Gijzeling – geen oorlog

BoekomslagHet is oorlog, maar niemand die het ziet, waarin Huib Modderkolk aantoont hoe inlichtingen- en geheime diensten in een digitale strijd zijn verwikkeld en ondertussen zowat alles en iedereen hacken, is een subliem boek. Hij laat gedetailleerd zien hoe spionage en sabotage verweven zijn geraakt. De enige kanttekening die ik heb, is dat hij steevast de oorlogsmetafoor inzet in zijn poging om de hele zwik voor de leek begrijpelijk te maken.

Begrippen als koude oorlog, wapenwedloop, escalatie en afschrikking, aanval en verdediging klinken vertrouwd, en lijken een nuttig kader te bieden. Maar ze ontnemen ons het zicht op wat dit moderne wapengekletter zo radicaal anders maakt, en laat ons de verkeerde ‘oplossingen’ suggereren. Naar aanleiding van de documentaire Zero Days (2016), die liet zien dat geheime diensten vet betalen voor exploits om andermens’ systemen te kunnen binnendringen en manipuleren, werd geopperd dat een non-proliferatieverdrag voor beveiligingslekken een oplossing kon zijn. Heus: wie dat voorstelt, begrijpt niets van het probleem.

Niet alleen overheden of hun steelse subdivisies kunnen essentiële infrastructuur hacken. Ook een vasthoudende puber ergens op een zolderkamertje kan KPN platleggen, zoals Modderkolk aantoont. Non-proliferatie is gebaseerd op bovenstatelijke controles, op internationaal recht en dito verdragen, op sancties, op traceerbare goederen, op voor de buitenwereld zichtbare proeven, op identificeerbare fabrieken en installaties. Dat alles ontbreekt te enen male bij digitale spionage en sabotage.

Staten doen er op dit vlak niet meer toe, evenmin als hun klassieke tegenstrevers: politieke cellen, guerrilla of terrorisme. Iedereen kan zich, met enige kennis en volharding, een bereik verwerven waarop staten meenden een monopolie te hebben. De situatie is veel grilliger: we kampen nu ook met mensen die voor de lol een bedrijf of land willen platleggen.

Geheime diensten zoeken naar zero day exploits, beveiligingslekken die nog niet bekend zijn, en dus niet gedicht; die hopen ze te kunnen gebruiken om tegenstanders te hacken. Het grote probleem: zodra zo’n dienst een veiligheidslek vindt, heeft die er geen enkel belang meer bij dat het lek wordt gerepareerd. Dit in de volle wetenschap dat ditzelfde lek ook door anderen kan worden uitgebuit, en dan haar eigen burgers, bedrijven en instellingen kan treffen. Met publieke gelden en onder het motto dat zij het landsbelang verdedigen, cultiveren onze veiligheidsdiensten zodoende, o ironie, de kwetsbaarheid van onze eigen burgers en instellingen.

Zo had de Amerikaanse NSA voor eigen gebruik een aardige collectie van zero day exploits verzameld. De NSA werd gehackt, de exploits belandden op straat, Rusland ging ermee aan de haal en zette die in de Oekraïne in, waar het ME.Docs-virus het land platlegde en zelfs doden maakte (Modderkolk beschrijft de kwestie).

De conclusie die Modderkolk niet trekt, is deze: elke geheime dienst die een exploit geheimhoudt, zet daarmee de veiligheid van haar eigen burgers moedwillig op het spel.

Eer, geweten en moord

Daar zit je dan. In de rechtszaal – niet als belangstellende, maar als gedaagde. De officier van justitie houdt zijn openingsbetoog, waarin hij de zaak tactvol uiteenzet en de strafeis bekend maakt. Je hebt naar eer en geweten gehandeld, betoogt de vertegenwoordiger van het Openbaar Ministerie, en hij laat een betekenisvolle stilte vallen. Dan meldt hij de formele beschuldiging tegen je: moord.

Die paradox – iemand die je zojuist nog hebt geroemd vanwege haar gewetensvolle afweging en haar keurige wijze van handelen, plompverloren van moord betichten – is de crux. Het is de parallelle paradox van wat de wet eist: dat volledig wilsbekwame mensen die, alles overziend, vaststellen dat ze euthanasie willen als ze later wilsonbekwaam zijn geworden, met hun kapotte wil hun oude besluit bekrachtigen.

