Tag: Recht

Over burgerrechten, over de grondwet en over rechtspraak.

Maatregelen

Het begint te dagen hoe omvattend we in de gaten worden gehouden zonder dat daar enige verdenking, laat staan een rechterlijk bevel, aan te pas komt. Het is de bedoeling dat al die informatie netjes bij elkaar wordt geschraapt, maar de praktijk wijst uit dat de overheid geregeld haar bevoegdheden te buiten gaat en haar wettelijke plichten vaak negeert.

Politiediensten vragen bij bedrijven routineus data over ons op waartoe ze geen toegang horen te hebben; gescande kentekens worden langer bewaard dan is toegestaan; procedures waarin is vastgelegd wie onder welke omstandigheden toegang tot dataverzamelingen hebben, worden slordig nageleefd; dataverzamelingen worden slecht beheerd, en soms onveilig opgeslagen. In de wet vastgelegde evaluaties worden niet geleverd. Voorts is de Wet Inlichtingen- en Veiligheidsdiensten sinds 2002 al een paar keer aangepast, omdat de opsporingsdiensten die wet geregeld bleken te overtreden – wat het parlement steevast beloonde, door de formele bevoegdheden dan maar aan de illegale praktijk aan te passen.

Hoeveel nut die datagekte heeft? Daarover tasten we in het duister. De overheid beweert dat al dat volgen, vergaren en controleren cruciaal is voor onze veiligheid, doch onderbouwt die stelling zelden. Openheid geven over deze methodes zou mensen met foute bedoelingen immers op ideeën kunnen brengen. Een flauw argument: alsof criminelen en terroristen niet allang weten dat telefoons kunnen worden getapt, de locatie van mobieltjes kan worden gepeild, mails kunnen worden onderschept en geld kan worden gevolgd.

Indien niemand weet wat de overheid nu precies tapt en opvraagt, noch hoe zij gegevens kruist en verwerkt, valt er geen enkele uitspraak te doen over het nut van dat al. Helpt het ons inderdaad, dat wij onze privacy kennelijk allemaal moeten hebben opgeven? Vang je daar nou écht boeven mee, die je anders niet zou hebben gevangen?

Ik wil voorstellen dat het Openbaar Ministerie voortaan bij elke strafzaak de rechtbank inzage geeft in de gebruikte gegevensstromen. Welke data zijn verzameld, waar en bij wie zijn ze opgevraagd, op grond van welke wetten? Hoe vaak moest daar een gerechtelijk bevel aan te pas komen, wanneer is gebruik gemaakt van ‘vrijelijk’ verzamelde data?

De rechtbanken houden op hun beurt vervolgens statistieken bij over de datarecherche. Hoe vaak vinden zij de opgevraagde of verzamelde data relevant voor de beschuldiging, hoe vaak levert zulke data hooguit ondersteunend bewijs op, hoe vaak onmisbaar bewijs? Pas dan kunnen we de effectiviteit van al dat jagen op data enigszins beoordelen.

Zo’n traject, waarin rechters zich over oorsprong en belang van de aangevoerde data moeten buigen, legt extra beslag op de rechtbanken. Maar als de overheid zelf nalaat verantwoording af te leggen, is dit de enige oplossing. Geen datarecherche zonder datarechter!
 

PS:
Zit je middenin het grootste afluisterschandaal van de afgelopen eeuw, en merk je tot je eigen ontsteltenis – terwijl werkelijk ál je haren steil overeind staan van alle pijnlijke onthullingen en de politieke implicaties daarvan – dat het je werkelijk niet lukt daar gepast scherp over te schrijven.
Wat ik ook zeg over de affaire: alles pakt voor mijn gevoel flauw en obligaat uit. Alsof ik een verplicht nummer afwerk. Want al wekenlang zit mijn hoofd elders. Terwijl ik liefst wil vertellen hoe onzeglijk groot de invloed van de afluisterstaat op ons private leven is, zit ik tussentijds gevangen in mijn eigen persoonlijke besognes.

Veiligheid

Mateloze dataverzamelingen aanleggen over alles wat wij burgers doen – waar we lopen, hoe en wanneer we reizen, met wie we bellen, mailen of chatten – gebeurt uitsluitend voor onze eigen veiligheid, zo verzekert de overheid ons. Dat opsporingsdiensten tegenwoordig zonder tussenkomst van de rechter inmiddels bij bedrijven, banken en verzekeraars zowat alle soorten gegevens over ons mogen opvragen, zelfs al rust er geen enkele verdenking op ons, is ook al voor onze veiligheid.

