Privacy – Page 7 – Karin Spaink

Duur bedrog

Bijna twee miljoen mensen in de VS hebben te maken gehad met identiteitsfraude op medisch vlak. Anderen gingen onder hun naam naar een arts of ziekenhuis, en lieten zich daar voor allerlei kwalen behandelen. Het resultaat: foute en vervuilde patiëntendossiers, verkeerde behandelingen, en soms zelfs verkeerde diagnoses. Want hoe bedenk je als arts nu dat iemand wellicht een acute blindedarmontsteking heeft, als het ding er volgens iemands EPD al drie jaar uit is?

Een recente studie wees uit dat 15% van de slachtoffers van dergelijke medische fraude later een verkeerde diagnose kreeg, 12% kreeg een verkeerde behandeling, bij 14% werd de juiste behandeling te laat ingezet, en 11% kreeg verkeerde medicijnen voorgeschreven. Mensen staan foutief te boek als drugsverslaafd, krijgen penicilline voorgeschreven terwijl ze er allergisch voor zijn (‘De vorige keer kreeg u dit toch ook!’), of krijgen ineens een geschiedenis van potentieel kindermishandelaar op hun conto geschreven.

Omdat Amerikaanse zorgverzekeringen vaak maar een beperkte dekking hebben, levert deze fraude de slachtoffers ook financieel een fikse schadepost op. Bij elkaar hebben de twee miljoen bedrogenen ongeveer 12 miljard dollar moeten ophoesten voor medische hulp en behandelingen die zijzelf niet hebben gekregen, maar die niettemin wel op hun naam staan geregistreerd.

De meest pijnlijke ontdekking van het onderzoek is dat ruim de helft van deze fraude wordt uitgevoerd door bekenden. Vrienden of familie van het slachtoffer gaan op diens gejatte pasje naar het ziekenhuis en geven zich daar voor hem uit. Een truc die, anders dan hier, meestal werkt omdat Amerikanen in nood eerder naar de Eerste Hulp gaan dan naar een huisarts. En op de Eerste Hulp kent niemand je.

Ontdekken de gedupeerden de fraude, dan blijken ze vaak huiverig om aangifte te doen. Je eigen broer of buurvrouw geef je immers niet zomaar aan. Meestal verandert dat pas wanneer de vals uitgevaardigde rekeningen flink gepeperd raken.

De motieven voor deze fraude? Soms willen mensen niet met hun hebben en houwen in een medisch dossier belanden. Denk aan geslachtsziektes, en aan alcohol- en drugsverslaafden. Zo’n aantekening in je papieren kan je nog lang achtervolgen, en dus wil je ook met gerelateerde klachten niet komen aanzetten. Daar kan ik me een boel bij voorstellen, zeker nu onze persoonlijke gegevens overal opduiken en ons soms hinderlijk achtervolgen.

Maar meestal wordt de fraude geboren uit geldgebrek. Miljoenen hardwerkende Amerikanen hebben geen enkele zorgverzekering, want die is onbetaalbaar voor ze; wie wel verzekerd is, heeft vaak een beperkte dekking. Uit die ellende komt, zo leren we nu, medische fraude en identiteitsdiefstal voort.

Er is veel, heel veel, te zeggen voor een verplichte basisverzekering voor iedereen. Al was het maar omdat die mensen tegen zichzelf en tegen elkaar beschermt.

Architecten in opstand

Vorige week was er een vergadering in Uruguay waar men de toekomst van internet besprak. De deelnemende organisaties – ICANN, IANA, IETF, IAB, W3C, ISOC, de RIRs – zullen de gemiddelde burger weinig zeggen, maar het zijn deze instanties die internet op de been houden. Ze beheren de architectuur van internet, ze geven IP-adressen uit, ze definiëren protocollen.

Zij zorgen ervoor dat systemen op elkaar aansluiten, dat vele kleine netwerkjes samen het grote internet kunnen vormen, en dat computers van overal op de wereld elkaar kunnen vinden. Door hun werk weet uw browser waar hij moet wezen wanneer u iets in de adresbalk typt, en weet uw mailprogramma waar het leuke mailtje voor uw tante naartoe moet.

Door de ontstaansgeschiedenis van internet waren veel van deze organisaties aanvankelijk Amerikaans. Al werd het lidmaatschap ervan geïnternationaliseerd, toch bleven veel van deze instanties op de een of andere manier onder Amerikaanse verantwoordelijkheid vallen. Maar internet was is al een paar decennia geen Amerikaanse aangelegenheid meer.