Ga er maar aan staan. Het kan gewoon niet. Red je daar maar eens uit.

Deze arts, die alles heeft gedaan om volgens de regels der kunst te handelen – ze heeft zich terdege vergewist van de wilsverklaring van de vrouw, van haar dossier, van haar eerdere motieven en overwegingen, van haar actuele gedrag en haar gemoed; ze heeft familie, deskundigen en SCEN-artsen geraadpleegd, en iedereen kwam tot dezelfde conclusie – is verstrikt geraakt in de mazen van de wet. Net zoals zoveel mensen die vertrouwden op hun wilsverklaring nu vastzitten in die mazen: hun vastgelegde wens kan niet worden gehonoreerd omdat hun wil kwijt is, en ze niet meer bij machte zijn hun zo stellige besluit te bevestigen.

Als het al moord is, valt die niet de arts aan te rekenen, maar is er sprake van een complot. We zijn er immers allemaal schuldig aan – de wetgever niet in de laatste plaats – dat we zo hameren op wil en individu. We zijn vergeten dat elk wilsbesluit niet alleen over ‘nu’ gaat, maar ook altijd over een ‘later ik’. We zijn vergeten dat juist een ziekte die je geest en wil wegvreet, moeilijk onder een wetsbepaling geduwd kan worden die vereist dat je wilsbekwaam herhaalt dat je inmiddels wilsonbekwaam bent geworden.

Mijn moeder heeft nooit willen worden wie ze nu is. En ze is ongelukkig: ze huilt, ze dwaalt, ze mist, ze hunkert, en haast niets pleziert haar nog. Ze komt haar dagen moeizaam door. O ja, ze is bij vlagen blij, maar op de keper beschouwd is ze depressief, verdrietig, alleen en bij vlagen wanhopig. Contact maken gaat haar steeds moeilijker af, en ze verliest elke week meer van zichzelf. Ze zinkt weg in de maas van haar leven.

En hoewel ik snap dat euthanasie niet meer aan de orde is, al had ze dat eerder vurig voor zichzelf gewenst, begrijp ik ook dat de dood voor haar waarschijnlijk een verlossing zou zijn. Vooral hoop ik, vaker dan ik wil, dat ze longontsteking krijgt – de vriend van de hoogbejaarden.

Voor die arts die gisteren in de rechtbank zat, hoop ik op een wijze rechter: iemand die besluit dat deze arts in een Gordiaanse knoop zat die we met ons allen hebben gestrikt.

[Beeld: JJ Merelo, Pintura: 1488-1492 (fragment) Wikimedia Commons.]

Geen verrader, geen journalist

Julian Assange, de oprichter van WikiLeaks werd vorige week door de politie uit de Londense ambassade van Ecuador werd geplukt. Hij wordt mogelijk uitgeleverd aan de VS, waar hem een aanklacht wacht wegens aanzetten tot hacken en/ofspionage.

Vooropgesteld: het is ronduit bizar, en met geen enkel argument te verdedigen, dat Engeland een Australisch staatsburger aan de VS zou uitleveren voor iets dat de man in kwestie in een ander land heeft gedaan (WikiLeaks is niet Amerikaans, en is in zweden geregistreerd). Dat de VS meent dat Assange hun rechten, wetten, belangen of staatsveiligheid heeft geschonden, is simpelweg geen geldige reden. Zou de VS dat wel menen, dan zijn er stapels buitenlandse politici en activisten te bedenken die evenzeer – of zelfs meer – voor uitlevering aan de VS in aanmerking zouden komen.

Maar ik word wat wee van mensen die menen dat met Assanges arrestatie journalistieke vrijheden in het geding zijn. Wat Assange ook moge zijn, hij is pertinent geen journalist: hij is niets anders dan een kieskeurig, selectief, soms onzorgvuldig en vaak nuffig doorgeefluik van informatie die anderen hem hebben toegespeeld. Lijsten met Turkse burgers die in eigen land politiek actief zijn kort na een staatsgreep publiceren, is ronduit onverantwoordelijk. Wat kwalijker is, en apert ingaat tegen alle journalistieke principes: WikiLeaks heeft vaker ongeredigeerde informatie gepubliceerd die evident afkomstig was van overheden en die bedoeld was om hun lokale oppositie zwart te maken. Daarmee maakte Assange WikiLeaks willens en wetens tot een instrument in andermans nationale propagandaoorlog.

