Een regen van lekken

[column van 29 december 015, met vertraging geplaatst]

Van 2007 tot 2010 heb ik een overzicht bijgehouden van Nederlandse datalekken: gevallen waarin allerlei persoonlijke gegevens van derden op straat belandden. Brakke websites die grote hoeveelheden persoonsgegevens prijsgaven, psychiatrische dossiers die bij het oud papier werden gedumpt, paspoortkopieën die bij een veilingkantoor onbeveiligd online stonden.

Dat waren de uitgelekte datalekken – niemand had enig idee hoe vaak zoiets nu werkelijk gebeurde, en hoe zo’n kwestie werd afgehandeld. Stelde zo’n bedrijf de gedupeerden op de hoogte dat hun gegevens waren gelekt? Troffen ze maatregelen om herhaling te voorkomen? Dachten ze überhaupt na over deugdelijke databescherming?

De digitale burgerrechtenorganisatie Bits of Freedom nam het stokje over, en hield tot 2013 een Zwartboek Datalekken bij. Belangrijker: ze werkten noest aan een Meldplicht Datalekken, een wet die bedrijven en instellingen verplicht om datalekken meteen na ontdekking bij het College Bescherming Persoonsgegevens te melden, aangevuld met de eis dat de gedupeerden zo snel mogelijk op de hoogte worden gesteld dat hun gegevens waren gelekt. In Europees verband werd een lobby opgezet voor zo’n wet.

Het ging niet zonder slag of stoot, maar sinds afgelopen zaterdag is die wet van kracht. Het is bepaald geen papieren tijger. Lekken moeten binnen 72 uur na ontdekking worden gemeld, de getroffenen moeten terdege van de lekkage op de hoogte worden gesteld, er dienen maatregelen worden genomen om herhaling te voorkomen. Wie een datalek niet meldt, kan op fikse boetes rekenen: de maximale boete is 820.000 euro, of 10% van de netto jaaromzet. Daarnaast kunnen overtredingen van de Wbp, de wet bescherming persoonsgegevens (onzorgvuldige bewerking, onrechtmatig gebruik, gegevens te lang bewaren, etc.) nu flink worden gestraft, met boetes tot maximaal 500.000 euro.

Het doel van de Meldplicht Datalekken is uiteraard niet om het CBP – per 1 januari omgedoopt tot de Autoriteit Persoonsgegevens, de AP – rijk te maken, hoewel dat met goed toezicht en wat digitale recherche vermoedelijk een peuleschil zal zijn. Het regent immers nog steeds lekken.

Het voornaamste doel van de hele exercitie is bedrijven, instellingen en overheidsinstanties te dwingen tot een beter databeheer. Onzorgvuldige opslag, achteloos weggooien, niet toegestane bewerkingen uitvoeren, ongerechtige koppelingen maken, slordige beschermingsprocedures hanteren: dergelijke nonchalance kan een bedrijf of instantie voortaan lelijk opbreken.

Het enige dat ik jammer vind, is dat de AP de ontvangen meldingen niet openbaar maakt. De boetes zullen ze te zijner tijd publiceren, meldingen blijven geheim. Als consument heb ik daar liever weet van: zo’n instantie heeft namelijk een goede les geleerd.

Tijd voor een Witboek waarin gedupeerde klanten en burgers hun ontvangen waarschuwingen over datalekken inventariseren?

[Noot: Jacob Kohnstamm, voorzitter van het CPB /AP, meldde een week na intreding van de wet Meldplicht Datalekken dat zijn organsiatie al 20 meldingen had ontvangen.]

Robuuste rechters

De rechter die in 2013 het grootschalige, ongerichte bijhouden door de NSA van alle telefoongesprekken van de bevolking afwees, maakte gisteren korte metten met de afluisterstaat. Indertijd oordeelde Richard Leon dat zonder aanzien des persoons bijhouden wie wanneer, hoelang en vanaf welke locatie met wie belt, ongrondwettig was – en griezelig Orwelliaans. Niettemin bood hij in zijn uitspraak de NSA alle ruimte om de boel te repareren.

Maar iedereen pleegde obstructie. Individuen uitsluiten van massasurveillance kon écht niet, dat zou het hele systeem ondermijnen, zei de NSA. ‘Er komen binnenkort betere wetten,’ zei de Amerikaanse overheid. ‘Wij hebben toch toestemming gegeven? Dan mag het dus wél!’ zei het Congres.