Onze veiligheid neemt niet toe wanneer wij allemaal structureel door de overheid worden bespioneerd. Zelfs de meest fijnmazige bespionering van het hele volk kan niet verhinderen dat een enkele fanaat iets dramatisch doet.

Intussen worden miljoenen mensen die werkelijk nergens van worden verdacht, massaal in de gaten gehouden. Dat is een enorme verspilling van menskracht, en vooral: van aandacht. Bijna iedereen die ooit een grote aanslag heeft gepleegd, stond al eerder op de radar van de opsporingsdiensten, maar niemand had tijd om die signalen op te volgen. We zijn zo druk bezig om hooibergen aan te leggen en te ordenen, dat niemand tijd overheeft om iets te doen met mogelijke naalden. Bovendien weten we eigenlijk niet goed hoe zoiets eruit ziet: een naald.

Ja nee, kan wel zijn, maar láter, later zal het wel werken, is het argument: ooit zullen onze algoritmes zo goed zijn dat geoormerkte verdachten vanzelf uit de eindeloze datastroom komen rollen. Maar eerst hebben we meer informatie over alle burgers nodig! Pas dan zullen afwijkende patronen zichtbaar kunnen worden.

Die redenering houdt in dat we onze privacy niet opgeven in ruil voor bewezen grotere veiligheid, maar in het kader van wat een bar slecht georganiseerde zoektocht naar artificiële intelligentie blijkt te zijn.

Onderwijl houdt de overheid alle vragen naar efficiëntie en werking van haar spionage hardnekkig af. “Hoeveel aanslagen hebben we met deze burgersurveillance kunnen voorkomen?” “Veel.” “Vertel eens wat meer? “Dat kan niet, met het oog op de nationale veiligheid.” “Maar wat doet u precies met onze gegevens?” “Dat kunnen we niet zeggen, met het oog op de nationale veiligheid.” “Hoe gaat u om met onze gegevens? Hoe bewerkt u die, en hoe komt u precies tot verdenkingen?” “Dat kunnen we niet zeggen. Met het oog op de nationale veiligheid, ziet u.”

Nationale veiligheid blijkt een geweldige stoplap. Met een beroep daarop kun je alles verzamelen, alles rechtvaardigen, ja zelfs privacy tot obstakel verklaren, en jezelf als overheid onderwijl aan elke toetsing en uitleg onttrekken, ja zelfs het parlement tekst en uitleg weigeren. Zelfs als blijkt dat maatregelen die uitsluitend werden toegestaan in het kader van terrorismebestrijding, tegenwoordig hoofdzakelijk worden ingezet om verkeersboetes te innen of mensen met een belastingachterstand op te sporen.

Scientology & huurmoordenaars

[Published n response to an English blog about Scientology.]

First. let me introduce myself. I’m Karin Spaink, a Dutch author and columnist, and I‘ve been sued by Scientology for no less than ten years on charges of copyright infringement, after I published excerpts of the OT-levels on my website. The courts kept ruling that I had legal grounds to quote; Scientology kept appealing each verdict. When the Dutch Supreme Court was about to rule in my favour, Scientology suddenly dropped the case. Ever since, it’s legal in the Netherlands to quote from Scientology’s purported ‘unpublished’ higher-level material, as long as the public interest is at stake.

My ten years of legal battles with Scientology have turned me into a bit of an expert of the cult. I’ve read a lot, studying both Scientology’s ‘official’ history, and stories from defectors and escapees. I’ve spoken with high-ranking church officials – such as Warren McShane, who at the time was heading RTC, one of the highest bodies within the organisation, and who is sometimes referred to as “David Miscavige’s top enforcer and crime boss” and with high-ranking church exits, from Jon Atack and Otto Roos (who used to be LRH’s private auditor), to Jenna Miscavige Hill.

***

In July 2007, a friend mailed me that an investigate news magazine article about a particularly violent group within the Dutch criminal scene, mentioned that murder-for-hire suspects Jesse Remmers and Peter la Serpe – both apparently involved in a number of highly publicized murders – were Scientology members. I made a blog post about it, quoting the article. Neither the Scientology reference in the original article, nor my blog post (a summary of which I also posted on the newsgroup alt.religion.scientology] received any attention from the press or from cult critics. I was OK with that – after all, there was only the *suggestion* that Jesse Remmers and/or Peter la Serpe possibly were, or had been, members of the cult.