Een poging om de architecten onder de VN te laten vallen, werd gelukkig afgeslagen: dat zou hun taak te makkelijk tot speelbal van de politiek maken. (Daarnaast staat de VN bepaald niet bekend om haar voortvarendheid.) Terwijl werd gezocht naar een gepaste internationale structuur, accepteerden de architecten dat Amerika tijdelijk de toezichthouder bleef.

Tot in Montevideo.

Daar zeiden ze de VS de wacht aan. Ze willen nú onder het Amerikaans toezicht uit, en pleiten voor een organisatie waarin alle belanghebbenden een gelijkwaardige rol kunnen spelen.

De reden? De ongelimiteerde surveillance door Amerika. ICANN verklaarde na afloop dat de VS met haar aftappraktijken het vertrouwen in internet heeft opgeblazen. Tussen de regels door lees je een harder verwijt: de VS kun je het toezicht op de architectuur van internet niet meer toevertrouwen; bij hen is het recht op vrije toegang tot internet en de bewaking van de open architectuur van internet niet veilig.

Kort daarna had Fadi Chehadi, de voorzitter van ICANN, een ontmoeting met de Braziliaanse president Roussef, en verzocht haar om een actieve rol in het proces van de internationalisering van het internetbeheer te nemen. Pikant detail: Roussef heeft zich de afgelopen maanden fel tegen de NSA-praktijken gekeerd. Met goede reden, overigens: ook zij bleek door de NSA te zijn afgeluisterd, evenals een Braziliaanse oliemaatschappij.

Hoe het nu verder moet, weet niemand. Maar een ding is duidelijk: de architecten van het internet hebben zich van de VS afgekeerd en zoeken nieuwe bondgenoten. Ze wensen geen politiek toezicht; ze wensen een convenant dat hun raamwerk vastlegt, dat vrijheid van informatie en vrijheid van meningsuiting garandeert, en dat overheidsbemoeienis minimaliseert.

Dat krijg je ervan, wanneer je als overheid internet misbruikt.

Knoop

In de Watergraafsmeer staat de Amsterdam Internet Exchange, een verdeelcentrum voor het internet. Zelf genereert het geen verkeer: ze hosten geen websites en verzorgen geen e-mail

AMS-IX is een gigantische verkeersagent die miljoenen datapakketjes de weg wijst: jij gaat naar links, jij naar rechts, jij rechtdoor. Per seconde verwerkt het centrum tot wel 2,5 terabit; per dag 16 petabyte – getallen waarbij je je eigenlijk niets meer kunt voorstellen. In rangordes spreken is wellicht duidelijker: AMS-IX is het grootste internetverdeelpunt van Europa, en het op een na grootste ter wereld.

AMS-IX wil een divisie in Amerika beginnen. Tot voor kort zou zo’n plan met gejuich zijn onthaald, maar na de afluister- en tapschandalen die Edward Snowden de afgelopen maanden heeft onthuld, lag de zaak anders. De Amerikaanse geheime diensten graaien waar ze kunnen; zou Nederland de gegevens van zijn eigen burgers zo niet op een presenteerblaadje aanbieden?

De zaak ligt gecompliceerder: afluisteren op dat niveau kan niet zomaar. Bij individuele mensen of bedrijven kun je een tap instellen, maar op het exchange-niveau komt de data in brokstukken voorbij, en bovendien niet sequentieel. Je kunt zulke data niet zomaar ‘uitlezen’, temeer daar de brokjes wellicht via meerdere Internet Exchanges naar hun eindbestemming worden gestuurd. Datapakketjes op internet leggen immers geen vaste routes af. De Exchanges dienen er juist om continue en razendsnel de op dat moment kortste weg te berekenen.

Maar probleemloos is een Amerikaanse dependance van AMS-IX ook weer niet. Elk internetbedrijf dat een Amerikaanse poot heeft, is automatisch onderhevig aan de Patriot Act en de Foreign Intelligence and Surveillance Act (FISA). Precies die twee wetten heeft de VS de laatste jaren op grote schaal misbruikt, onder meer door bij bedrijven zoals Google en Facebook de installatie van allerlei achterdeurtjes te eisen. De NSA bleek burgers en buitenlanders te tappen op een schaal en met een tempo dat we eerder voor onmogelijk hadden gehouden.