Deze week – twee jaar later – was rechter Leon het beu. Volkomen beu. Hij vonniste gisteren dat de NSA per direct moet stoppen de metagegevens bij te houden van de telefoongesprekken die de eiser voert. Kan de NSA niet één enkele persoon uitzonderen van haar surveillance? Jammer voor de NSA: dan maar helemaal stoppen met het bijhouden van zulke gegevens van totaal onverdachte burgers. Leon: ‘De regering vraagt mij de facto om goed te keuren dat ze een sleepnet van ongekende proporties over alle burgers uitwerpt.’

Had het Amerikaanse Congres ingestemd met deze grootschalige privacy-inbreuk? Doet er niet toe, sneerde Leon. Immers: het Congres mág helemaal geen toestemming geven voor wetten en praktijken die ongrondwettelijk zijn. ‘Het intrinsieke doel van het grondwettelijke recht op privacy zou volledig worden ondermijnd wanneer dit hof zich neerlegt bij de overtuiging van het Congres dat ieders persoonlijke vrijheid opgeofferd dient te worden in de strijd tegen hedendaags kwaad.’

Leons vonnis boet enigszins aan fermheid in wanneer je weet dat de bewuste afluistermaatregel over drie weken sowieso afloopt, en vervangen wordt door een nieuwe wet. Niettemin zet hij een nieuwe toon: massaal onverdachte mensen volgen, is serieus ongrondwettelijk, en gelegenheidswetgeving doet niets aan dat principe af.

Vorige maand was er hier een vergelijkbare overwinning: de langlopende rechtszaak die de Oostenrijker Max Schrems tegen Facebook voerde, en die nu eindelijk op Europees niveau wordt uitgevochten, leidde tot de uitspraak dat persoonlijke gegevens van Europese burgers niet op Amerikaans grondgebied mogen worden bewaard – waar ze feitelijk vogelvrij zijn, want wij vallen niet onder Amerikaans recht – en een deugdelijke Europese bescherming vereisen.

Als toetje oordeelde de Brusselse rechter gisteren dat Facebook niet langer gegevens mag bijhouden van bezoekers en passanten die zelf geen Facebooklid zijn. Per vandaag moet Facebook daarmee ophouden, op straffe van een boete van een kwart miljoen euro per dag.

Wie zijn rechten lief heeft, moet tegenwoordig bij het gerechtshof zijn – niet bij de politiek. Vandaag vierde ik een feestje voor de rechtstaat. En voor robuuste rechters.

Felipe op de BBA2015

Bij de Big Brother Awards 2015 sprak ik onderstaand in memoriam uit voor vriend en internetpionier Felipe Rodriguez.

Meteen na mijn speech kondigde Hans de Zwart, de directeur van Bits of Freedom, aan dat de positive prijs die regelmatig tijdens de BBA wordt uitgereikt, wordt hernoemd: die heet nu niet langer de Winston Award, maar de Felipe Rodriguez Award. Een prachtige geste.

***

In Memoriam Felipe Rodriguez

Zonder hem geen XS4all. Zonder hem geen DDS. Zonder hem geen Meldpunt Kinderporno. En zonder hem geen Bits of Freedom.

Eerder deze maand overleed Felipe Rodriguez. Hij was pas 46 en was al een jaar of zes uit het publieke leven verdwenen, maar had op zijn veertigste al een CV dat menig tachtigjarige jaloers zou maken.

Felipe was een van de vele Nederlandse hackers die sinds eind jaren tachtig op bulletin boards rondhingen. Hij had zijn eigen BBS, Utopia, en via een bevriende sysadmin bij de Universiteit van Amsterdam hadden hij en zijn maten toegang tot internet. Op een nacht ontdekte hij, zoals zijn vriend Rop Gonggrijp het uitdrukte, dat alcohol en internet vaak niet goed samengaan. Het gevolg: Utopia en HackTic verloren hun gedoogde toegang tot internet.