The trial against the criminal group in question started in 2010. The court case – which dealt with at least seven murders, and was known by the moniker ‘De Passage moorden’ – took place in a highly secured bunker. There were unprecedented judicial efforts involved to bring the case to trial: the DoJ had invested a huge amount of time, and had accepted – a novelty, under Dutch law – a main suspect, Peter la Serpe, to act as its crown witness. La Serpe was going to testify against his former buddies; amongst them, Jesse Remmers. No mention was made of either Remmers or La Serpe’s possible ties with Scientology.

In October 2010, I was contacted by Remmers’ lawyer. She was eager to figure out whether Remmers had indeed been a member of the cult, and likewise, whether La Serpe had been. At her request, I witnessed the trial for three days, sitting in while Remmers and La Serpe were being interrogated, and even, at times, vehemently argued with one another.

Afterwards, I wrote a twelve-page report – extensive footnotes and all – for Remmers’ lawyer. I concluded that it was obvious that Remmers was a long-time member of Scientology, and that La Serpe had been a member for at least a good few years (but had meanwhile probably dropped out).

***

My arguments were threefold.

One: public sources. Records of the Dutch Chamber of Commerce, who also lists the membership of foundations, undisputedly state that Jesse Remmers had been on the board of the Dutch branch of Criminon, a Scientology front group. Also, in published interviews that Remmers and La Serpe have conducted with Dutch newspapers and magazines, both refer regularly to Scientology – something that non-members don’t tend to do.

Two: my own intimate knowledge of Scientology. An outsider might believe that a non-Scientology member could head one of the cult’s front groups, or that a front group might have rather ‘loose’ ties to the cult. Critics know that all Scientology front groups are strictly governed by the church, and that one needs to be a member in good standing within the church to become a board member of any of those. Together with Narconon and the CCRH (Citizens Commission on Human Rights), Criminon is one of Scientology’s best-known front groups. From August 2004 till December 2005, Jesse Remmers was the official “presiding director” of Criminon NL.

Three: language. Scientology uses an inordinate amount of highly specific jargon, and excels in phrases that are devoid of any meaning to non-members. When La Serpe talks about “clearing of overts” in an interview with Dutch newspaper De Telegraaf (September 23, 2007), it definitely rats him out as a Scientologist. In his interrogations during the trial, Remmers kept talking about ‘the tech’ and his ‘code of ethics’; he insisted that he had studied ‘the science’ and often spoke about ‘auditing’; all of which is Scientology shorthand. He even refers to Rule 22 of the Auditors Code, which prohibited from publicly acknowledging that La Serpe had confessed to him, in a private auditing session, that La Serpe had killed a prostitute.

***

Does La Serpe’s and Remmers’ established membership of Scientology have any bearings on their case? Would that knowledge have influenced the trial, and possibly have changed it, or would it have mitigated their sentences? Or, perhaps, could the membership of two self-proclaimed killers-for-rent, shed new light on the inner workings of the church, and prove that its inner teachings are inherently evil?

Some people have suggested that Scientology’s lesser-known ‘R2-45 policy’ refers to the option to “eliminate church enemies with the use of a Colt semi-automatic pistol (with .45 calibre ammunition”, and cite Remmers and La Serpe as possible adherents to this rather extreme policy.

Sorry – that won’t wash. La Serpe and Remmers admittedly killed quite a number of people, but not because they were Scientology critics. They killed them because they were hired to do so, or when they felt personally threatened, or when they panicked and didn’t know what else to do.

I dislike Scientology with a vengeance, but please don’t wash away these murders by pointing at your favourite target of criticism and shifting the blame on the cult. Scientology didn’t hire these guys to kill, Scientology didn’t order these murders, and nothing in Scientology’s (admittedly often villainous) policies would ever accommodate for the acceptance of, far less for the motivation for, such killings.

But their membership of the cult does indeed matter – in another way. It explains why Remmers, who had audited La Serpe a number of times, and thus got to hear about one of his earlier kills (the prostitute), never said a word about that to the authorities, not even while that same story – according to Remmers – showed that, years later, it wasn’t him who started shooting in a hangar, but La Serpe.