Vandaar dat de leden van de AMS-IX vorige week moesten stemmen over deze uitbreiding. Bijna driekwart van de leden zijn buitenlandse bedrijven: van Microsoft en Google tot Deutsche Telekom, Telefonica en Korea Telecom. De rest is van origine Nederlands: KPN, XS4all, Zggo, UPC, Leaseweb, Surfnet. Het spande erom: het voorstel werd met 120 stemmen voor, 104 tegen (waaronder, naar verluidt, KPN, Ziggo, XS4all en Surfnet) en 14 onthoudingen aangenomen.

Wat mij bijzonder interesseert – maar AMS-IX weigert helaas daarover mededelingen te doen – is of dit verzet voornamelijk van niet-Amerikaanse bedrijven kwam. Voor Amerikanen maakt het immers niks meer uit: die zijn al op grote schaal gecompromitteerd.

Maar zonde dat AMS-IX geen vuist wilde maken. Waarom niet tegen de VS gezegd: we komen graag, maar jullie moeten eerst iets aan die beroerde wetten van jullie doen?

Kapot

Nu is het officieel: de NSA, de Amerikaanse geheime dienst, heeft elke vorm van vertrouwelijke communicatie kapot gemaakt. De nieuwe serie documenten die Edward Snowden vorige week aan The Guardian en The New York Times heeft prijsgegeven, toont aan dat de NSA een kostbaar en al tien jaar lopend project heeft, Bullrun, dat erop is gericht om encryptie te breken of te ontzeilen.

Bullrun is, in de ogen van de NSA en haar Britse evenknie GCHQ, een groot succes. (De Britten schepten er intern zelfs enorm over op.) Grote delen van het versleutelde internetverkeer kunnen beide diensten inmiddels met gemak ontcijferen: haast niets is nog veilig voor ze.

Ze zijn daar vooral in geslaagd door bedrijven die cryptodiensten leveren, te koeioneren. Die hebben, vaak na grote druk van de NSA, geheime achterdeurtjes en zwakheden in hun software ingebouwd. Daardoor zijn bestanden die op zich goed zijn versleuteld, door de NSA alsnog makkelijk te ontcijferen. Sommige bedrijven hebben bijvoorbeeld stiekem ‘master keys’ ingevoerd. Alle sloten die gebruikers van zulke software zelf op hun bestanden hebben aangebracht, zijn met die cryptoloper eenvoudig ongedaan te maken.

Voorts heeft de NSA in allerlei veiligheidsprotocollen diverse regels doorgedrukt die zwakheden introduceerden. Vele veiligheidsexperts vermoedden al langer dat zoiets gaande was, maar door Snowdens klokkenluiderij liggen er nu documenten op tafel die zulks onomstotelijk bewijzen.

De impact is enorm: geen enkele communicatie, geen enkel bestand kunnen we nu nog als ‘beveiligd’ aanmerken. Voor wie die achterdeur eenmaal kent – en voor al wie die achterdeur zelf ontdekt – ligt alles open en bloot.

De versleuteling die we gebruiken wanneer we via internet banktransacties uitvoeren. De encryptie op alle medische en financiële bestanden. De beveiligde communicatie tussen huisartsen en ziekenhuizen. De versleutelde communicatie van alle diplomatieke korpsen. De beveiligde communicatie van regeringen, hun kabinetsleden en presidenten. De gecrypte toekomststrategie, nieuwe projecten en geheime onderhandelingen van zowat elk bedrijf.

Snowdens eerdere onthullingen toonden aan dat de NSA en het GCHQ samen zowat al het internetverkeer kunnen onderscheppen en opslaan. Sinds vorige week weten we dat beide diensten inmiddels ook vrijwel al het versleutelde verkeer kunnen ontcijferen.

Amerika blijkt alles te kunnen afluisteren, en doet dat metterdaad – ook buitenlands verkeer. Niets is nog heilig: geen persoon, geen bedrijf, geen transactie, geen cloud, geen overheid.

Snowdens onthullingen laten zien dat privacy een cruciaal mechanisme is, een onontbeerlijk politiek recht dat het individu overstijgt. Wanneer de persoonlijke sfeer van burgers niet langer wordt erkend en beschermd, blijken ook bedrijven en overheden hun recht op discretie en op autonomie en passant verloren te zijn.