Zoals alle hackers was Felipe inventief. Op de achterkant van een bierviltje becijferde hij dat als ze nu een bedrijfje werden en zélf een huurlijn naar NLnet inkochten en die verbinding met 500 mensen deelden, ze quitte zouden spelen. Felipe legde het geld op tafel, bestelde de huurlijn, servers en modems, en zo ontstond XS4all: de eerste publieke internet provider in Nederland, betaald uit de opbrengst van Felipes Spaanse restaurant. XS4all, de enige provider ter wereld die haar beginkapitaal vond in pulpo, paella en patatas bravas.

Tijdens een lange avond op Hacking at the End of the Universe, in 1993, verzonnen Felipe en Marleen Stikker samen De Digitale Stad, een gratis ISP gemodelleerd naar het concept van een stad, compleet met gemeentehuis, postkantoor, kiosk, huizen, pleinen, cafés en rosse buurt. Het werd een model dat overal ter wereld werd gekopieerd.

Felipe blonk uit in tactisch, nuchter nadenken. Waren er conflicten of ruzies, dan was hij altijd de eerste om mensen de hand te reiken: hij nodigde tegenstanders uit voor een kop koffie of voor een maaltijd in zijn restaurant Centra. Hij was een meester in de-escaleren, hij krabde alle eelt en ideologie van meningsverschillen af.

Presten politici om censuur van internet – terroristen! kinderporno! – dan kalmeerde hij ze. Censuur helpt niet, je schaadt altijd meer dan je redt, en bovendien verlies je zo het zicht op wat er gebeurt. Beter was het om goede procedures voor meldingen van overlast en misdaad te scheppen, rechercheurs op te leiden, sporenonderzoek te doen en gebruikers op te voeden.

En Felipe realiseerde zich al vroeg dat internet alleen sterk kan blijven wanneer niet alleen bedrijven en aanbieders zich organiseren. Ook de gebruikers van internet hebben hun eigen organisatie nodig: het verdedigen van digitale burgerrechten kun je qualitate qua niet overlaten aan ISP’s. Alleen wanneer ook de belangen van burgers worden vertegenwoordigd, kun je hopen op een waarlijk robuust internet.

Dat was het begin van Bits of Freedom. De eerste jaren was het heel hard werken, met weinig geld. En elke keer dat Bits of Freedom weer eens dreigde om te vallen, gaf Felipe gul.

Felipe was het hart van ons internet. Zonder hem geen XS4all, geen DDS, geen Meldpunt Kinderporno. En zonder hem geen Bits of Freedom.

Felipe: het was een eer je te hebben gekend.

Vieze zaken

Het Italiaanse bedrijf Hacking Team verkoopt software aan overheden om de computers en mobieltjes van ‘verdachte elementen’ te kunnen hacken. Hun unique selling point: zo vinden we drugdealers en pedofielen. Door de bron te hacken – de crimineel zelf – kun je al hun verkeer aan de bron onderscheppen, en vermijd je dat criminelen zich achter encryptie kunnen verschuilen.

Gisteren kreeg Hacking Team een koekje van eigen deeg. Een hacker was hun systemen binnengedrongen en had alle interne documenten buitgemaakt: e-mails, facturen, agenda’s, klantenlijsten, wachtwoorden, programmacode. De hacker gaf de hele zwik – 400 GB aan data – daarna vrij op internet.

De klap voor het bedrijf is immens. Niet omdat het hilarisch is dat een surveillancebedrijf niks merkt wanneer het zelf belaagd wordt, of dat de systeembeheerders daar wachtwoorden als ‘p4ssword’ gebruikten en gevoelige informatie onversleuteld op de servers bewaarden. De echte schadepost is hun klantenlijst. Daar staan idioot veel overheden op die zich niets aantrekken van mensenrechten, en van wie bekend is dat ze geregeld op journalisten en mensenrechtenorganisaties jagen: Azerbeidzjan, Bahrein, de Verenigde Emiraten, Egypte, Kazachstan, Marokko, Nigeria, Oezbekistan, Rusland, Sudan.

Eerder waren er serieuze berichten dat journalisten uit Marokko en Bahrein via de software van Hacking Team door hun eigen overheid waren afgeluisterd, getraceerd en gevangen werden gezet. Hacking Team ontkende stellig: met zulke overheden deden ze geen zaken. De facturen vertellen een ander verhaal. Marokko en Bahrein staan op de klantenlijst van Hacking Team. Aan Sudan, een land waarvoor de UN strikte exportregels heeft uitgevaardigd, leverde Hacking Team voor een half miljoen dollar aan diensten en software. Dissidenten in Sudan zijn hun leven niet meer zeker, mede dankzij Hacking Team.