Voor mij lag het breekpunt bij de Panama Papers, de documenten die lieten zien welke ingewikkelde constructies internationale bedrijven en rijkaards gebruiken om belasting te ontwijken. Die onthulling was slechts een opzetje om Poetin aan te vallen, schreef WikiLeaks. Met zo’n uitspraak kies je partij: het ging er WikiLeaks kennelijk niet om politiek relevante informatie te publiceren, maar zochten ze informatie die een doelwit heeft dat hun aanstaat. Dan bedrijf je geen journalistiek, maar propaganda.

Dat WikiLeaks bij de Amerikaanse verkiezingen wekenlang mondjesmaat e-mails van de Democraten publiceerde – die toen, zoals anderen al hadden aangetoond, onbetwistbaar via een Russische hack waren verkregen – deed de deur dicht: WikiLeaks liet zich gebruiken om tijdens een campagne een presidentskandidaat te laten ontsporen.

Doorgeefluiken zijn belangrijk, en klokkenluiders onontbeerlijk om beerputten te openen. Maar bij klokkenluiders is de taak van een journalist niet alleen om je bron zo goed mogelijk te beschermen: je moet ook alle informatie verifiëren, de betrouwbaarheid van je bron dubbelchecken, nagaan welke belangen je bron heeft, en context verschaffen. Alle materiaal gewoon maar plempen klinkt stoer, maar is een recept voor ongelukken.

Wat de camera niet ziet

Het ene toezicht is het andere niet. Er wordt semipermanent gelet op zowat al onze publieke gedragingen: camera’s kijken of iedereen zich aan de snelheidsregels houdt, zich op straat niet agressief gedraagt, geen zakken rolt in winkels of verdacht rondhangt.

Vanmorgen las ik een reportage over de onzalige vorm die cameratoezicht in Dubai heeft aangenomen. Op straat, in taxi’s, in hotels, in winkels: iedereen wordt overal gevolgd, en die camera’s worden steeds slimmer. Ze doen aan gezichtsherkenning, ze kunnen je locatie aan elkaar doorgeven, ze kunnen al wie op een vip-lijst staat een voorkeursbehandeling geven en wie op een zwarte lijst voorkomt meteen bij de politie melden. Wie ergens op betrapt wordt krijgt subiet straf, en met mazzel word je alleen het land uitgebonjourd.

Het resultaat: Dubai oogt superveilig. Je kunt je tas op een terrasje laten liggen als je even naar het toilet bent. Maar voor minder zichtbare groepen is Dubai aanzienlijk minder veilig: voor vrouwen binnenskamers, of voor arbeidsmigranten die afhankelijk zijn van hun werkvergunning. 

Die nadruk op zichtbaar gedrag kleurt ook de publieke perceptie (en definitie) van misdaad en criminaliteit. Wat zich publiekelijk en onder het oog van buitenstaanders afspeelt, krijgt meer aandacht (en straf) dan wat moeilijk traceerbaar is. Wat openbaar gebeurt, valt meer afkeuring ten deel dan wat zich binnenskamers, in advocaatkantoren, vijfsterrenhotelsuites of chique directeurskamers voordoet. Corruptie vang je niet met een camera, omkoperij is zelden zichtbaar, witteboordencriminaliteit wordt veelal gedrapeerd in ingenieuze transacties.

Voor westerse landen geldt au fond hetzelfde. Op burgers houden we uitgebreid toezicht, maar op bedrijven, lobby’s en belangen amper. Gaat een bedrijf over de schreef, dan komt dat er over het algemeen genadig vanaf. De ING let niet op witwassen? Hier, een boete, en we hebben het er verder niet meer over. Je verkoopt tegen alle wetgeving in gebruikersdata aan schimmige bedrijven? Betaal een schijntje van je omzet ter genoegdoening, en alles is pais en vree. Illegaal dumpen? Tsja, we zijn afhankelijk van dit bedrijf, dus wat moeten we?