Betalen zonder moeite

Komende week introduceren drie Nederlandse banken iets nieuws: betalen met je mobieltje. Hou je telefoon in de buurt van een betaalapparaat, en het verschuldigde bedrag wordt automatisch van je rekening afgeboekt. Je mobieltje hoeft niet eens aan te staan: de techniek werkt ook in de uit-stand.

De banken roemen de nieuwe technologie als ‘handig en snel’. Kassahandelingen worden vlotter afgehandeld: je hoeft geen pincode in te toetsen, en de kassa hoeft niet te wachten op een bevestiging van de bank dat je code klopt. De consument hoeft geen pinkaart meer bij zich te steken: zijn mobieltje wordt een wettig betaalmiddel.

De nieuwe techniek – die eerst in Leiden wordt geïntroduceerd, de rest van Nederland volgt later – heet NFC: Near Field Communication. Het komt erop neer dat we binnenkort overal met onze mobieltjes kunnen chipknippen. Per dag kun je tot een maximum van 50 euro contactloos pinnen; boven die limiet moet je alsnog een code intoetsen om de transactie te bevestigen.

Is dat nu echt handig? Het akelige is juist dat contactloos betaalverkeer buitengewoon ondoorgrondelijk is.

Wie garandeert ons dat zo’n contactloze kassa niet meer gegevens uitleest dan alleen het rekeningnummer? Mobiele telefoons dragen een schat aan informatie in zich: van FaceBook-contacten en belgegevens tot adresboeken, e-mails en bezochte websites. De gemiddelde supermarktketen zou een moord doen om daar de hand op te kunnen leggen. Wanneer ik mijn pasje in een pinautomaat stop, weet ik tenminste zeker dat daar alleen opstaat wat mijn rekeningnummer is, en verder niks.

Dat je transacties niet meer expliciet hoeft te bevestigen, heeft voor de klant vooral nadelen. Hoe voorkom je bijvoorbeeld dubbelbetalingen? Zo heeft mijn OV-chip op ondoorgrondelijke wijze reizen afgeschreven waarvoor ik keurig een papieren kaartje had gekocht, en waarbij ik mijn OV-chip bij het passeren van de poortjes angstvallig verborgen hield. Niks mee te maken, vond de OV-chip: die oordeelde zelfstandig dat-ie zich dicht genoeg bij een kaartlezer bevond om mij alsnog in te checken. (Een onhebbelijkheid die het ding overigens vooral vertoont bij het inchecken; vergeet je uit te checken, dan speelt diezelfde afstand hem – en mij – ineens wél parten.)

NFC is daarnaast akelig makkelijk te hacken. Zelfs op een paar meter afstand blijkt de communicatie tussen kassa en mobieltje ongemerkt te kunnen worden onderschept. Dat betekent dat slimme kwaadwillenden elke dag opnieuw vrolijk 50 euro van je rekening kunnen afschrijven.

Waarom zou je zo’n techniek in hemelsnaam introduceren – nota bene in het betaalverkeer – lang voordat er afdoende beveiliging voor is verzonnen?

Daarbij: straatroof neemt toe. Het Parool meldde dit weekend dat het daarbij in 45% van de gevallen gaat om het jatten van smart phones. Wil je dan heus een techniek introduceren die een premie van 50 euro per dag zet op het stelen van mobieltjes?

Update, 28 augustus:
Daags na publicatie van mijn column ontving ik een mailje van “mobiel betalen in Leiden’. De PR-mevrouw schreef: “In het Parool las ik je column over Mobiel betalen. Uiteraard staat het je vrij om daar kritisch over te schrijven. Echter, ik las ook enkele onjuistheden of onterechte veronderstellingen in je bericht. Daarom zou ik je graag willen uitnodigen voor onze persintroductie morgen in Leiden (zie informatie onder), zodat je enerzijds de goede informatie ontvangt en anderzijds zelf kunt ervaren hoe mobiel betalen werkt.”

Fijn dat ik van ‘Mobiel betalen’ kritisch over hun product mag schrijven, wat een opluchting is dat! Maar wel vreemd dat ze me vertellen dat er onjuistheden in mijn stukje staan, zonder erbij te te vertellen welke dan: wil ik weten wat ik mis heb, dan moet ik naar Leiden afreizen. Raar vak toch, PR.