Niks drugsdealers en pedofielen, zoals het verkooppraatje van Hacking Team wil. Maar hé, het faciliteren van repressie betaalt goed!

Waar het op neerkomt, is dat de surveillance die het Westen wederrechtelijk als normaal is gaan zien om haar eigen burgers te bespieden, nu ook massaal wordt aangeschaft en ingezet door overheden die geen enkele democratische schijn ophouden, en waar geen sprake is van een ‘normale’ rechtsgang. Westerse bedrijven als Hacking Team leveren zulke repressieve landen van harte – vergezeld van een gepeperde rekening – een gereedschapskist om hun eigen bevolking verder onder druk te zetten en tegenspraak ongenadig af te straffen. Voor winst moet elk principe kennelijk wijken.

Dat de Nederlandse KLPD een afspraak had met Hacking Team, verbaasde me niet. Dat Nederland wil dat de politie gericht kan inbreken op computers en mobieltjes van verdachten, is immers al langer bekend. Wat mij verraste, is dat Hacking Team de ING en ABN/Amro onder haar klanten blijkt te hebben. Straks wordt u gehackt door uw eigen bank.

Heel veilig

De massale surveillance die de NSA en haar Britse evenknie GCHQ stiekem uitvoeren, was voor de twee inlichtingendiensten niet genoeg. Behalve ongericht ieders internetverkeer onderscheppen, wilden ze hetzelfde ook doen met mobiel verkeer. Maar aangezien mobiel verkeer standaard wordt versleuteld, hadden ze een probleem.

Ze besloten Gemalto onderhanden te nemen. Dat bedrijf, dat haar hoofdvestiging in Nederland heeft, levert jaarlijks ruim twee miljard chips die wereldwijd in mobieltjes worden gebruikt. Via hun illegale surveillance identificeerden de NSA en het GCHQ een aantal ‘interessante’ mensen binnen Gemalto, wier gangen vervolgens digitaal tot in detail werden nagetrokken. Hun e-mail werd uitgeplozen, hun contacten werden geïnventariseerd, hun wachtwoorden werden onderschept.

Stukje bij beetje wisten de inlichtingendiensten dieper in het netwerk van Gemalto door te dringen. Hun eigen hackers schreven intussen scripts om geautomatiseerd informatie bij het bedrijf te onderscheppen en weg te sluizen.

Wat de NSA en het GCHQ er stalen? De geheime sleutels die in de chips zijn meegebakken, en die enerzijds dienen om de kaarthouder identificeren en anderzijds om het verkeer met de provider te versleutelen. In porties van soms miljoenen tegelijk ontvreemdden de inlichtingendiensten die sleutels.

Het effect: al het verkeer van de bijbehorende mobieltjes is op slag volkomen transparant voor de inlichtingendiensten. Nooit meer hoeven aankloppen bij providers voor gegevens, doelgerichte telefoontaps zijnn niet meer nodig, nergens hoeft een rechter aan te pas te komen, en als bonus: de NSA en het GCHQ hoeven nergens verantwoording over af te leggen, aangezien niemand wist dat ze dit deden.

U kunt uw mobieltje dus niet meer vertrouwen, dat kan zo worden afgeluisterd O niet omdat uzelf verdacht bent, hoor, nee wees gerust: ze luisteren u uitsluitend af omdat u ergens werkt waar volgens hen mogelijk interessante gegevens worden verwerkt, gegevens waarvan zij als inlichtingendiensten menen dat ze er zonder last of ruggespraak bij moeten kunnen. U bent geen doel, U bent alleen maar hun instrument. Zij willen graag illegaal al uw gegevens hebben, opdat ze illegaal – en zonder dat er enige verdenking jegens hen bestaat – ook de rest van de mensheid overal kunnen afluisteren.

De hack van de NA en het GCHQ heeft ongekende repercussies. Want de chips van Gemalto beveiligen tevens bankpassen, creditcardsleutels, toegangspasjes en chips voor mobiel betalen. Gemalto’s klanten zijn niet de minsten: Vodafone, Orange, AT&T, Verizon, T-Mobile, MasterCard, American Express. Al dat verkeer hebben de veiligheidsdiensten in één klap gecompromitteerd. Voor uw en onze veiligheid…!

