonggrijp en Felipe Rodriquez tot privacy-voorvechter Maurice Wessling en internet-advocaat Christiaan Alberdink Thijm, ze zitten er allemaal op en hebben er hun eigen communities gesticht: ‘Hippies from Hell’, ‘Electronic Frontier Foundation’, ‘Hack-tic’. Uit nieuwsgierigheid. Of omdat het hip is. Of om dezelfde reden waarom ik een Albert-Heijnbonuskaart heb: privacy kan me iets minder schelen als ik denk dat er iets te halen valt.

Orkut heeft meer idioterie. In de terms of service zet Orkut uiteen hoe ze het auteursrecht beziet:


orkut.com’s proprietary rights

By submitting, posting or displaying any Materials on or through the orkut.com service, you automatically grant to us a worldwide, non-exclusive, sublicenseable, transferable, royalty-free, perpetual, irrevocable right to copy, distribute, create derivative works of, publicly perform and display such Materials.

Op alles dat je via hen verstuurt – een foto van je dochter, een verhaaltje, een plot voor een te maken film of een zakelijk plan – geef je Orkut rechten. Ze dichten zichzelf het recht toe om wereldwijd, zonder royalties, onherroepbaar en voor de eeuwigheid uit te mogen kopiëren, distribueren en te mogen uitbaten wat je schrijft of bedenkt.

Wie ruzie krijgt met Orkut in geval het bedrijf een dergelijk recht te gelde wil maken, heeft gerede kans de rechter aan zijn zijde te vinden. Maar dat Orkut überhaupt met dergelijke gebruiksvoorwaarden komt aanzetten, is opmerkelijk. Juist van het net-savvy Google en haar medewerkers zou je beter mogen verwachten.

Microsoft had een paar jaar geleden plannen voor een . NET paspoort en wilde daartoe allerlei informatie van haar gebruikers vergaren: welke sites bezochten ze, wie mailden ze, wat kochten ze waar. Dat leidde tot een fikse ruzie met de Europese Commissie, die stelde dat het bewaren van zulke gegevens indruiste tegen Europese regelgeving. Microsoft blies haar paspoortplannen uiteindelijk af.

Orkut is, anders dan Microsofts voorgestelde paspoort, geheel vrijwillig. En Orkut wordt, anders dan Microsoft, naar hartelust gebruikt door goed-geïnformeerde burgerrechten-voorvechters. Dat maakt Orkut niet lastiger te bevechten, maar ook ons eigen paard van Troje.

Wellicht is het tijd dat Bits Of Freedom, Neerlands enige digitale burgerrechtenbeweging, een nascholingscursus geeft aan haar eigen oprichters, (mede-)financiers en een van haar medewerkers. En dan beloof ik mijn AH-bonuskaart op te geven.