Update, 30 augustus 2013:
Plotseling is de limiet voor contactloos betalen zonder code blijkens de website van ‘Mobiel betalen in Leiden’ verlaagd tot 25 euro; tot en met dinsdag was die limiet nog 50 euro.

Verdacht

Het grootscheeps afluisteren van burgers door de NSA en andere geheime diensten blijkt door wetgeving te worden geschraagd. Tot op zekere hoogte is dat geruststellend. Hoe onthutsend ons gebrek aan privacy ook is: de inlichtingendiensten verleggen niet op eigen houtje hun wettelijke grenzen. Ze voeren slechts eerder vastgesteld beleid uit.

Maar pas door de documenten die Edward Snowden heeft gelekt, wordt duidelijk wat dat beleid de facto inhoudt. Pas nu gaat ons dagen hoe makkelijk iemand als ‘verdachte’ wordt aangemerkt. Pas nu wordt duidelijk dat, teneinde eventuele ‘verdachten’ uit de massa te filteren, wij allen – verdacht of niet – permanent in de gaten worden gehouden.

Onder de huidige terrorismewetgeving hebben westerse overheden feitelijk carte blanche gekregen. Hun bevoegdheden zijn opgerekt, onze rechten zijn geminimaliseerd.

De geruststelling van onze over-en-weerse regeringen is altijd dat de inlichtingendiensten heus stevig wordt gecontroleerd. Uit een van Snowdens recent gelekte documenten bleek echter dat alleen al het Washingtonse filiaal van de NSA in het afgelopen jaar liefst 2700 keer in de fout was gegaan: bevoegdheden waren overtreden, papierwerk was niet in orde, de verkeerde mensen waren gevolgd.

Wettelijk is de NSA verplicht het Amerikaanse parlement inzage te geven in zulke evaluaties. Dat deden ze niet. Erger, ze logen erover. Eerst beweerden ze dat ze nooit iemands privacy hadden geschonden zonder wettelijke grondslag; later gaven ze toe dat ze dat soms wel hadden gedaan, maar dat zulke fouten ‘incidenteel’ waren. (Maar hoe incidenteel zijn zulke fouten wanneer één filiaal er al bijna drieduizend per jaar maakt?) Op de vraag waarom ze de – bij wet verordonneerde – evaluaties nooit bij het parlement waren ingeleverd, had de NSA überhaupt geen antwoord.

Terwijl de inlichtingendiensten hun eigen falen en fouten trachtten te verbergen – en daarmee zelf de wet schenden op grond waarvan ze kunnen opereren – blijven onze overheden sussend hun mantra fluisteren: ‘Wie niets te verbergen heeft, is niet verdacht.’ Ik zou gráág willen dat onze overheden die uitspraak eerst & vooral op zichzelf en hun eigen diensten toepassen…

Maar het omgekeerde gebeurt. Westerse overheden slaan inmiddels totaal op hol wanneer iemand hen onwelgevallige feiten opdiept. Inmiddels worden terrorismewetgeving en daarmee verbonden afluisterpraktijken losgelaten op journalisten die kritisch nieuws verspreiden. In de VS, maar ook in Nederland, worden journalisten die nieuws van klokkenluiders verspreidden, geregeld van overheidswege afgeluisterd.

Afgelopen weekend werd David Miranda op doorreis van Berlijn naar Brazilië in Engeland opgepakt. Zijn laptop en mobieltje werden in beslag genomen. Hij werd negen uur ondervraagd, op verdenking van terrorisme.

De reden? Miranda is de vriend van Glenn Greenwald, de journalist die het materiaal van klokkenluider Edward Snowden had prijsgegeven.

Achtervolgd door prullenbak en wc

Eind vorig jaar hoorden we voor het eerst over etalagepoppen die het winkelend publiek observeren. De zogeheten EyeSee paspoppen zijn uitgerust met camera’s – die, heel slim, in de poppenogen zijn verborgen – en beschikken over gezichtsherkenning. Winkelketens die de poppen gebruiken, kunnen op die manier ongemerkt hun potentiële klanten volgen en hun gedrag analyseren. Welke routes lopen mensen door de winkel, waar blijven klanten het langste hangen, komen dezelfde klanten vaker terug, hoe vaak komt een klant in de winkel voordat hij of zij iets koopt.