Gemalto beweert nu dat er niet veel aan de hand is. Allicht: ze zijn als de dood dat hun klanten een zaak tegen ze beginnen. Maar als ik Gemalto was, zou ik als de sodemieter aangifte doen van malversaties door de overheid.

Valse vrienden

Ineens kreeg ik op Facebook vriendschapsverzoeken van wildvreemde Afrikaanse mannen, die stuk voor stuk profielfoto’s hadden waarin ze smachtend in de lens keken. Ook kreeg ik veel persoonlijke berichtjes van andere Afrikaanse mannen die me schreven dat ze geraakt waren door mijn prachtige verschijning. Vast vleiend bedoeld, maar vermoedelijk waren de berichten het gevolg van mijn verse status van weduwe. Ik was het doelwit van een nieuw type Nigeriaanse scam, dacht ik, en klikte al die mannen weg.

Er gebeurde weer iets raars op Facebook. Ik bleek om de haverklap pagina’s te hebben geliked die ik nog nooit in mijn Facebookbestaan heb gezien, en als ik ze wél had gezien, piekerde ik er niet over om ze te leuk te vinden. ‘Vrienden van Nederland’, bijvoorbeeld, een pagina waar ik werkelijk geen enkele affiniteit mee heb. ‘Facebook wil zulke paginabeheerders vast laten zien dat het loont om er met je clubje te leuren, dacht ik, en haalde elke valse like weg waarop ik Facebook betrapte.

Vervolgens kwamen er vriendschapsverzoeken van mensen met iets te fraaie Nederlandse namen – Geertruida Hoogenboom of Mathilde Nooitgedacht enzo – en bleken die mensen bij inspectie geen profiel van betekenis te hebben: ze deden niks op Facebook, maar hadden wel een stapel vrienden.

En tenslotte kwam er een ris niet-smachtende Afrikaanse en Aziatische mannen om mijn vriendschap bedelen. Ze waren allemaal al vriendjes met steeds dezelfde groep halve kennissen in mijn Facebookkring, en deden zelf óók helemaal niks op Facebook, behalve een leuke exotische naam dragen. (Wat goedwillende, meestal middelbare dames steeds naïef deed uitroepen: ‘Wat ontzettend leuk dat je vriendschap met mij wilt sluiten!’)

Toen begon het me te dagen.

Voor Facebook zijn wij, de gebruikers die denken centraal te staan, niet het doel. Wij zijn slechts het middel: wij zijn hun handelswaar. Alles dat wij daar zo graag aan onze vrienden vertellen, is voor Facebook grondstof: onze verhalen en foto’s worden vermalen, verwerkt en verhandeld aan de echte klanten: adverteerders, spelletjesmakers, bedrijven die gerichte informatie over potentiële klanten zoeken, dataminers die profielen willen kruisen om hun mediastrategie te verfijnen.

Maar ja: om hun eigen handel te verkopen en hun aandeelhouders tevreden te stellen, moet Facebook wel steeds bewijzen dat ze heus, eerlijk waar, nog steeds groeien. En dat doen ze dus niet. De aanwas van nieuwe leden stagneert. En dus verzint Facebook tegenwoordig nieuwe deelnemers: ze scheppen steeds meer nepprofielen, nep-likes en nepvriendschappen.

Dat bevalt me eigenlijk wel. Die paniekstrategie van Facebook betekent immers dat de informatie over ons die Facebook te gelde wil maken, vervuild raakt, minder betrouwbaar wordt, en dus: minder waard.

Dus die rare likes laat ik tegenwoordig staan. Want ik vind het leuk wanneer Facebook zichzelf ondermijnt.

 
Edit, d.d. 22 juni 2015: Er blijken ‘Facebook Farms’ te bestaan waar mensen op bestelling valse accounts aanmaken. Hier staat een intrigerend stuk over het fenomeen.

Bureauspeurders

CDA-kamerlid Pieter Omtzigt is tevens rapporteur Juridische Zaken en Mensenrechten voor de Raad van Europa. In die hoedanigheid publiceerde hij vorige week een rapport over de moderne massasurveillance.

