Plundering van dna-databases

DNADer Spiegel onthulde vorige week dat bedrijven die voor apothekers recepten verwerken – zodat zij die netjes bij zorgverzekeraars kunnen factureren – stiekem meer doen. De tussenbedrijven bewerken al die patiëntgegevens verder, en verkopen die aan farmaceutische bedrijven. De gebruiken ze dan weer om hun pillen en poeders te promoten bij artsen, om zo hun voorschrijfgedrag te beïnvloeden.

Grote techbedrijven azen al jaren op medische data. Via het Britse NHS kreeg DeepMind, een AI-project van Google, toegang tot 1,6 miljoen patiëntgegevens van drie Londense ziekenhuizen, inclusief de dossiers tot vijf jaar terug. DeepMind maakte een mooie app. Mitsen en maren werden in acht genomen, regels afgesproken, er werd vastgelegd wat Google wel en niet met de patiëntgegevens mocht doen. De app beviel, en er kwamen meer functies en toepassingen. Dat mondde uit in een systeem voor het beheren van patiëntengegevens: Streams, een krachtig elektronisch patiëntendossier.

Eind vorig jaar kondigde Google eenzijdig af dat het de dienst herstructureerde en bij een nieuwe divisie van Google zou onderbrengen: DeepMind Health. Die app, waarvan de gegevens nooit door Google zelf gebruikt zouden worden, is nu een Google product geworden. De NHS had geen keus meer: hun patiëntendata zitten in de app en zijn bij Google geparkeerd.

Er wordt al jaren voor gewaarschuwd: medische gegevens genieten een hoge graad van bescherming, maar zodra die gegevens het medisch domein verlaten, vervalt die extra waarborg. Dan wordt het handel – net als de rest van onze gegevens dat zijn.

Iets vergelijkbaars is gaande met biometrische gegevens: vingerafdrukken en dna. Voor politiediensten gelden strengen regels. Ze mogen zulk materiaal niet zomaar afnemen, er moet een gerede verdenking tegen iemand bestaan. Maar intussen delen mensen hun biometrische gegevens zelf links en rechts uit. Soms verplicht: sommige werkgevers eisen dat hun personeel zichzelf met een vingerafdruk identificeert eer ze het bedrijfspand binnen mogen. Soms vrijwillig: de duimafdruk waarmee je je telefoon tegenwoordig kunt ontsluiten. En soms nieuwsgierig: honderdduizenden mensen hebben hun wangslijm opgestuurd naar sites als Ancestry of 23andMe, om zo meer te weten te komen over hun genetische achtergrond.

Al die vormen van opslag van genetische data missen de hoge mate bescherming die ze in het medische of juridische domein genieten. En warempel: politiediensten proberen zich nu toegang te verschaffen tot zulke data. Vorige maand was er een baanbrekende uitspraak in een Amerikaanse zaak. De politie wilde alle miljoen dna-profielen van GEDmatch doorzoeken, en kreeg toestemming van de rechter. Nul restricties, weg extra bescherming: voor de draad ermee.

De volgende stap is evident. Ook onze biometrische gegevens zullen handel worden, en buiten ons medeweten worden verkocht – aan farmaceuten en verzekeraars, verrijkt en wel.

[Beeld: fragment Needpix]

Geef burgers maar de schuld

De presentatie van Marleens Stikkers boek Het internet is stuk (maar we kunnen het repareren) leverde een levendig debat op. Waar zowat iedereen het over eens was: internet is inderdaad flink kaduuk. Privacy wordt er vermalen; onze eigenschappen en gedragingen worden er door derden uitgebaat; we krijgen er een identiteit toegeschreven, die vervolgens wordt vermarkt; de grote platforms proberen ons van #hype naar #ophef te jagen, om zich van continue clicks te verzekeren.

Over hoe die beoogde reparatie eruit kan zien, waren de meningen minder helder. Ook Stikker zelf was dat niet: in haar boek staan rijp en groen naast elkaar. Neem open source: software die gratis is, en gebaseerd op creative commons licenties – iedereen mag meebouwen en meesleutelen, maar niemand is eigenaar. Het was al jaren eerder een geweldig idee.