Dat voelt eigenlijk al betrekkelijk akelig. Maar dat het nog stukken onsmakelijker kan, bewees een bedrijf in Londen. In het centrum van die stad worden mensen sinds kort heimelijk gevolgd door de prullenbakken die her en der op straat staan.

Het bedrijf Renew plaatste kort voor de Olympische Spelen van 2012 honderd afvalbakken in het centrum, en rustte die uit met digitale advertentieschermen. Via een internetconnectie konden de advertenties snel worden ververst of aangepast, en konden adverteerders zodoende handig inspelen op de sportuitslagen.

Deze zomer heeft Renew twaalf van deze afvalbakken, allemaal gepositioneerd langs een drukke winkelstraat, opgewaardeerd. Het bedrijf voorzag ze van software die via wifi contact probeert te maken met de mobiele telefoons van de mensen die voorbij lopen. De afvalbakken lazen het unieke nummer uit dat elke mobiele telefoon (het MAC-adres) en bewaarden dat. Op die manier volgden de afvalbakken de route, het wandeltempo en het patroon van de voorbijgangers: bij welke etalages stopten ze, in welke winkels gingen ze naar binnen.

Het idee erachter was dat je iemand die blijkens deze gegevens geregeld bij een filiaal van Starbucks naar binnen ging, op de prullenbakken op zijn of haar route voortaan een advertentie van een concurrerende koffietent in de maag kon splitsen, of dat je trouwe Mark & Spencer bezoekers per afvalbak kon trakteren op reclame voor de t-shirts die die dag bij het warenhuis in de aanbieding waren.

Waar het op neerkomt, is dat de prullenbak een cookie maakte voor elke passant. Waar het ook op neerkomt: je wordt op straat stiekem achtervolgd door publieke afvalbakken.

Renew wist van de prins geen kwaad. Hoezo was dit een privacyissue? Iedereen kon die data die ze zo inzamelden, toch vervolgens bij het bedrijf kopen? (Alsof het feit dat er een prijskaartje aan die data wordt gehangen, uitvlakt dat het een privacyschending was van alle passanten met een mobiele telefoon op zak.)

Renew heeft verdergaande plannen. Ze willen het systeem op meerdere plaatsen in winkels en horeca introduceren: bij de ingang, bij de kassa’s en bij de wc’s. Op die manier kunnen ze bepalen hoe lang mensen in een winkel of uitspanning verblijven, en dat koppelen aan hoeveel ze uitgeven (de kassa) en hun sekse (via de tracker op de wc).

Oh, brave new world.

Update: Inmiddels overweegt de Britse overheid deze prullenbakken te verbieden.

Registratie

Wilt u een pornoblaadje inkijken of een seksvideootje huren? Dan moet u zich eerst laten registeren. Tenminste: zo wil de Britse regering het voortaan regelen voor online porno. Op elk internetaccount komt standaard een filter dat alle porno blokkeert; wie alsnog porno op z’n computer of z’n mobieltje wil kunnen zien, moet zich bij zijn provider aanmelden.

Een vreemd onderscheid: voor consumptie van digitale porno moet je je eerst registreren, voor video’s of tijdschriften hoeft dat niet. En mág de overheid burgers wel verplichten zich eerst te registeren voordat ze materiaal kunnen inzien dat niet verboden is? En wat zijn de risico’s van een dergelijke database? (Ik wil wedden dat iedereen die daarin is opgenomen, binnen de kortste keren chantabel wordt, en door de politie voortaan makkelijker als verdachte wordt gezien, uitsluitend op grond van diezelfde registratie.)

Hoe wil de Britse overheid porno eigenlijk definiëren? Mag bloot wel, maar komen afbeeldingen met seksuele handelingen niet door het filter? Is een licht expliciete liefdesscène toegestaan? Komen sommige speelfilms ook onder het filter te vallen?

Hoe de Britten de censuur willen vormgeven, is onduidelijk? Mogelijk denken ze aan lijsten van te blokkeren websites, waarbij elke provider die lijst weg filtert voor alle niet-geregistreerde abonnees.

Dergelijke lijsten worden voor kinderporno al langere tijd bijgehouden, maar dat is een bewezen krakkemikkige aanpak. De bewuste sites veranderen om de haverklap van naam en van IP-adres, en veel sites die worden geblokkeerd, voldoen uiteindelijk niet aan de criteria om ze te censureren. Wanneer het bijhouden van zo’n relatief kleine hoeveelheid en verhoudingsgewijs goed te definiëren sites al een hoofdpijndossier is, lijkt het evident dat een veel breder algemeen pornofilter een lachertje wordt.