Wettelijk aangestelde toezichthouders zijn vaak tandeloos, of pleiten hooguit voor ‘betere registraties’ en ‘uitgebreidere meldplicht’. Maar bazen voor de rechter dagen, administraties doorspitten, btw- en dividendfraude naspeuren, belastingontwijking en -vermijding tegengaan, seriële faillissementsfraudeurs achtervolgen, zich misdragende commissarissen een bestuursverbod opleggen (laat staan, o hemeltjelief, ze tot een schadevergoeding veroordelen of ze aansprakelijk stellen) – nee, daar kunnen we echt niet aan beginnen.

Dat leidt tot twee akelige constateringen. Ten eerste: als je je misdaad maar complex genoeg maakt, ontspring je vrijwel altijd de dans, en: toezicht is voor losers. Wie meer geld en macht heeft dan de meute, kan zichzelf onzichtbaar maken.

Grondstof voor tech-giganten

Bedrijven als Google, Facebook en Amazon hebben inmiddels zoveel data over hun gebruikers verzameld en volgen die zo extensief, dat ze stuk voor stuk schatrijk zijn geworden aan de verkoop van onze persoonsgegevens en op maat gesneden advertenties. Nevenproduct: we worden zowat overal door hen gevolgd, gemonitord, gecoached en bijgestuurd – en niet alleen online. We zijn overal te volgen, we lezen wat Facebook en Twitter ons onder de neus duwen, we kiezen onze nieuwe aankopen op basis van algoritmes die bedenken wat wij interessant of handig zullen vinden. Dat fenomeen staat al enige tijd bekend als surveillance capitalism: geld vergaren door mensen in de gaten te houden.

Maar de tech-giganten hebben al doende niet alleen internet getransformeerd, doch ook onze noties van privacy, transparantie en databeheer. Hun reikwijdte strekt inmiddels ver voorbij het web. Amazon heeft een ferme greep op de hele Amerikaanse retail verkregen, en heeft al doende niet alleen monopolies verworven en hele ketens om zeep geholpen, maar vooral ook arbeidsrelaties dramatisch veranderd. Het bedrijf grossiert in piss poor jobs, waarbij werknemers onder het minimum loon werken. Protesteer je daartegen? Geen probleem, voor jou tien anderen. Wie zich niet voor een grijpstuiver uit de naad werkt, kan opzouten.

Intussen zijn we mijlenver verwijderd geraakt van het simpele ‘volgen’ van gebruikers. Zoals Evgeny Morozov vorige week in een lang essay uitlegde: ‘Wanneer tech-giganten hun bewerkte data gebruiken voor gerichte advertenties en het sturen van ons gedrag, creëren zij meerwaarde uit ons gedrag: wijzelf zijn gereduceerd tot surveillance capital.’ Ons leven is de grondstof geworden waaruit anderen hun geld munten.

Het is een trieste, tragische constatering. En al was ik zeer onder de indruk dat de Duitse mededingingsautoriteit vorige week besloot dat Facebook te machtig is geworden en hun beoogde data-integratie van Whatsapp, Instagram en Faceboook om die reden een halt moet worden toegeroepen, kan ik alleen maar denken: dat volstaat niet meer.

Want zo’n ingreep – hoe wezenlijk en dapper ook – baseert zich op een oud model: het stabiliseren van de machtsrelaties tussen consument en fabrikant. Maar dat model zijn we allang voorbij: we hebben tegenwoordig te maken met bedrijven die ons niet als consumenten zien, maar als grondstof, en die tezamen over meer kapitaal en macht beschikken dan zowat elke andere sector ter wereld. Dan is elke poging tot het beteugelen of reguleren van die macht op voorhand gedoemd: want wie is überhaupt nog sterk genoeg om tegen ze op te treden?

Het enige dat nog helpen kan, is een strijd op vele fronten. Kapitaalbelasting heffen. Belastingontwijking en -vermijding verenigd bestrijden. Vakbonden stimuleren. Het minimumloon invoeren en heilig verklaren. Transparantie eisen, en radicale privacy.

Oeps, vergeten: burgerrechten

Het Britse Prospect publiceerde vorige week een artikel over al te slimme steden, naar aanleiding van Googles plannen met een wijk in Toronto. Op circa 50.000 vierkante meter zou een slimme, data driven wijk verrijzen.