Maar diezelfde overheden die zich pakweg 15 jaar geleden hartelijk aan die beweging en haar doelstellingen committeerden, zijn nu massaal overgestapt op Google Suite. Ook gratis, maar niet vrij: je betaalt er met je gegevens, en van portabiliteit is geen sprake. Integendeel: hoe meer diensten je er gebruikt, hoe moeilijker je nog kunt overstappen op een ander pakket. Het is een nieuwe vorm van vendor lock-in: je wordt hun eeuwige klant.

Stikker wees er terecht op dat we het internet eigenlijk niet kunnen repareren als we niet ook naar de politiek en economie kijken. Het marktdenken domineert immers niet alleen internet; het heeft ons overal in de greep. Wil je dat burgers hun soevereiniteit op internet herwinnen, dan zul je dat neoliberalisme bijgevolg ook op andere terreinen moeten aanvechten.

Ze formuleerde het pregnant. ‘We hebben inmiddels zowat alles vermarkt: onderwijs, zorg, milieu, cultuur, data, wetenschap, onderzoek,’ – zelfs aandacht, zou ik daaraan willen toevoegen – ‘en haast niemand zet zich nog in voor publieke waarden.’

Ineens dacht ik: nee, het is erger. We hechten wel degelijk aan publieke waarden, maar die hebben we inmiddels tot op het bot geïndividualiseerd. Publieke waarden zijn niet langer een publieke zaak of taak; wij, de burgers, zijn nu hoogstpersoonlijk verantwoordelijk gesteld om die in stand te houden. Doen we dat niet, dan wordt dat ons aangerekend als persoonlijk falen. Het ligt nooit aan de markt – altijd aan ons.

Daarom moet u zich doodschamen als u een plastic rietje gebruikt, maar mag de frisdrankindustrie een statiegeldregel voor kleine plastic flesjes tegenhouden. Daarom bent u fout als u te warm stookt, maar mag Shell gerust nog miljarden liters olie oppompen: dat is namelijk goed voor ‘onze’ economie. Daarom is het vreselijk als iemand in de bijstand ergens een centje bijverdient, maar ligt niemand op regeringsniveau ooit wakker van de jaren durende miljoenenfraudes met dividendbelasting, of van witwasserij op de Amsterdamse Zuidas.

Publieke kwesties reduceren tot persoonlijke keuzes: ook dat is politiek.

[Beeld: Guillaume Paumier, CC-BY op Wikimedia.]

Een achterdeur in Whatsapp

Mensen doen soms een envelop om hun e-mailtje of hun appje, zodat alleen zijzelf en de geadresseerden dat kunnen lezen. Omdat inbraken op andermens’ berichtenverkeer akelige consequenties kunnen hebben en mensen aan hun privacy hechten, bouwen applicatiebouwers zulke versleuteling vaker in. Whatsapp versleutelt automatisch alle berichten, net als Signal en Telegram; ook Facebook Messenger wil versleuteling tot standaard verheffen.

Evenredig aan de behoefte van gebruikers aan veiligheid en versleuteling groeit de wens van overheden om achterdeurtjes in te bouwen: wegen om die encryptie te breken. Zonder die achterdeurtjes zou de overheid machteloos staan tegen criminelen, is het verhaal. Al in 1988 fileerde Intel-techneut Timothy C. May die retoriek: hij destilleerde de doembeelden van toen en noemde die, met een klassieke verwijzing, de Vier Ruiters van de Infocalyps: terroristen, pedofielen, drugsdealers en witwassers.

Minister Grapperhaus van Justitie en Veiligheid bepleitte onlangs in navolging van zijn Amerikaanse collega William Barr dat internetplatforms de sleutels van hun gebruikers aan justitie moesten kunnen overhandigen, om opsporingsdiensten toegang te verschaffen tot berichten- en chatverkeer. Heel Bijbelvast legde Grapperhaus de nadruk op kinderporno als argument om zijn ‘sleutelrecht’ op te eisen: ‘Wat ik graag zou willen is met grote internetpartijen om de tafel en zeggen: luister, we gaan het nu zo regelen dat wij in ieder geval als er sprake is van verdacht verkeer toch een toegang kunnen krijgen om te kunnen zien wat zich er precies afspeelt.’