The judges wondered why Remmers brought up that story only now, while they were in court. Remmers’ answer was accurate, but unintelligible to anybody who is not versed in Scientology-speak. To summarize: “I had audited him. We had cleared his overt [which, earlier, had ‘caused’ La Serpe to kill the prostitute]. Years later, we were in a hangar, in a threatening situation. Suddenly, La Serpe reverted – he acted on his old overt, and started shooting. I couldn’t tell you [the court] about that shooting, because as his auditor, I understood why he did it, but I couldn’t talk about it with outsiders without breaking my ethics code as an auditor. Anything I would have said about La Serpe’s erratic behaviour in the hangar, would have brought up the prostitute, and what I learned by auditing La Serpe. So I kept mum.”

The court discarded Jesse Remmers’ explanation. I truly believe that, if they had known more about Scientology and its rules and methods, they would have taken Remmers’ testimony in a different vein. Which might have resulted in a lesser sentence for Remmers: on January 29, 2013, Remmers got convicted to life, mostly for the shoot-out in the hangar, which Remmers claims that not he, but La Serpe initiated.

***

Mostly, it’s rather interesting – hey, how’s that for an understatement? – to see how a cult that says that it is bent on eradicating crime and other ‘unsocial’ behaviour, has had its we-oppose-crime-so-aren’t-we-wonderful front group spearheaded by somebody who was by then already a known suspect for multiple murders.

You can’t blame Scientology for what Jesse Remmers and Peter la Serpe did, nor can their membership of the cult ‘explain away’ the murderous behaviour of these two. But you can wonder why a self-proclaimed, purportedly world-sanitizing religion would think that it’s OK to have convicted felons and known murder suspects act as its semi-public face.
Basically, that might go to prove that Scientology is currently so low on personnel, that they will accept anybody who shows up on their premises as an exemplary member who can tout their ideology. They are even happy with suspected killers.

[My report for Jesse Remmers’ lawyer is available on request. Send a mail to Karin Spaink, and I’ll send you a copy. Mind you, it’s in Dutch, and I have no intention to translate it…]

Duimen voor Ahmedinejad II

Mijn column van afgelopen week kwam me op veel kritiek te staan. Wat gaf het nou dat de VS en Israël via een computervirus de oorlog hadden verklaard aan Iran? Je mag gerust via Stuxnet proberen om Iraanse kerncentrales op afstand onklaar te maken. Tegen een dictator zijn immers alle middelen geoorloofd?

Ook jegens een dictator heb je je als overheid aan internationale regels te houden. Anders verklaar je de diplomatie au fond tot luxeartikel: als iets dat je alleen inzet zolang het je uitkomt en het jouw doelen dient. Wanneer wij menen dat we ons jegens onze vijanden alles mogen veroorloven en daarbij oorlogsrecht mogen schenden, hebben wijzelf geen poot meer over om op te staan wanneer onze tegenstanders vinden dat zij op hun beurt ons óók alles mogen flikken. Wie zichzelf eenmaal heeft verlaagd, verliest voortaan elk moreel argument.

Dat is één.

Wie zichzelf eenmaal zo heeft verlaagd, nodigt zijn vijanden voorts uit om vergelijkbare middelen in te zetten. Dat afgelopen week bekend werd dat computerchips bedoeld voor militaire doeleinden, door Amerikaanse bedrijven in China besteld, mogelijk een achterdeurtje hebben die de producent in staat stelt om de boel op afstand over te nemen, is buitengewoon pijnlijk maar past naadloos in dit vuige, ongecontroleerde oorlogsmodel. Aangezien de VS deze tactiek zelf hebben geïnitieerd, hebben ze nu elk recht verkwanseld om boos te worden op de Chinezen. Immers: wij zijn ermee begonnen.

Dat is twee.

Wil een computervirus effectief zijn, dan moet het zich geniepig aan elke detectie onttrekken en – wanneer het alsnog herkend wordt – zich terdege teweerstellen tegen pogingen het in te dammen. Dat is precies wat er bij Stuxnet gebeurde. Terwijl het virus exclusief gericht was op de Iraanse opwerkingsfabriek in Natanz, verloren de virusmakers binnen de kortste keren de controle over hun schepping. Vanuit Washington bekeken ze met afgrijzen hoe Stuxnet kerncentrale na kerncentrale besmette. Ze ontdekten dat ze Pandora’s doos hadden opengemaakt.

Dat is drie.