Robots voor de vuilnisophaal waren nog het eenvoudigste idee. Winkels en huizen zouden modulair zijn, en konden van dag tot dag van bestemming of functie veranderen; straatplannen werden aanpasbaar, de hele openbare ruimte zou programmeerbaar zijn, met technologie in elk hoekje, gaatje en gootje, en via oneindige datastromen en lerende algoritmes zou alles op rolletjes lopen. Google had al plannen om de wijk ‘downloadable’ te maken en naar andere gebieden te exporteren.

Tot verrassing van het gemeentebestuur en Google kwam de stad in verzet. Niet alleen had niemand ze gevraagd wat zij wilden, de plannen voorzagen sowieso niet in een menselijke stem. Hoe werd beslist wat er met de publieke ruimte gebeurde? Op welke grondslagen en met welke uitgangspunten zouden de algoritmes van de wijk worden geprogrammeerd? In wiens handen zou de onderliggende digitale architectuur zijn? Wie mocht de buurtdata uitponden? Welke zeggenschap zouden bewoners nog over hun omgeving hebben?


‘From Canada to the Philippines, from Belfast to Bangalore, national governments and civic authorities are convinced that big data can unblock their traffic jams, rationalise their energy use and fix their housing problems, not to mention their benefits systems and even their healthcare.’

Martin Moore, ‘Would you let Google run your city?’, The Prospect

In een jaar tijd viel zowat alle steun voor het plan weg. Google had, samen met het stadsbestuur, democratische eisen en burgerrechten even over het hoofd gezien.

Het artikel roept veel vragen op, niet in de laatste plaats omdat dergelijke steden ook elders in de maak zijn. In China, in Hangzhou, wordt op een ‘stadsbrein’ ingezet dat het leven van de 10 miljoen bewoners moet stroomlijnen. In de praktijk betekent het dat iedereen de hele dag door apparaten wordt gadegeslagen, vastgelegd, gecontroleerd, gecorrigeerd en gerapporteerd. Het model wordt thans naar Kuala Lumpur geëxporteerd.

Ook Singapore is een eind op streek. De stadstaat mikt op E3A: ‘connecting everything, everyone, everywhere all of the time,’ wat in de praktijk betekent dat elke burger permanent wordt gemanaged. De broer en zus van de premier zijn de stad om die reden ontvlucht.

Een stadsbestuur kun je wegstemmen, een regering kan vallen. Maar hoe ontdoe je wijken, steden, landen en levens die volledig van technologie doordesemd zijn geraakt, nog van het langzaam indalende anonieme toezicht, compleet met ontoetsbaar geworden sturing, zonder daarbij ieders leven te ontwrichten?


‘…the cost to the citizen is the freedom to go about their lives without being tracked, monitored and managed by the authorities. Dissent, already difficult in Singapore, is becoming virtually impossible. The prime minister’s own brother and sister recently left the island complaining that “we feel Big Brother omnipresent.”

Martin Moore, ‘Would you let Google run your city?’, The Prospect

Een Canadese journalist vergeleek de plannen voor de wijk in Toronto met het leven in de greep van Amazons Alexa. ‘Alexa uit vrije wil in je huis installeren is wellicht handig, maar de zaak verandert wanneer de volledige publieke sfeer en het politiek bestuur in Alexa’s handen zijn.’ De grondwet beschermt ons tegen de overheid. Maar we hebben nooit goed nagedacht hoe we ons private en politieke leven tegen bedrijven kunnen beschermen. Willen we onze burgerrechten overeind houden, dan wordt het daar allicht tijd voor.

Oplichting loont, helaas

Het was een heterdaadje geweest, schreef hij. Hij had mijn computer gehackt en had zowel opnames gemaakt van de vunzige sites die ik bekeek, als van de dingen die ik deed terwijl ik daarnaar keek. Voorts had hij al mijn contacten van mijn computer geplukt. Als ik niet binnen twee dagen 3600 dollar zou overmaken op zijn bitcoin-account, dan stuurde hij al die mensen de video in kwestie op. Ging ik op zijn eisen in: zand erover, niets aan de hand, prettig zaken te hebben gedaan.

Nu schrik ik niet snel, en bezoek ik zelden sekssites. Masturberen achter de computer doe ik ook nooit, want mijn bureau staat pal naast het raam. Bovendien is mijn webcam afgeplakt.

Waar ik wel van schrok, was de titel van de chantagemail: die bevatte een oud wachtwoord van me, voor LinkedIn. Verhip. Dus die klojo wist wel iets van me.