Hoe Grapperhaus zich dat precies voorstelde, zei hij er niet bij, maar achterdeurtjes in de software van die ‘grote internetpartijen’ lijken de logische optie. Immers: als encryptie automatisch geregeld wordt, is er sowieso geen sleutel die je bij gebruikers kunt opeisen, nog los van het feit dat de grondwet bepaalt dat mensen nooit aan hun eigen veroordeling hoeven mee te werken en zwijgrecht hebben.

Grapperhaus is naïef. Zodra softwarebedrijven van iedere gebruiker een ‘masterkey’ moeten bijhouden, maakt dat hun platform een magneet voor hackers, en dus: onbetrouwbaar voor gebruikers en riskant voor investeerders. Begin 2016 erkende het kabinet zelfs dat sterke encryptie van groot belang was voor de veiligheid en soliditeit van internet. Het slot op mijn deur (en mijn communicatie) is bedoeld om iedereen buitenshuis te houden, overheid en criminelen gelijk: dat is juist het nut van een deur met een slot erop.

Dat zo’n slot opsporing bemoeilijkt, is geen doorslaggevend argument: opsporing is altijd moeilijk, en hoort dat in zekere zin zelfs te zijn. Want transparantie eisen van burgers, en eenvoudige toegang tot hun communicatie, is aanzienlijk enger. Grapperhaus kan beter een voorbeeld nemen aan zijn partijgenoot Hans Franken: die beschouwde encryptie als de moderne variant van het aloude briefgeheim, en dus als grondwettelijk recht.

[Beeld: Needpix]

Quantum, qubits en crypto

Ian Hughes op Flicker, https://www.flickr.com/photos/epredator/40239193864Afgelopen week maakte Google bekend een werkende quantumcomputer te hebben gebouwd. Anders dan ‘gewone’ computers werken die niet met bits (die alleen ‘uit’ of ‘aan’ kunnen staan, oftewel op 0 of 1), maar met qubits. Dat zijn bits die in tegelijkertijd 0 én 1 kunnen zijn (‘superpositie’).

Dat verschaft ze vreemde eigenschappen: zo kunnen ze niet worden gekopieerd, en staan ze onderling altijd in relatie. Als de waarde van qubit A bekend wordt (en daarmee zijn superpositie vervalt), heeft dat subiet effect op qubit B, ook als dat zich elders bevindt. Hoogleraar Stephanie Wehner, die in Delft aan de ontwikkeling van een quantum-internet werkt, legt het graag (en altijd geestig) uit.

De strijd wie de eerste serieuze quantumcomputer kon presenteren, is al langer bezig; wie de eerste slag binnenhaalt, krijgt een boel prestige. Het werd dus Google. Het bedrijf meldde triomfantelijk dat Sycamore, zoals het zijn exemplaar heeft gedoopt, een reeks sommen 1,5 miljard keer sneller oploste dan gewone supercomputers kunnen. Op dat record valt overigens wel iets af te dingen: Google koos uiteraard een opdracht die exact was toegesneden op Sycamores expertise. Voed het ding een ander lastig probleem en hij bakt er waarschijnlijk weinig van: Sycamore is in zekere zin nog een one trick pony.

De grote belofte van dit type computers is dat ze als simulatie gebruikt kunnen worden, bijvoorbeeld om medicijnen te testen: een virtueel model van het menselijk lichaam is, in combinatie met de verschillende verschijningsvormen van een ziekte, het potentiële geneesmiddel waarnaar onderzoek wordt gedaan en de bijwerkingen van dat medicijn, dusdanig complex dat zelfs de verenigde computers van een heel datacenter zoiets momenteel niet aankunnen. Mogelijk lukt dat straks wel met quantumcomputers.

Maar terwijl de quantumcomputer prachtige vergezichten biedt, schopt-ie andere dingen onderuit. Het ding zuipt bijvoorbeeld schrikbarend veel energie, terwijl de energiezucht van onze huidige, ‘ouderwetse’ datacenters al de pan uit rijst. En terwijl quantumcrypto uit de aard der zaak onkraakbaar is – wie zulke berichten probeert af te luisteren, verandert de boodschap zonder pardon en krijgt bijgevolg niets dan gibberish – maakt invoering van de quantumcomputer de oude vertrouwde vormen van versleuteling eenvoudiger te kraken. Niet dat PGP en blockchain nu meteen ‘kapot’ of nutteloos zijn, maar we moeten er wel rekening mee houden dat zulke vormen van beveiliging op termijn minder solide worden.