Omtzigts rapport is heftig. De schaal waarop (vooral) de UK en de VS data van gewone burgers vergaren, noemt hij onthutsend: hij spreekt van ‘een op hol geslagen machinerie’. Veel van deze bespieding is volgens Omtzigt ronduit in strijd met de mensenrechten. Er worden geheime wetten, geheime rechtbanken en geheime wetsinterpretaties gebruikt; inlichtingendiensten hollen doelbewust allerlei waarborgen uit; burgers worden als verdachten behandeld; verdachten kunnen zich vaak niet verdedigen tegen aantijgingen, ook niet wanneer die op schrale gronden zijn gebaseerd; het optreden van afluisterinstanties onttrekt zich aan elke democratische besluitvorming, controle en verantwoording.

Het is nogal een waslijst.

En wat levert deze surveillance-industrie nu op, behalve een groeiende onvrijheid voor iedereen en miljoenencontracten voor de onderaannemers? Niets, constateert Omtzigt grimmig, zoals velen voor hem ook al deden. Er is geen enkele bewijs dat die hele machinerie enige aanslag heeft voorkomen.

Sterker: bij grote aanslagen blijkt na afloop telkens dat inlichtingendiensten de plegers ervan al eerder in het vizier hadden, maar dat hielp niet. Er was teveel werk: het wemelt van de meldingen via het systeem, en deze verdachten waren zodoende onderop de stapel beland. En de interne bureaucratie helpt ook niet; de verschillende takken van inlichtingendiensten werken langs elkaar heen, rapporten blijven halverwege hun weg omhoog in de pikorde ergens op een bureau liggen.

Omtzigts referaat past wonderwel bij de verhalen van ouders van Syriëgangers die we de laatste tijd horen. Bezorgde ouders melden de inlichtingendiensten of de politie geschrokken dat hun kind op het verkeerde pad raakt, maar daar gebeurt vervolgens nietsmee. In één geval stond de AIVD uiteindelijk zes weken later bij pa op de stoep, maar zoonlief zat inmiddels al dik en breed in Syrië. [Link 1] [http://www.at5.nl/artikelen/135127/vader-syriganger-waarschuwt-voor-radicalisering]

Wat heb je in hemelsnaam aan een alomvattende surveillancemachine wanneer serieuze meldingen van direct betrokkenen erin verzuipen?

Het probleem is deels dat het reuze efficiënt klinkt, zo’n algeheel burgerbewakingingssysteem. In de praktijk genereert zo’n systeem veel goedbedoelde, maar foutieve meldingen. Die moeten natuurlijk wel allemaal worden nagetrokken. Zo genereer je een idioot grote berg werk, waarin vooral veel onzin moet worden afgehandeld. Een groter probleem is dat we stilletjes zijn gaan denken dat misdaad en terreur vanachter een bureau zijn te beheersen: dat we criminelen via databeheer kunnen managen.

De terreurbestrijding moet de straat op, achter de bureaus vandaan. Hef de massasurveillance van onschuldige burgers op, laat onschuldige handelingen voor wat ze zijn, en richt je op daadwerkelijke meldingen. Met 10% meer rechercheurs kom je verder dan met 100% datacontroles.

Dystopie

Een kennis werd afgelopen week oma. Ik feliciteerde haar oprecht, maar dacht er stiekem iets heel anders bij. De vriend die ik kort erna sprak, had dezelfde ambivalentie. ‘Ik ben al blij dat ik geen kinderen heb, laat staan kleinkinderen,’ zei hij. ‘De wereld staat er belazerd voor. Hoe is het over een jaar of twintig? Ik houd mijn hart vast voor de mensen na ons.’

Het begrip dystopie was vroeger onbekend. De eerste keer dat ik het woord in een manuscript gebruikte, trok mijn uitgever er een vinnige streep door. ‘Dat woord bestaat niet, hoor.’ Alleen mensen die graag science fiction lazen waren vertrouwd met de term. De dystopie is de omgekeerde utopie. Zoals de hemel tegenover de hel staat, staat de dystopie tegenover de utopie.

Om het lastiger te maken: science fiction leerde ons, lang voordat filosofen als Hans Achterhuis dat idee theoretisch wisten te onderbouwen, dat het streven naar een utopie vaak uitmondt in een dystopie. Zie Brave New World of This Perfect Day: een overheid die de burgers met veiligheid wil ommantelen, eindigt ermee de waarheid voor hen te verbergen, haar eigen geschiedenis te herschrijven, en iedereen monddood te maken.