Ik dacht even na. De feiten klopten niet, de chanteur mailde geen bewijs voor zijn claims – zelfs geen screenshot van mijn desktop, of van mij – en het wachtwoord was oud. Wacht: was LinkedIn niet een paar jaar geleden gehackt, en daarna had ik dat wachtwoord toch veranderd? Bovendien: hoe ver komt iemand met mijn wachtwoord daar, aangezien ik overal een ander wachtwoord gebruik?

Maar ook realiseerde ik me dat je al vrij handig met computers moet zijn om te snappen dat dit een scam was. Stel dat je de filiaalmanager van een AH-filiaal bent en je kreeg zo’n mail, je keek wel ’s online naar porno en je had je webcam niet afgeplakt: hoe groot was dan de kans dat ja als de sodemieter betaalde, al was het maar voor de zekerheid?

Ik besloot de mail online te zetten, twitterde erover en lichtte wat kenners in. Al snel kreeg ik meer informatie: ja, dit was een nieuwe oplichterstruc, vorige week voor het eerst gesignaleerd; anderen hadden hem ook gekregen, allemaal met andere bedragen en andere bitcoin-rekeningen. Iemand vertelde me hoe ik het crypto-account van de onverlaat kon opzoeken.

Een vriendin mailde: zij had ook zo’n mail gekregen, en sliep er al twee dagen niet van. De politie wist haar niet te helpen. ‘Betalen of niet betalen, eh ja, nou nee, de keus is aan u. Wij weten het verder ook niet.’

Sinds dit weekend houd ik de bitcoin-accounts van twee zulke oplichters in de gaten hier nummmer een, hier nummer twee). Ze hebben inmiddels samen negen slechtoffers verzameld, die in totaal 2,24 bitcoin hebben overgemaakt. Dat is, omgerekend naar de huidige koers, liefst 15.000 dollar. [Nu, een dag later, op dinsdagavond 17 juli, is de stand elf slachtoffers en 3,25 bitcoin, oftewel 23.822 dollar.)

De les: schrik niet te snel. Neem voor elke site een ander wachtwoord, gebruik een wachtwoorden-portemonnee, versleutel belangrijke bestanden (Bits of Freedom kan je meer over computerveiligheid vertellen), en plak je webcam af zodra je ’m niet gebruikt. Plus: de politie behoeft serieuze opvoeding in digitale misdaden.

Bovenal bewijst deze oplichterij dat iedereen wel iets te verbergen heeft: voor vrienden, familie en collega’s; voor hackers, en zelfs voor de overheid. Bescherm zelf je privacy. Doe je dat niet, dan ben je helaas een makkelijke prooi.

 
Nawoord: Op 18 augustus verscheen op Krebs on Security een uitgebreid stuk over de zogeheten screencam extortion scam. Wie erachter zaten? Waarschijnlijk Russische oplichters, en daarna haakten een boel kruimeldiefjes aan.

Medicijn tegen farmaceuten

assortiment pillenDat nieuwe geneesmiddelen vaak extreem duur zijn, kun je nog goedpraten onder verwijzing naar de hoge kosten van ontwikkeling en onderzoek. Maar ook de prijs van oude, beproefde medicijnen gaat geregeld dramatisch omhoog: ze kosten dan bijvoorbeeld ineens 36 keer zoveel.

De Volkskrant publiceerde laatst een droef stemmende inventarisatie van de trucs en tactieken die de farmaceutische industrie gebruikt om prijsstijgingen door te voeren. Het actieve ingrediënt wordt iets veranderd, een bedrijf bedenkt een andere toepassing voor een allang ingeburgerd medicijn, er wordt een andere wijze van toediening verzonnen: en hopla, het patent mag worden vernieuwd en de maker heeft voor de tweede keer twintig jaar het monopolie op een pil of poeder. Het effect: meer geneesmiddelen worden gaandeweg onbetaalbaar, en de industrie legt een steeds groter beslag op de budgetten in de gezondheidszorg.

En ’t is bepaald niet zo dat de farmaceutische industrie op een houtje moet bijten. De winst in die sector is een stabiele 21 procent, en ze geven er minder uit aan onderzoek en ontwikkeling dan aan marketing.