Resteert een ander, en al ouder probleem: quantumcomputers zijn met grote inspanning van wetenschappers op tal van universiteiten bedacht, ontwikkeld en beetje bij beetje opgebouwd. En weer gaat een commercieel bedrijf er met de jackpot – en alle glorie – vandoor. Ze plukken wel de vruchten der wetenschap maar, belastingmijders als ze zijn, weigeren daaraan mee te betalen.

[Beeld: Ian Hughes op Flicker, 50 qubit quantum compture; origineel hier.]

De nieuwe horigheid

Foto: Wendy Wei op Pexels (fragment)Big data rukken op: het verzamelen van informatie, om daar vervolgens algoritmes op los te laten die tot beter onderbouwde beslissingen zouden komen dan wijzelf. Er gaat van alles mis bij al die mooie technologische dromen. Zo wordt de informatie in kwestie bepaald niet altijd netjes verzameld. Veel datasporen worden aan mensen onttrokken zonder dat wij daar weet van hebben, laat staan dat we grip hebben op wat er vervolgens mee gebeurt.

Intussen hebben de beslissingen die uit die algoritmes komen rollen – gewoonlijk heel soft als ‘suggesties’, ‘aanwijzingen’ of ‘indicaties’ betitteld – geregeld zeer verstrekkende gevolgen. U komt helaas niet in aanmerking voor een lening bij ons. Of: uw auto lijkt ons te duur voor uw inkomen. Wij denken op grond van uw profiel dat wij uw sollicitatie afwijzen. De Belastingdienst zet uw toeslag voor kinderopvang stop, want u lijkt ons een fraudegeval. Of Jeugdzorg ziet ‘signalen’ van ‘vermoedens van’ kindermishandeling, en zet een vlaggetje bij uw gezin.

Nu willen de entrepreneurs ook de kunsten in. Journalist en programmamaker Jaïr Tchong beschreef de plannen die het Belgische PXL-Music vorige week op een congres van de Vereniging Nederlandse Poppodia en Festivals presenteerde. Prachtige vergezichten, werkelijk waar: op grond van de data van bezoekers (hun Google-gebruik, waar ze kwamen, waar ze naar luisterden, wat ze verder zoal deden) en de gegevens van zalen zelf (hoeveel mensen kunnen erin, hoeveel kaarten verkopen ze bij elk optreden) hoopt PXL-Music de zaalprogrammeurs te kunnen voorspellen welke acts tot volle zalen leiden en welke acts ze beter niet kunnen boeken. Naïef-optimistisch meldde de spreker dat podia zo minder missers zouden hebben, en dan dus fijn meer geld zouden overhouden voor experimenten.

Tchong zag het al voor zich.

Wie had, met zo’n algoritme in de hand, in ’s hemelsnaam ooit het prille Nirvana geboekt? En was het niet raar dat podia én bezoekers voor deze vermeende, gladgestreken slimheid al hun data moesten afstaan aan een bedrijfje dat hen vervolgens wilde aansturen en daar een verdienmodel op wilde bouwen?

Denk aan hoe restaurantsite Iens, ooit begonnen als een ‘handige’ beslishulp voor wie buiten de deur wilde eten, gaandeweg dictatoriale trekjes kreeg. Zo verdwenen restaurants met uitmuntende reviews miraculeus in de krochten van Iens wanneer ze Iens geen reclamegeld betaalden. ‘Maffiapraktijken,’ oordeelden de restauranthouders terecht.

Ik realiseerde me dat er een droom aan gruzels lag. Ooit beloofde internet de middle man overbodig te maken: je kon voortaan je muziek rechtstreeks bij je favoriete artiest kopen, zelf je reis boeken, of een boek uit de VS importeren. Veel tussenhandelaren zijn inmiddels verdwenen. Maar nu wordt er, beetje bij beetje, een bovenlaag van handelaars in big data gemetseld, die zelfstandige bedrijven – inclusief hun klanten – horig tracht te maken.