Ons streven naar vooruitgang, naar groei, maakbaarheid, veiligheid en controle, is hard bezig een wereld te scheppen die voor de overgrote meerderheid van ons op korte termijn onleefbaar wordt. Een paar voorbeelden:

In Engeland is de overheid serieus van plan kleuterleidsters te verplichten te melden welke drie- tot vijfjarigen ‘mogelijk zullen uitgroeien tot terroristen’. Autobedrijf Daimler wil al zijn 280.000 werknemers driemaandelijks controleren op hun eventuele deelname aan terroristische organisaties. Wij allemaal worden op ongeëvenaarde schaal afgeluisterd door onze eigen overheid, en door een paar andere naties erbij.

De werkloosheid stijgt door privatisering, outsourcing, bezuinigingen en automatisering. Vooral laaggeschoold werk verdwijnt. De gemeentes gaan bijstandsgerechtigden nu verplichten om vrijwilligerswerk te doen, bij wijze van ‘tegenprestatie’. Dit omdat ze gratis zijn ontslagen. De rijken worden echt rijker, en de armen steeds armer – een trend die geldt voor elk land, alsook wereldwijd.

Het klimaat verandert snel: 2014 was het warmste jaar sinds 1500. Negen plaatsen in de toptien van de warmste jaren ooit in Europa, worden bezet door jaren na 1999. In Qatar werken gastarbeiders zich letterlijk dood om in de verzengende hitte de behuizing voor het WK voetbal te bouwen. In Lagos wordt gewerkt aan een offshore stad waar de allerrijksten der aarde zich kunnen afschermen van klimaatsveranderingen.

De grootmeesteres van de science fiction, Ursula LeGuin, kreeg afgelopen november een prijs die tot dan uitsluitend was toegekend aan ‘realistische’ schrijvers. ‘Ik vermoed dat er zware tijden komen, en dat we de stemmen van schrijvers de alternatieven kunnen zien, bitter hard nodig gaan hebben,’ zei ze kalmpjes.

Vertrouwen [3]

[Zie ook de voorlopers van deze column: Vertrouwen [1] en Vertrouwen [2].]

We zijn geconditioneerd geraakt dat de overheid onze gangen moet kunnen nagaan. Waar we zijn, wat we kopen, wie we mailen, bellen of sms’en, welke websites we bekijken: de overheid moet die informatie vastleggen. Het beoogde doel van deze ongeëvenaarde surveillance, wordt ons op het hart gedrukt, is terroristen vangen. Of criminelen. Mensen die in kinderporno doen. Of fraudeurs.

Mogelijk begon de grootschalige afluisteroperatie waarin we verzeild zijn geraakt, inderdaad zo: met het oprechte verlangen om boeven te vangen. Maar inmiddels zijn we in een radicaal andere fase beland.

De documenten die Edward Snowden prijsgaf, laten zien dat alle burgers in het westen permanent worden afgeluisterd, zowel door hun eigen als door andere overheden, en wel op grotere schaal dan iedereen voor mogelijk hield. Vrijwel niets wat gewone burgers doen, valt buiten de spiedende blik van de veiligheidsdiensten.

Ze beperken zich daarbij niet tot het legaal onderscheppen van informatie. De verzamelde westerse geheime diensten zijn inmiddels akelig proactief geworden.
Belgacom onderhoudt een van de grootste internethubs ter wereld: veel Afrikaanse en Aziatische internetverbindingen lopen via hen. De Britse geheime dienst – na de NSA de grootste afluistervink ter wereld – had geen wettelijke grond om toegang te krijgen tot de netwerken die Belgacom beheert, en besloot toen om de boel dan maar te hacken. Ze installeerden dusdanig ingenieuze achterdeuren in de systemen van Belgacom dat het bedrijf de hack pas twee jaar later ontdekte.

Heb je het ooit zo zout gegeten?! De Britse geheime dienst hackt een keurig Europees bedrijf in een bevriende natie teneinde toegang te krijgen tot al het verkeer van de internationale klanten van dat bedrijf, nota bene om daarmee de aan diezelfde geheime dienst opgelegde wettelijke beperkingen te omzeilen?

De Snowden-documenten die Der Spiegel dit weekend publiceerde, bewijzen dat deze Belgische affaire geen uitzondering is. De NSA blijkt ook de Grieken af te luisteren. Met welk doel of recht? Niet om terroristen of kinderpornohandelaars op te sporen, dunkt me.