Gelukkig wordt er tegenwoordig meer nagedacht over remedies tegen zulke monopolies. Er zijn inventieve oplossingen bedacht: zo bleek van Amfexa alleen de 5mg-variant gepatenteerd te zijn, zodat apothekers zelf rustig tabletjes van 2,5mg kunnen bereiden en artsen ineens liever 2x 2,5mg voorschrijven dan 1x 5mg.

Gisteren kwam het Commons Network met een uitgebreid plan hoe je ontwikkeling, onderzoek, data en patenten rond geneesmiddelen anders zou kunnen inrichten. Ze bepleiten dat overheden en wetgeving meer ruimte vrijmaken voor het publiek belang, onder meer door inperking van patenten, en met gerichte subsidies, in ruil voor een publiek deel in de winst. Vooral willen ze dat onderzoeksgegevens breder gedeeld kunnen worden.

Ze zullen Ben Goldacre geheid aan hun zijde vinden. Deze Britse psychiater en wetenschapsjournalist maakt zich al jarenlang druk over het gemak waarmee farmaceutische bedrijven alle onderzoeksresultaten die ze niet bevallen kunnen verdoezelen, en alleen publiceren wat in hun straatje te pas komt. Vaak is de onderzoeksopzet geheel toegesneden op het verkrijgen van het gewenste resultaat, of worden onderzoeken herhaald totdat eruit komt wat eruit moest komen. Goldacre is een groot voorstander van het verplicht publiceren van alle ‘missing data’, omdat je alleen een compleet beeld van een medicijn kunt krijgen als ook het falen van een onderzoek bekendheid krijgt. Bovendien kunnen andere onderzoekers weer van zo’n miskleun leren.

En het zou ontzettend helpen wanneer apothekers weer zelf pillen leren draaien, in plaats van hoofdzakelijk doosjes over de toonbank te schuiven. Een apotheker mag veel gepatenteerde middelen immers zelf bereiden, maar alleen voor zijn eigen patiënten. Misschien moet apotheker zijn weer een vak worden.

Het onderste uit de kan

Campagne Branderism, UK 2018Opnieuw was het raak. Trouw wist dit weekend te melden dat Shell al tien jaar lang – ja keurig met toestemming van de Belastingdienst hoor, alles picobello geregeld – de dividendbelasting ontwijkt. In totaal heeft de deal Nederland 7 miljard gekost.

Kassa voor Shell.

Waarom dan nog dat recente gehannes met de verlaging van de dividendbelasting ter waarde van 1,4 miljard per jaar, denk je dan, als argeloos burger? Welnu: waarschijnlijk omdat de EU, in het kader van de maatregelen tegen belastingparadijzen, deze absurde afspraak tussen Shell en ons aller fiscus wil verbieden. Dan moet je als grootverdiener toch íets doen om je schaapjes op het droge en je aandeelhouders tevreden te houden?

Intussen onderhandelt de overheid met Shell en Exxon over een schadeloosstelling. Beide bedrijven voelen zich immers ernstig gedupeerd omdat ze de Groningse gasvelden niet verder mogen leegzuigen, terwijl er – volgens hen – nog voor een slordige 50 tot 125 miljard euro in de bodem zit. Dus nu onderhandelen ze met minister Wiebes over een genoegdoening.

Mochten beide multinationals niet tevreden zijn met Wiebes’ voorstellen, dan kunnen ze hun beklag doen bij een ISDS-tribunaal. Via het Energy Charter Treaty – dat nota bene op voorspraak van Nederland is ontworpen – mogen bedrijven een zaak aanspannen wanneer gewijzigd overheidsbeleid hun winstverwachting nadelig beïnvloedt. Die tribunalen vonnissen overwegend in het voordeel van multinationals, ook al is daar betwist overheidsbeleid democratisch tot stand gekomen, en hun uitspraken zijn bindend: er is geen beroep mogelijk. Alleen al het dreigen met een ISDS-claim zorgt vaak dat overheden inbinden: ze verhogen ‘uit vrije wil’ hun aanbod voor een schadevergoeding, of zwakken hun beleid af.

Let wel: ISDS verleent bedrijven het recht om compensatie te eisen wanneer veranderend overheidsbeleid ervoor zorgt ze minder winst maakten dan ze berekend hadden.