[Beeld: © Wendy Wei, foto op Pexels, fragment]

Tussen schild en wapen

Vrouwe JustitiaDoor misdaad sneuvelt er veel – maar criminelen zijn niet de enigen die zich gedragen als een olifant in de porseleinkast, vertrappelend wat hun in de weg staat. Ook de wetshandhavers en beleidsmakers mogen graag een potje breken.

Begin deze maand opperde de Amsterdamse hoofdcommissaris Frank Paauw, in reactie op het flinterdunne onderzoek van Trips & Tromp over ondermijning van de rechtsstaat door drugscriminelen, dat het maar beter was om de rechtsstaat nog een stukje verder af te breken: de privacy moet overboord. De privacywetten moeten ‘op een andere leest worden geschoeid’, zei Paauw tegen Het Parool. ‘We laten onszelf nu de handen op de rug binden.’

Afgelopen week nam de minister van Justitie en Veiligheid het stokje van Paauw over. De moord op advocaat Derk Wiersum liet volgens Grapperhaus zien dat het de hoogste tijd was om iets aan beknellende privacyregels te veranderen. Ja, er stond inderdaad al allerlei wetgeving in de steigers, maar de minister was de beroerdste niet en wilde van harte pleiten voor meer bevoegdheden op het vlak van opsporing en surveillance: ‘Privacy mag geen schild worden.’

Opmerkelijk. Er zijn de laatste twintig jaar absurd veel maatregelen genomen die massasurveillance, bestandskoppelingen, gegevensuitwisseling, profilering en ‘hinderlijk volgen’ mogelijk maken: van de sleepwet tot aan nummerbordherkenning, van overal camera’s plaatsen tot aan het vergemakkelijken van gegevens opvragen door de politie toe. Zelfs patiëntgegevens verliezen stukje bij beetje hun uitzonderingspositie. Maar het is kennelijk nooit genoeg: er kan volgens de beleidsmakers en wetshandhavers altijd wel weer een beetje meer, maar een klein beetje hoor, van onze privacy af. Voor onze eigen veiligheid, immers.

De crux is dat privacy tot de zogeheten afweerrechten hoort. Het recht op bescherming van onze persoonlijke levenssfeer, op vrije beweging en vrije informatiegaring, is expliciet bedoeld als schild: een recht dat burgers beschermt en wapent tegen een al te bemoeizuchtige, opdringerige overheid. Anders gezegd: het recht op privacy heeft juist ten doel de overheid op veilige afstand te houden. Dan kan diezelfde overheid die belemmeringen vervolgens niet als problematisch oormerken. Dat is zoiets als zeggen: ik kan je niet dwingen, maar als je ‘nee’ zegt, luister ik niet en doe ik het toch.

Edward Snowden vatte het probleem recent bondig samen in zijn boek Permanent Record: alleen autoritaire staten kennen hun burgers (sommige) rechten toe; in een democratie zijn burgerrechten onvervreemdbaar en ontleent de staat haar invloed uitsluitend aan de rechten die de burgers haar zelf doelbewust toekennen. Privacy is de kanariepiet in de kolenmijn van onze burgerrechten.

Grapperhaus en Paauw zijn rupsjes Nooitgenoeg: voor hen is elke vorm van privacy op enig moment een probleem voor handhaving en preventie, en moet dan wijken. Het houdt nooit op.

Gijzeling – geen oorlog

BoekomslagHet is oorlog, maar niemand die het ziet, waarin Huib Modderkolk aantoont hoe inlichtingen- en geheime diensten in een digitale strijd zijn verwikkeld en ondertussen zowat alles en iedereen hacken, is een subliem boek. Hij laat gedetailleerd zien hoe spionage en sabotage verweven zijn geraakt. De enige kanttekening die ik heb, is dat hij steevast de oorlogsmetafoor inzet in zijn poging om de hele zwik voor de leek begrijpelijk te maken.