Het alternatief is om elk plaatje dat door een gebruiker wordt opgevraagd, te analyseren voordat het daadwerkelijk wordt afgeleverd. Dat vergt een vergaande controle: iedereen die heeft aangegeven géén porno te willen zien, onderwerpt zichzelf dan noodgedwongen aan deep packet inspection, waarbij de inhoud van werkelijk al zijn digitale communicatie minutieus wordt gecontroleerd. Ik vraag me af wat instanties die over burgerrechten en privacy gaan, van zo’n aanpak vinden.

Premier Cameron verpakt zijn pakket maatregelen met bezorgdheid over de jeugd. Internet – en porno – leert de bloem der natie verkeerde dingen over seks, en daar moet een eind aan komen.

Als ik Cameron een tip mag geven: misbruik is fout, maar is allang verboden. Om die notie te handhaven, hebben we geen censuur nodig. Wie jongeren (en volwassenen) wil uitrusten om weerbaar te zijn en betere keuzes te maken rondom seks, moet zorgen voor vrijheid, voorlichting, keuzes, en hulp voor wanneer het alsnog fout is gegaan.

Met censuur schiet je niks op. Met hameren op onschendbare vrijheden wél.

Update, 23 juli 2013:
De EFF legt de regering Cameron vriendeijk uit waarom fitering niet werkt: Why theUK’s filtering by fiat won’t work, and won’t help.

Maatregelen

Het begint te dagen hoe omvattend we in de gaten worden gehouden zonder dat daar enige verdenking, laat staan een rechterlijk bevel, aan te pas komt. Het is de bedoeling dat al die informatie netjes bij elkaar wordt geschraapt, maar de praktijk wijst uit dat de overheid geregeld haar bevoegdheden te buiten gaat en haar wettelijke plichten vaak negeert.

Politiediensten vragen bij bedrijven routineus data over ons op waartoe ze geen toegang horen te hebben; gescande kentekens worden langer bewaard dan is toegestaan; procedures waarin is vastgelegd wie onder welke omstandigheden toegang tot dataverzamelingen hebben, worden slordig nageleefd; dataverzamelingen worden slecht beheerd, en soms onveilig opgeslagen. In de wet vastgelegde evaluaties worden niet geleverd. Voorts is de Wet Inlichtingen- en Veiligheidsdiensten sinds 2002 al een paar keer aangepast, omdat de opsporingsdiensten die wet geregeld bleken te overtreden – wat het parlement steevast beloonde, door de formele bevoegdheden dan maar aan de illegale praktijk aan te passen.

Hoeveel nut die datagekte heeft? Daarover tasten we in het duister. De overheid beweert dat al dat volgen, vergaren en controleren cruciaal is voor onze veiligheid, doch onderbouwt die stelling zelden. Openheid geven over deze methodes zou mensen met foute bedoelingen immers op ideeën kunnen brengen. Een flauw argument: alsof criminelen en terroristen niet allang weten dat telefoons kunnen worden getapt, de locatie van mobieltjes kan worden gepeild, mails kunnen worden onderschept en geld kan worden gevolgd.

Indien niemand weet wat de overheid nu precies tapt en opvraagt, noch hoe zij gegevens kruist en verwerkt, valt er geen enkele uitspraak te doen over het nut van dat al. Helpt het ons inderdaad, dat wij onze privacy kennelijk allemaal moeten hebben opgeven? Vang je daar nou écht boeven mee, die je anders niet zou hebben gevangen?

Ik wil voorstellen dat het Openbaar Ministerie voortaan bij elke strafzaak de rechtbank inzage geeft in de gebruikte gegevensstromen. Welke data zijn verzameld, waar en bij wie zijn ze opgevraagd, op grond van welke wetten? Hoe vaak moest daar een gerechtelijk bevel aan te pas komen, wanneer is gebruik gemaakt van ‘vrijelijk’ verzamelde data?

De rechtbanken houden op hun beurt vervolgens statistieken bij over de datarecherche. Hoe vaak vinden zij de opgevraagde of verzamelde data relevant voor de beschuldiging, hoe vaak levert zulke data hooguit ondersteunend bewijs op, hoe vaak onmisbaar bewijs? Pas dan kunnen we de effectiviteit van al dat jagen op data enigszins beoordelen.