Hoe haal je het in je hoofd om een virus te maken dat nota bene kerncentrales ontregelt? Hoe pervers moet je zijn om een milieuramp te durven riskeren terwijl je een illegale oorlogsdaad orkestreert?

Dat is vier.

Dat onze overheden zulke dramatische, riskante, volstrekt onberekenbare en immorele middelen inzet zonder enig publiek debat – dat is vijf. De crux van een democratie is immers dat je als burger iets kan zeggen over wat jouw overheid doet.

Duimen voor Ahmadinejad

In juni 2011 werd Stuxnet ontdekt, een virus dat zich twee jaar eerder in de besturingssystemen van Iraanse kernreactors had genesteld en daar de boel platlegde. Vanwege de omvang en complexiteit ervan constateerden westerse onderzoekers eendrachtig dat Stuxnet door een overheid ontwikkeld moest zijn.

De verdenking viel op Israël en Amerika, beiden immers gebrand op de stopzetting van het Iraanse kernwapenprogramma. Inmiddels zijn diverse documenten opgedoken die bevestigen dat Stuxnet vrijwel zeker door die twee landen op Iran is losgelaten.

Wat moet je daar nu van vinden? Het westen grossiert al jarenlang in conferenties over het risico van computerterrorisme en -oorlogsvoering, en dan blijkt ineens dat wijzelf op dat vlak de grootste agressor zijn. Je zou haast denken dat die vergaderingen vooral dienden om het gewone volk te rijpen voor de gedachte dat de rest allang cyberoorlogje speelt en dat onze aanvallen daarom ‘eigenlijk’ slechts een vorm van verdediging zijn.

Het nieuwe van cyberwarfare is niet dat-ie via computers wordt uitgevoerd; dat doen we immers al sinds de Golfoorlog. Het waarlijk moderne eraan is dat Israël en de VS tegenwoordig kennelijk oorlogen beginnen zonder dat daar enige parlementaire beslissing aan te pas komt. De bevolking wordt zelfs geheel onkundig gehouden dat haar overheid systematisch aanvallen uitvoert op vreemd grondgebied.

Dat maakt deze tactiek verderfelijk: een handjevol mensen beslist in het diepste geheim dat ze elders effies een stel kerncentrales gaan platleggen, of wellicht dit keer het lokale betalingssysteem. Niemand die daar ooit rekenschap voor hoeft af te leggen: de uitvoerders van deze oorlogshandelingen doen publiekelijk of hun neus bloedt. ‘Stuxnet, wij? Welnee! Dat waren vast hackers.’

Wat mij betreft klaagt Ahmadinejad Israël en de VS subiet aan bij het Internationale Strafhof, en dan duim ik van ganser harte dat hij wint.

Wijzelf moeten intussen als de sodemieter debatten over cyberwarfare eisen, zowel nationaal als internationaal. Sinds wanneer kunnen onze overheden achter onze rug om een oorlog beginnen? Waarom breken onze overheden alle beginselen van het internationaal recht? Lokken zulke achterbakse aanvallen niet juist een tegenreactie uit?

Gisteren werd de ontdekking van een nieuw, extreem slim virus bekendgemaakt. Flamer blijkt al twee jaar actief te zijn in Iran, Libanon en de VAE, en legde onlangs zes van Irans grootste olieterminals plat. Flamer diept overal uit de besmette systemen informatie op, en stuurt die ontraceerbaar naar huis. De makers? Vrijwel zeker Israël en de VS.

Een glibberig pad

[Speech bij de uitreiking van de Big Brother Awards op 7 maart 2012. Dit was de achtste en laatste keer dat ik voorzitter van de jury was.]

Staatssecretaris Fred Teeven zei deze week blij te zijn dat het ministerie van Veiligheid en Justitie geleid wordt door twee VVD’ers. Dat vergroot hun slagkracht. Ivo Opstelten en hij ‘hebben hetzelfde doel, dus we maken sneller stappen naar voren.’ Opstelten en Teeven vinden beiden dat het ‘in sommige gevallen’ mogelijk moet zijn om rechtstatelijke principes te doorbreken. Zo meent Teeven bijvoorbeeld dat het doorbreken van het medisch geheim ‘bij zware delicten verdedigbaar is.’

Veelplegers

De geschiedenis van de Big Brother Awards, de prijs voor de grootste privacyschenders van Nederland, leert dat het daar nooit bij blijft. Is een inbreuk op de grondrechten van burgers eenmaal bij wet geregeld – heus, alleen voor dit speciale, zeer ernstige geval, waar nood wet breekt! – dan klinkt korte tijd later steevast de roep om bredere toepassing van de uitzondering.