Begrippen als koude oorlog, wapenwedloop, escalatie en afschrikking, aanval en verdediging klinken vertrouwd, en lijken een nuttig kader te bieden. Maar ze ontnemen ons het zicht op wat dit moderne wapengekletter zo radicaal anders maakt, en laat ons de verkeerde ‘oplossingen’ suggereren. Naar aanleiding van de documentaire Zero Days (2016), die liet zien dat geheime diensten vet betalen voor exploits om andermens’ systemen te kunnen binnendringen en manipuleren, werd geopperd dat een non-proliferatieverdrag voor beveiligingslekken een oplossing kon zijn. Heus: wie dat voorstelt, begrijpt niets van het probleem.

Niet alleen overheden of hun steelse subdivisies kunnen essentiële infrastructuur hacken. Ook een vasthoudende puber ergens op een zolderkamertje kan KPN platleggen, zoals Modderkolk aantoont. Non-proliferatie is gebaseerd op bovenstatelijke controles, op internationaal recht en dito verdragen, op sancties, op traceerbare goederen, op voor de buitenwereld zichtbare proeven, op identificeerbare fabrieken en installaties. Dat alles ontbreekt te enen male bij digitale spionage en sabotage.

Staten doen er op dit vlak niet meer toe, evenmin als hun klassieke tegenstrevers: politieke cellen, guerrilla of terrorisme. Iedereen kan zich, met enige kennis en volharding, een bereik verwerven waarop staten meenden een monopolie te hebben. De situatie is veel grilliger: we kampen nu ook met mensen die voor de lol een bedrijf of land willen platleggen.

Geheime diensten zoeken naar zero day exploits, beveiligingslekken die nog niet bekend zijn, en dus niet gedicht; die hopen ze te kunnen gebruiken om tegenstanders te hacken. Het grote probleem: zodra zo’n dienst een veiligheidslek vindt, heeft die er geen enkel belang meer bij dat het lek wordt gerepareerd. Dit in de volle wetenschap dat ditzelfde lek ook door anderen kan worden uitgebuit, en dan haar eigen burgers, bedrijven en instellingen kan treffen. Met publieke gelden en onder het motto dat zij het landsbelang verdedigen, cultiveren onze veiligheidsdiensten zodoende, o ironie, de kwetsbaarheid van onze eigen burgers en instellingen.

Zo had de Amerikaanse NSA voor eigen gebruik een aardige collectie van zero day exploits verzameld. De NSA werd gehackt, de exploits belandden op straat, Rusland ging ermee aan de haal en zette die in de Oekraïne in, waar het ME.Docs-virus het land platlegde en zelfs doden maakte (Modderkolk beschrijft de kwestie).

De conclusie die Modderkolk niet trekt, is deze: elke geheime dienst die een exploit geheimhoudt, zet daarmee de veiligheid van haar eigen burgers moedwillig op het spel.

Gezichtsverlies

Wordt je paspoort gejat, dan komt daar geheid ellende van. Maar je kunt een nieuw exemplaar aanvragen. Hopelijk word je al doende niet het slachtoffer van identiteitsfraude: met de nasleep daarvan kun je nog jaren zoet zijn. Denk aan mobieltjes die op jouw naam zijn aangeschaft, onterechte bekeuringen, valselijk afgesloten leningen.

Met biometrische gegevens ligt het anders. Zijn je gezichtsscan of je vingerafdrukken in verkeerde handen beland, dan ben je voorgoed de pineut, je kunt geen andere facie of vingers aanvragen. Voor de rest van je leven kunnen jouw onuitwisbare kenmerken door derden worden misbruikt.

Daarom was de ontdekking van security-experts eerder deze maand zo onthutsend. Biostar 2, een biometrisch beveiligingssysteem waarin miljoenen gebruikers zijn opgeslagen, is zo lek als een mandje. De experts ontdekten onbeveiligde Biostar 2-servers, en zagen dat de gegevens van gebruikers er onversleuteld waren opgeslagen: namen, wachtwoorden, woonadressen, gezichtsscans, vingerafdrukken, rangen, toegangscodes – de hele rataplan. Het betrof ruim 27 miljoen records. De experts konden de data uitlezen, wissen, of veranderen. Ze konden zelfs valse gebruikers aanmaken, compleet met vingerafdrukken en gezichtsscan.