Zo’n traject, waarin rechters zich over oorsprong en belang van de aangevoerde data moeten buigen, legt extra beslag op de rechtbanken. Maar als de overheid zelf nalaat verantwoording af te leggen, is dit de enige oplossing. Geen datarecherche zonder datarechter!

PS:
Zit je middenin het grootste afluisterschandaal van de afgelopen eeuw, en merk je tot je eigen ontsteltenis – terwijl werkelijk ál je haren steil overeind staan van alle pijnlijke onthullingen en de politieke implicaties daarvan – dat het je werkelijk niet lukt daar gepast scherp over te schrijven.
Wat ik ook zeg over de affaire: alles pakt voor mijn gevoel flauw en obligaat uit. Alsof ik een verplicht nummer afwerk. Want al wekenlang zit mijn hoofd elders. Terwijl ik liefst wil vertellen hoe onzeglijk groot de invloed van de afluisterstaat op ons private leven is, zit ik tussentijds gevangen in mijn eigen persoonlijke besognes.

Veiligheid

Mateloze dataverzamelingen aanleggen over alles wat wij burgers doen – waar we lopen, hoe en wanneer we reizen, met wie we bellen, mailen of chatten – gebeurt uitsluitend voor onze eigen veiligheid, zo verzekert de overheid ons. Dat opsporingsdiensten tegenwoordig zonder tussenkomst van de rechter inmiddels bij bedrijven, banken en verzekeraars zowat alle soorten gegevens over ons mogen opvragen, zelfs al rust er geen enkele verdenking op ons, is ook al voor onze veiligheid.

Onze veiligheid neemt niet toe wanneer wij allemaal structureel door de overheid worden bespioneerd. Zelfs de meest fijnmazige bespionering van het hele volk kan niet verhinderen dat een enkele fanaat iets dramatisch doet.

Intussen worden miljoenen mensen die werkelijk nergens van worden verdacht, massaal in de gaten gehouden. Dat is een enorme verspilling van menskracht, en vooral: van aandacht. Bijna iedereen die ooit een grote aanslag heeft gepleegd, stond al eerder op de radar van de opsporingsdiensten, maar niemand had tijd om die signalen op te volgen. We zijn zo druk bezig om hooibergen aan te leggen en te ordenen, dat niemand tijd overheeft om iets te doen met mogelijke naalden. Bovendien weten we eigenlijk niet goed hoe zoiets eruit ziet: een naald.

Ja nee, kan wel zijn, maar láter, later zal het wel werken, is het argument: ooit zullen onze algoritmes zo goed zijn dat geoormerkte verdachten vanzelf uit de eindeloze datastroom komen rollen. Maar eerst hebben we meer informatie over alle burgers nodig! Pas dan zullen afwijkende patronen zichtbaar kunnen worden.

Die redenering houdt in dat we onze privacy niet opgeven in ruil voor bewezen grotere veiligheid, maar in het kader van wat een bar slecht georganiseerde zoektocht naar artificiële intelligentie blijkt te zijn.

Onderwijl houdt de overheid alle vragen naar efficiëntie en werking van haar spionage hardnekkig af. “Hoeveel aanslagen hebben we met deze burgersurveillance kunnen voorkomen?” “Veel.” “Vertel eens wat meer? “Dat kan niet, met het oog op de nationale veiligheid.” “Maar wat doet u precies met onze gegevens?” “Dat kunnen we niet zeggen, met het oog op de nationale veiligheid.” “Hoe gaat u om met onze gegevens? Hoe bewerkt u die, en hoe komt u precies tot verdenkingen?” “Dat kunnen we niet zeggen. Met het oog op de nationale veiligheid, ziet u.”

Nationale veiligheid blijkt een geweldige stoplap. Met een beroep daarop kun je alles verzamelen, alles rechtvaardigen, ja zelfs privacy tot obstakel verklaren, en jezelf als overheid onderwijl aan elke toetsing en uitleg onttrekken, ja zelfs het parlement tekst en uitleg weigeren. Zelfs als blijkt dat maatregelen die uitsluitend werden toegestaan in het kader van terrorismebestrijding, tegenwoordig hoofdzakelijk worden ingezet om verkeersboetes te innen of mensen met een belastingachterstand op te sporen.