Ineens zag ik de zaken die Milieudefensie tegen Shell en de Nederlandse overheid heeft aangespannen, in een ander perspectief. Milieudefensie probeert feitelijk een civiele variant op het ISDS af te dwingen, en een juridisch vehikel te vinden om het collectieve belang van burgers – luchtkwaliteit, gezondheid, klimaatbeleid, leefomgeving – te verdedigen. Als multinationals kunnen eisen dat overheden hun winstverwachting compenseren, maar burgers elk recht ontberen om zichzelf collectief te weren tegen de claims van multinationals, is elke balans kwijt.

Shell wil het onderste uit de kan: winst op al haar producten, geen belastingen betalen, compensatie krijgen bij gewijzigd beleid, verantwoordelijkheid ontwijken voor de ravage die het heeft aangericht, en dan nog een bonus on top of it all.

Die 7 miljard moet Shell maar terugbetalen. Dat is een mooi begin voor de enorme investering die nodig is om Groningse huizen aardbevingsbestendig te maken.

 
Beeld: Branderism, deel van affiche tegen Shell, Engeland

Ondermijning als verdienmodel

Beeld: Pakhuis de Zwijger, PdZ x NRCZijn telefoon bleef maar overgaan, vertelde dataspecialist Jesse Luk, nadat NRC Handelsblad een lang artikel publiceerde over zijn software om bijstandsfraude op te sporen. Drie Nederlandse gemeenten testen inmiddels of ze met het pakket van Totta Datalab de pakkans van fraudeurs kunnen vergroten.

Totta heeft zelflerende software ontwikkeld, die gevoed is met de gegevens van duizenden geregistreerde bijstandsfraudeurs. Hun datapatronen zijn in kaart gebracht, en daaruit is een algoritme gedestilleerd. Nu kan Totta’s model op basis van het verleden de huidige fraudeurs herkennen. Daarnaast kijkt de data-analyse naar uitschieters, via een zogeheten anomaliedetector: daarmee identificeren ze mensen die flink van het gemiddelde afwijken. Totta’s aanname is dat ook zij fraudeurs zijn.

Nadat Totta’s data-analyse mogelijke fraudeurs heeft aangewezen, zoeken controleurs uit of de verdenking terecht is. Dat moet ook wel: bij zulke beslissingen is de menselijke toets verplicht. Een computer mag niet zelfstandig beslissen dat iemands uitkering moet worden gestopt, noch vaststellen dat iemand een misdrijf heeft begaan.

Hoe accuraat is Totta’s analyse? Luk is opgetogen: van de honderd mogelijke fraudeurs die zijn model aanwijst, stellen controleurs nadien bij de helft metterdaad fraude vast. Maar daarbij zitten ook gevallen die de gemeenten al ontdekt hadden. De toegevoegde waarde schat Luk op 25 tot 30 procent.

Maar dat betekent ook – en dat is vrij ernstig – dat Totta in de helft van de gevallen mensen als mogelijke fraudeurs aanwijst, terwijl er na uitgebreid onderzoek niets van die beschuldiging kan worden hardgemaakt. Daarover haalt Totta de schouders op: bij de helft waarbij nader onderzoek géén fraude aantoonde, konden toch nog best fraudeurs zitten, stelt Luk. Mogelijk was het menselijke onderzoek simpelweg minder effectief dan zijn algoritmes…?

Op een bijeenkomst met Totta afgelopen week in Pakhuis de Zwijger vroeg ik door. Is het niet vreemd dat zelfs nadat menselijk onderzoek – waarbij bovendien veel meer datasets in stelling kunnen worden gebracht dan Totta mag gebruiken – Totta eerder twijfelt aan de capaciteiten en middelen van de controleurs, dan aan zijn eigen algoritmes? Is het niet een schending van burgerrechten dat mensen nu worden aangemerkt als verdachten, op basis van gegevens over andermans gedrag in het verleden? En is het geen ondermijning van rechtsstatelijke principes, wanneer een invasief onderzoek – want invasief is het per definitie, wat die controleurs doen – nu niet langer worden getriggerd door daadwerkelijke, concrete aanwijzingen, maar op grond van een theoretisch vermoeden?

Daar had Luk niet echt antwoord op. Mooi toch dat we fraude zo beter kunnen opsporen? En hun datamodel was zelflerend, dan haal je die systeemfoutjes er toch uiteindelijk vanzelf uit? Maar een fijn verdienmodel is het wel, die ondermijning van de rechtsstaat.