Biostar 2, eigendom van Suprema, is onderdeel van het beveiligingssysteem AEOS, dat door 5700 organisaties in 83 landen wordt gebruikt. Die organisaties variëren van sportclubs tot overheidsinstanties, van de Londense politie tot banken, van defensiebedrijven tot – o ironie – een identiteitspasjesfabrikant.

Nadat de security-experts Suprema waarschuwden, dichtte het bedrijf het gat op zijn servers. Maar Biostar slaat de gegevens nog immer onversleuteld op, zodat die nog altijd hoogst kwetsbaar zijn. En eigenlijk heeft een beveiligingsbedrijf dat zulke basale fouten maakt (‘Suprema: koploper in biometrie, beveiliging en identiteitscontroles’, pochen ze zelf), zichzelf volkomen gediskwalificeerd. Niemand zou nog zaken met ze moeten doen, en Suprema verdient een vette boete per blootgesteld record.

Zulke verhalen zijn reden tot grote zorg. Iemands gezichtsscan en vingerafdrukken zouden slechts bij hoge uitzondering mogen worden afgenomen, en uitsluitend onder stringente beveiliging worden opgeslagen, geraadpleegd of gedeeld. Elke fout die ermee wordt gemaakt is immers onherstelbaar, en levert levenslang risico’s op voor de benadeelden. Plus dat locaties er lek van worden: aangezien hackers nieuwe gebruikers konden aanmaken, kon feitelijk iedereen op die manier een met Biostar beveiligde locatie binnenlopen.

Misschien, zo opperen de security-experts, is betalen met je duimafdruk niet zo’n goed idee wanneer onze vingerafdrukken zo slecht beveiligd worden. Misschien moet je geen lid willen worden van een sportclub die een gezichtsscan wil als toegangscode. En misschien moeten we van overheden eisen dat ze biometrische gegevens zwaarder bewaken.

[Beeld: izusek/Getty Images/iStockphoto, via The Guardian]

Wat de camera niet ziet

Het ene toezicht is het andere niet. Er wordt semipermanent gelet op zowat al onze publieke gedragingen: camera’s kijken of iedereen zich aan de snelheidsregels houdt, zich op straat niet agressief gedraagt, geen zakken rolt in winkels of verdacht rondhangt.

Vanmorgen las ik een reportage over de onzalige vorm die cameratoezicht in Dubai heeft aangenomen. Op straat, in taxi’s, in hotels, in winkels: iedereen wordt overal gevolgd, en die camera’s worden steeds slimmer. Ze doen aan gezichtsherkenning, ze kunnen je locatie aan elkaar doorgeven, ze kunnen al wie op een vip-lijst staat een voorkeursbehandeling geven en wie op een zwarte lijst voorkomt meteen bij de politie melden. Wie ergens op betrapt wordt krijgt subiet straf, en met mazzel word je alleen het land uitgebonjourd.

Het resultaat: Dubai oogt superveilig. Je kunt je tas op een terrasje laten liggen als je even naar het toilet bent. Maar voor minder zichtbare groepen is Dubai aanzienlijk minder veilig: voor vrouwen binnenskamers, of voor arbeidsmigranten die afhankelijk zijn van hun werkvergunning. 

Die nadruk op zichtbaar gedrag kleurt ook de publieke perceptie (en definitie) van misdaad en criminaliteit. Wat zich publiekelijk en onder het oog van buitenstaanders afspeelt, krijgt meer aandacht (en straf) dan wat moeilijk traceerbaar is. Wat openbaar gebeurt, valt meer afkeuring ten deel dan wat zich binnenskamers, in advocaatkantoren, vijfsterrenhotelsuites of chique directeurskamers voordoet. Corruptie vang je niet met een camera, omkoperij is zelden zichtbaar, witteboordencriminaliteit wordt veelal gedrapeerd in ingenieuze transacties.

Voor westerse landen geldt au fond hetzelfde. Op burgers houden we uitgebreid toezicht, maar op bedrijven, lobby’s en belangen amper. Gaat een bedrijf over de schreef, dan komt dat er over het algemeen genadig vanaf. De ING let niet op witwassen? Hier, een boete, en we hebben het er verder niet meer over. Je verkoopt tegen alle wetgeving in gebruikersdata aan schimmige bedrijven? Betaal een schijntje van je omzet ter genoegdoening, en alles is pais en vree. Illegaal dumpen? Tsja, we zijn afhankelijk van dit bedrijf, dus wat moeten we?