De naaktscanner zou uitsluitend in het internationale vliegverkeer worden ingezet; om terrorisme te bestrijden moest dat toch mogelijk zijn. Tegenwoordig experimenteren de politiekorpsen van de grote steden met mobiele naaktscanners die overal op straat kunnen worden gebruikt. Huiscontroles voor uitkeringsgerechtigden waren alleen toegestaan indien er sterke aanwijzingen waren dat iemand de boel bedonderde. Nu vindt de overheid dat iedereen met een uitkering gerelateerd aan gezinssamenstelling – denk aan bijstand, AOW of kinderbijslag – tot zulke huiscontroles moet worden verplicht. Ook wanneer er geen enkele verdenking van misbruik is.

Grondrechten doorbreken is kennelijk hoogst verslavend. Wie er eenmaal aan begint, eindigt makkelijk als veelpleger.

Jungle

In datzelfde interview sprak de staatssecretaris zijn intense afkeuring uit over liegende politieagenten. We moeten ervan op aan kunnen dat hun verklaringen kloppen, zei Teeven. ‘Anders komen we in een jungle terecht.’

Om diezelfde reden dient juist de politie zich keurig aan de wet te houden. Wie de wet moet handhaven, mag er zelf nooit de hand mee lichten. Maar ook dit jaar zijn de politiekorpsen helaas weer genomineerd omdat ze de wet niet naleefden of die zelfs actief schonden. Ook de politie mag niet hacken, ook de politie moet de privacywetgeving respecteren.

Was Teeven daarop maar even alert als op liegen, maar helaas. Vorig jaar zagen we dat diverse politiekorpsen tegen alle regels in gescande nummerplaten veel te lang opsloegen; dit jaar zagen we een voorstel van het kabinet om de wet dan maar op te rekken, zodat die illegale praktijk voortaan wordt gelegitimeerd. Ook heeft de regering in december 2011 een grensbewakingssysteem ingevoerd, waarbij elke passerende auto van alle kanten wordt gefotografeerd en daarna met allerlei databases wordt vergeleken. Dat druist in tegen alle Europese verdragen. Buurland Duitsland is dan ook woedend.

Vandaag werd een akelig staaltje wetsschending bekend. Het kabinet heeft in de afgelopen weken de inkomensgegevens van bijna alle huurders doorgegeven aan hun huisbazen; in totaal gaat het om miljoenen huishoudens. Op grond van de Wet bescherming persoonsgegevens, had de Belastingdienst de betrokken burgers daarover eerst moeten inlichten. Wat veel erger is: een wet die bepaalt dat de verhuurders inzage kunnen krijgen in de inkomsten van hun clientèle, bestaat nog helemaal niet. Pas vandaag is het wetsontwerp over het zg. ‘scheefhuren’ in de Tweede Kamer behandeld. En als die akkoord is, moet het voorstel nog langs de Senaat.

Zwerfvuil

De jury maakt zich voorts flink zorgen over de grote hoeveelheid datalekken die het afgelopen jaar aan het licht zijn gekomen. Iedereen – van overheid tot bedrijfsleven – legt inmiddels enorme gegevensverzamelingen aan. Aangezien elke dataverzamelaar om het hardst roept dat zulke gegevens onmisbaar zijn voor hun bedrijfsvoering, of voor de veiligheid in het land, zou je verwachten dat die datasets goed worden beschermd.

Dat blijkt zelden het geval. Wie met wat verstand van zaken in een webserver prikt, rollen alras de bestanden in de schoot. Medewerkers zetten directories of bestanden open, verliezen cd’s met belangrijke bestanden of sturen lange lijsten vol vertrouwelijke gegevens naar een verkeerd adres. Creditcards, verzekeringsgegevens, adressen, bankrekeningen, geboortedata, paspoortnummers, telefoonnummers – er ligt meer op straat dan ons lief is. En dit is bepaald geen zwerfvuil.

Datalekken maken burgers kwetsbaar. Ze schenden ons vertrouwen in de overheid en in het bedrijfsleven: als je andermans gegevens opeist en opslaat, heb je daar verduveld zuinig op te zijn. Bovendien zorgen zulke datalekken dat identiteitsdiefstal een peuleschil wordt.
Om die reden ben ik voorstander van een fikse boete op datalekken. Pas dan wordt databescherming voor bedrijven en instanties een kwestie van eigenbelang.