Diezelfde documenten tonen aan dat de NSA zich al jarenlang inspant om encryptie te breken. Ze forceren bedrijven om achterdeuren in te bouwen in voorheen veilige protocollen, lekken in software houden ze achter teneinde die zelf te kunnen misbruiken, en tijdens internationaal vergaderingen over cybersecurity doet de NSA alles om veilige protocollen af te zwakken en deugdelijke standaards te compromitteren.

Dat uw bankverkeer straks niet meer veilig is, dankt u aan de NSA. Veilig bankverkeer vinden zij namelijk lastig, net als privacy dat eerder was.

We worden door meerdere overheden tegelijk in de gaten gehouden. Geen van die overheden legt daarvoor verantwoording af, en allemaal schenden ze op grote schaal burgerrechten, wetten en verdragen.

We leven in de DDR. In versie 2.0, dat dan weer wel.

Diaspora

Drie dagen in Londen vergaderd over onderzoekjournalistiek. Hoe doe je degelijk onderzoek, hoe bescherm je bronnen, hoe controleer je publieke uitspraken van overheden en bedrijven, hoe breng je schandalen naar buiten? Hoe houd je de vrijheid van meningsuiting overeind wanneer steeds meer onderwerpen in het geheim worden besproken, of zelfs tot kwestie van staatsveiligheid worden bestempeld? Zijn de vrijheid van meningsuiting en de ruimte om degelijk onderzoek uit te voeren nog gewaarborgd, wanneer privacy verdwijnt?

We zaten er met de fine fleur van onderzoeksjournalisten, klokkenluiders, advocaten, hackers en NGOs. Seymour Hersh, die zowel de Amerikaanse slachting van honderden ongewapende burgers in My Lai als het schandaal rond Abu Ghraib blootlegde; Lowell Bergman, die als eerste de dubieuze praktijken van de tabaksindustrie blootlegde; Eileen Chubb, die naar buiten trad met de barre staat van Britse verpleegtehuizen; Duncan Campbell, die het bestaan van afluistersysteem Echelon aantoonde; Daniel Ellsberg, die staatsgeheimen over de Amerikaanse oorlog in Vietnam naar buiten smokkelde en die als de Pentagon Papers in de krant wist te krijgen.

Gaande de conferentie werd duidelijk hoe groot het spoor van vernieling is dat overheden rond hun klokkenluiders trekken. Dat Chelsea Manning 35 jaar gevangenisstraf kreeg voor het lekken van leugens rond de oorlog in Irak is erg genoeg: niet zij, maar de leugenaars verdienen die straf. Zij hebben hun eigen volk voorgelogen – en de rest van de wereld.

In het voetspoor van de klokkenluiders wordt echter ook anderen hun rechten ontzegd. Veel journalisten zijn voor hun eigen overheid gevlucht. Uitgever Julian Assange zit al ruim drie jaar vast in de ambassade van Ecuador; de filmmaakster Laura Poitras – die als allereerste contact had met Edward Snowden – kan de VS en de UK niet meer in, evenals journalist Glenn Greenwald en diens partner David Miranda; Snowden kan Rusland niet meer uit; Sarah Harrison, die Snowden vanuit Hongkong naar Rusland begeleidde, kan haar moederland niet meer in. Meer en meer mensen die ons de verhalen van klokkenluiders brachten, leven nu – o ironie – in exil in Berlijn.

Op de derde dag van de conferentie zag ik Citizen Four, de documentaire die Poitras over Snowden maakte. En na twee dagen van verstandige, heldere, imposante en onthullende verhalen, was ik ineens totaal van de kaart. Niet vanwege de onthullingen van Snowden: die zijn me inmiddels akelig vertrouwd. Niet vanwege de botte leugens van de Amerikaanse overheid: de documenten van Snowden tonen aan hoe verwoestend verraden wij allemaal zijn door de Amerikaanse overheid, en door onze eigen overheden.

Het was de eenvoud van Snowden die me tot tranen toe roerde. ‘Ik zag wat we deden, ik wist wat er gebeurde, en ik vond dat iedereen dit moest weten.’ Ellsberg zei later: ‘Zo was het bij mij ook. Ik kon het bedrog niet langer velen.’