Wettelijk aangestelde toezichthouders zijn vaak tandeloos, of pleiten hooguit voor ‘betere registraties’ en ‘uitgebreidere meldplicht’. Maar bazen voor de rechter dagen, administraties doorspitten, btw- en dividendfraude naspeuren, belastingontwijking en -vermijding tegengaan, seriële faillissementsfraudeurs achtervolgen, zich misdragende commissarissen een bestuursverbod opleggen (laat staan, o hemeltjelief, ze tot een schadevergoeding veroordelen of ze aansprakelijk stellen) – nee, daar kunnen we echt niet aan beginnen.

Dat leidt tot twee akelige constateringen. Ten eerste: als je je misdaad maar complex genoeg maakt, ontspring je vrijwel altijd de dans, en: toezicht is voor losers. Wie meer geld en macht heeft dan de meute, kan zichzelf onzichtbaar maken.

Grondstof voor tech-giganten

Bedrijven als Google, Facebook en Amazon hebben inmiddels zoveel data over hun gebruikers verzameld en volgen die zo extensief, dat ze stuk voor stuk schatrijk zijn geworden aan de verkoop van onze persoonsgegevens en op maat gesneden advertenties. Nevenproduct: we worden zowat overal door hen gevolgd, gemonitord, gecoached en bijgestuurd – en niet alleen online. We zijn overal te volgen, we lezen wat Facebook en Twitter ons onder de neus duwen, we kiezen onze nieuwe aankopen op basis van algoritmes die bedenken wat wij interessant of handig zullen vinden. Dat fenomeen staat al enige tijd bekend als surveillance capitalism: geld vergaren door mensen in de gaten te houden.

Maar de tech-giganten hebben al doende niet alleen internet getransformeerd, doch ook onze noties van privacy, transparantie en databeheer. Hun reikwijdte strekt inmiddels ver voorbij het web. Amazon heeft een ferme greep op de hele Amerikaanse retail verkregen, en heeft al doende niet alleen monopolies verworven en hele ketens om zeep geholpen, maar vooral ook arbeidsrelaties dramatisch veranderd. Het bedrijf grossiert in piss poor jobs, waarbij werknemers onder het minimum loon werken. Protesteer je daartegen? Geen probleem, voor jou tien anderen. Wie zich niet voor een grijpstuiver uit de naad werkt, kan opzouten.

Intussen zijn we mijlenver verwijderd geraakt van het simpele ‘volgen’ van gebruikers. Zoals Evgeny Morozov vorige week in een lang essay uitlegde: ‘Wanneer tech-giganten hun bewerkte data gebruiken voor gerichte advertenties en het sturen van ons gedrag, creëren zij meerwaarde uit ons gedrag: wijzelf zijn gereduceerd tot surveillance capital.’ Ons leven is de grondstof geworden waaruit anderen hun geld munten.

Het is een trieste, tragische constatering. En al was ik zeer onder de indruk dat de Duitse mededingingsautoriteit vorige week besloot dat Facebook te machtig is geworden en hun beoogde data-integratie van Whatsapp, Instagram en Faceboook om die reden een halt moet worden toegeroepen, kan ik alleen maar denken: dat volstaat niet meer.

Want zo’n ingreep – hoe wezenlijk en dapper ook – baseert zich op een oud model: het stabiliseren van de machtsrelaties tussen consument en fabrikant. Maar dat model zijn we allang voorbij: we hebben tegenwoordig te maken met bedrijven die ons niet als consumenten zien, maar als grondstof, en die tezamen over meer kapitaal en macht beschikken dan zowat elke andere sector ter wereld. Dan is elke poging tot het beteugelen of reguleren van die macht op voorhand gedoemd: want wie is überhaupt nog sterk genoeg om tegen ze op te treden?

Het enige dat nog helpen kan, is een strijd op vele fronten. Kapitaalbelasting heffen. Belastingontwijking en -vermijding verenigd bestrijden. Vakbonden stimuleren. Het minimumloon invoeren en heilig verklaren. Transparantie eisen, en radicale privacy.