Ja, natuurlijk leidt een beter databeleid tot hogere kosten voor de bedrijfsvoering. Maar nu wordt de prijs van slechte databeveiliging en gebrekkige naleving van de privacyregels eenzijdig afgewenteld op de burgers.

In de wolken

Computergegevens buitenshuis bewaren is modern. Opslag in the cloud kost haast niks en maakt dat al je apparaten in een oogwenk synchroon lopen. Nooit meer je adresboek van computer naar mobieltje kopiëren, nooit meer piekeren met welk apparaat je die nieuwe afspraak ook alweer in je agenda had gezet, op welke machine de meest recente versie staat van dat stuk waaraan je werkt.

Hoewel ik de verleiding snap – alles uitbesteed, geen omkijken naar, synchronisatie ingebouwd en backups voor een kleine meerprijs inbegrepen – ben ik er wars van. Je geeft alle zeggenschap ermee uit handen.

Wanneer zo’n dienst met een storing kampt of je internetverbinding plat ligt, kun je subiet nergens meer bij. Doe mij maar lokale bestanden en zelfbeheer, temeer daar dat – tegen de kleine prijs van verstandig synchroniseren en dagelijks backuppen – een fundamentele bescherming oplevert die elders niet is te krijgen.

Tegenwoordig horen we dagelijks over databases die onbedoeld open staan, over bestanden die eenvoudig door buitenstaanders te raadplegen, te kopiëren en te wissen zijn. Zou dat ons niet voorzichtiger moeten maken om onze privégegevens – inclusief onze contacten en ons werk – ergens in the cloud te plempen?

We hebben geen idee meer waar onze privédata allemaal belandt. Het merendeel van de cloudservers staat in de Verenigde Staten. Soms ook is het cloudbedrijf Amerikaans maar staan hun servers elders, meestal zonder dat duidelijk is waar.

De verantwoordelijkheid voor en bescherming van die gegevens is zodoende een ratjetoe: een lappendeken met overal juridische gaten. Wie moet je aanspreken als er iets is? Welk recht geldt voor welke gegevens, en voor welke opslaglocaties? De Amerikaanse overheid kan tegenwoordig van alles over Nederlandse burgers opvragen, verwerken en opslaan zonder dat onze eigen wetten daaraan te pas komen. Zodra je gegevens op Amerikaanse servers staan, geldt immers Amerikaans recht.

Overheden maken inmiddels behendig gebruik van elkaars juridische zwakheden om lokaal hun burgerrechten te omzeilen. Of ze hollen nationale grondrechten uit, pruilend dat de gewenste inbreuk elders wél is toegestaan. Zou de VS zich via een sluipweg toegang verschaffen tot de banktransacties van alle Nederlanders, dan zou Nederland niet protesteren over die botte buitenlandse schending van de rechten van haar burgers. Nederland zou zeggen dat die optie hier helaas ontbrak en dat de noodzaak ervan nu terdege was aangetoond. Daarna werd de inbreuk ook hier tot recht verklaard.

Gegevensbeheer is internationaal geworden. Grondrechten daarmee ook.

Verlies

Harry Onderwater hield zich als een van de eerste rechercheurs bezig met hackers toen die zich in Nederland roerden. Hij was verdomd goed in dat werk. Onderwater snapte die jongens; deels omdat-ie zelf eigenlijk ook een hacker was, maar vooral omdat hij met ze in gesprek ging. Hij had accounts bij allerlei bulletinboards waar hackers rondhingen, zoals Utopia en HackTic, en mengde zich permanent in hun onderlinge conversaties.

Hij was geen man van de repressie, trok geen scherpe lijnen van goed en fout waarachter hij zich verschanste. Om sommige dingen die de hackers deden, moest-ie eigenlijk wel lachen, en op andere momenten corrigeerde hij ze publiekelijk. Hij waarschuwde geregeld dat ze ook elkaar onderling in de gaten moesten houden: de strapatsen van een enkeling zouden immers gevolgen hebben voor alle anderen. Hij leerde ze de waarde van zelfregulering.

Op het eerste grote hackersfestival dat XS4all organiseerde – XS4all was zelf kort daarvoor van een hackersclub een keurige internet provider geworden – werd hij uitgenodigd als spreker; hij zou een lezing houden over hackers en de wet. Harry’s baas vond dat geen goed idee: op zo’n festijn zou vast ook wel iets illegaals gebeuren, daar kon hij als rechercheur toch moeilijk bij aanwezig zijn?

Onderwater bleef nuchter: ‘Wie zo stom is om daar onder mijn neus iets illegaals te doen, arresteer ik gewoon. Dat is toch mijn vak?’

Onderwater verloor nooit het onderscheid tussen onbesuisdheid en moedwil uit het oog. Zelfs met de paar hackers die hij uiteindelijk oppakte, behield hij daardoor een goede verstandhouding. ‘Ja jongen, ik kan niet anders, dat snap je ook wel. Je bent nu te ver gegaan.’ Als er strenge straffen werden geëist, was-ie vervolgens de eerste om publiekelijk te zeggen dat je als rechtstaat ook overdrijven kon.

Zijn bazen snapten zijn aanpak niet altijd. De heersende mening was dat hackers minstens tegen het criminele aanhingen, dan wel diep erin zaten. Onderwater dacht daar het zijne van: hij wist hoe belazerd slecht de netwerken van universiteiten en bedrijven vaak beveiligd waren, en hoe overtrokken hun claims van de opgelopen schade. En tussendoor probeerde hij ‘zijn’ jongens op het rechte pad te houden, wat goed lukte.

Harry Onderwater was een schilderachtig figuur. (Op Bureau Warmoesstraat doen nog steeds verhalen de ronde over die grote man in zijn paars gespoten Dafje.) Vorige week overleed hij plotseling. Hij zal niet alleen door hackers worden gemist.
 

Update, 26 januari 2012: De familie heeft een condoloanceregister geopend voor Harry. U kunt het hier vinden en er een persoonlijke boodschap achterlaten.

BobCatsss

Today, I had the honour of delivering the keynote lecture at BobCatsss, an annual nternational conference on information management. The conference’s main venue is the beautiful KIT, our national colonial museum.

My lecture was titled ‘Privacy is the cornerstone of personal safety’; it’s about counterterrorism surveillance, general data collection, the lack of data hygiene and medical hacks. You can download the slides here (PDF, 1.4 MB).

Big Brother Awards

Binnenkort worden de Big Brother Awards weer uitgereikt, de prijzen voor de grootste privacyschenders in Nederland. Als vanouds kan iedereen bedrijven, overheidsinstanties en personen voordragen die voor deze poedelprijs in aanmerking komen. Een deskundige jury stelt aan de hand van alle inzendingen per categorie een top-drie van genomineerden vast. Wie de onfortuinlijke winnaars zijn, wordt op 7 maart 2012 tijdens een feestelijk evenement bekend gemaakt. Tevens wordt er via een internetstemming een publieksprijs toegekend.

Heb je een nominatie? Die kun je hier indienen: bedrijvenoverheidsinstantiespersonen. Wees specifiek en motiveer je toelichting zo goed mogelijk! Een nominatie als ‘De overheid, want die suckt’ zal het niet heel ver schoppen…

Wil je eerst meer weten over eerdere winnaars? Dat kan. Het uitgebreide juryrapport van de BBA 2010 staat hier (pdf). Of bekijk de uitslagen en foto-impressies van de eerdere Big Brother Awards uitreikingen: 2010, 2009, 2007, 2005, 2004, 2003 of 2002.

De jury bestaat dit jaar uit:

  • Antoinette Hertsenberg, eindredacteur en presentator van het consumentenprogramma Radar. Zij werd in 2009 door Villamedia uitgeroepen tot journalist van het jaar.
  • Nico van Eijk, hoogleraar Informatierecht, voorzitter van de Vereniging voor Media- en Communicatierecht (VMC), en lid van de Raad van Toezicht van de Nederlandse Publieke Omroep (NPO).
  • Typhoon aka Glenn de Randamie (rapper). Hij won in 2004 De Grote Prijs, de meest begeerde talentenprijs van Nederland, en houdt zich ook in zijn werk vaak bezig met privacy.
  • Edo Roos Lindgreen, partner bij KPMG en mede-oprichter van het Amsterdam Platform for Privacy Research).
  • Karin Spaink, schrijfster en columnist; voorzitter van de jury.

Dit is de achtste en laatste keer dat ik jury-voorzitter ben. Dus maak er iets moois van en lever allemaal een prachtige nominatie in!