Ik heb niks te verbergen . nl
Europees Verdrag voor de Rechten van de Mens, artikel 8
Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

Wij moeten zelf zorgen voor onze privacy in cyberspace

Niet de overheid, niet de geheime diensten, niet de internetbedrijven, maar wij zelf vormen de grootste bedreiging van onze privacy op internet. We springen achteloos met onze gegevens om en doen geen enkele poging om informatie te versleutelen of gebruik te maken van andere mogelijkheden om privé-informatie geheim te houden voor cybercriminelen, voor internetbedrijven of onze eigen overheid. Daarnaast beschikt iedereen via bijvoorbeeld sociale media over steeds meer gegevens van anderen. En omdat de Nederlandse overheid noch de ambitie, noch de macht heeft om die privacy te beschermen, moeten we dat zoveel mogelijk zelf doen. Dat stelt ICT-jurist Kees de Vey Mestdagh van de Rijksuniversiteit Groningen.

Die eigen verantwoordelijkheid laat onverlet dat de Nederlandse overheid eindelijk eens moet legitimeren waarom het op zo'n grote schaal dataverkeer aftapt en toelaat dat buitenlandse geheime diensten en internetbedrijven dit ook doen, zegt De Vey Mestdagh. 'Die vraag is extra urgent met het oog op de recente aanbevelingen van de commissie-Dessens, die bepleit dat ongericht aftappen van al het internet- en telefoonverkeer door surveillance ook op glasvezelkabels moet worden toegestaan.'

Wantrouwen

'Op dit moment is er vrijwel geen enkel gedegen onderzoek gepubliceerd naar de omvang van de schade die al deze veiligheidsmaatregelen zouden voorkomen of van de risico's die ze zouden verkleinen. Zelfs professionele partijen zoals Symantec en McAfee maken schattingen van de schade die een factor tien verschillen. Hun ramingen lopen uiteen van 100 tot 1.000 miljard dollar per jaar. Dan weten ze het dus gewoon niet.'

De Vey Mestdagh hoopt dat inzicht in de schade en de risico's van 'cybercrime' het groeiende wantrouwen tussen burgers en overheden kan beperken. 'Nu is de wereld verdeeld in twee kampen. De ene partij, de overheden en de geheime diensten, wil cybercriminaliteit en -terrorisme bestrijden door massaal onze privacy te schenden, de andere partij, de klokkenluiders en verontruste burgers, wil pertinent geen enkele controle. Maar geen van beide partijen heeft publieke gegevens waar ze zich op kunnen baseren. Onze minister-president en onze minister van Binnenlandse Zaken kunnen geen antwoord geven op de vraag hoe het gesteld is met de legitimiteit van het aftappen van onze gegevens. En vraag een zaal vol studenten wie wel eens slachtoffer is geworden van cybercrime en het blijft stil.'

Digitale gevaren

Weinig mensen maken zich druk om het feit dat hun gegevens overal rondslingeren. Ten onrechte, stelt De Vey Mestdagh. 'Nog afgezien van problemen als phishing of identiteitsfraude kunnen burgers op de meest onverwachte manieren last krijgen van het feit dat er zoveel over ze bekend is. Neem een tweet van een rechtenstudent die iets badinerends zegt over het Fries. Die hoeft bij het in Leeuwarden gevestigde advocatenkantoor Anker & Anker niet meer aan te komen. Een ander voorbeeld: berichten op sociale media over gezondheidsgerelateerd gedrag zal in de nabije toekomst een steeds groter gevaar vormen.'

Voorlichting wél overheidstaak

De Vey vindt dat het publiek beter voorgelicht zou moeten worden over de risico's van cybercrime, en over de mogelijkheden om zich daartegen te beschermen. 'Daar is dan wél weer een rol voor de overheid weggelegd. Ik heb niet de illusie dat de Nederlandse overheid ons gaat beschermen tegen de manier waarop de NSA inbreekt in onze systemen. Het begrip territorium, dat het uitgangspunt is van de Nederlandse jurisdictie, is in cyberspace nauwelijks van betekenis. Maar de overheid zou wel transparant kunnen zijn over welke data zij controleert of opslaat. En met onderwijs en onderzoek zouden burgers ook 'mediawijs' gemaakt kunnen worden.'

Veiligheidsmaatregelen

'Je moet het inbrekers en spionnen, maar ook overheden en bedrijven die grenzen overschrijden, niet makkelijker maken dan nodig is. Natuurlijk is elke code en cryptografie te breken, maar net als bij een extra slot op je fiets verkleint zo'n veiligheidsmaatregel het risico op schade aanzienlijk. En het gaat in het geval van persoonlijke gegevens vaak om grote belangen.'

Curriculum Vitae

Kees de Vey Mestdagh doceert recht en ICT aan de Rijksuniversiteit Groningen, is lector juridisch kennismanagement in Amsterdam en oprichter en hoofd van de afdeling Recht en ICT van de RUG. Hij doet onder meer onderzoek naar cybercrime en internet governance. Hij publiceert geregeld over ICT-gerelateerde rechtsvragen, de toepassing van ICT in de rechtspraktijk en kunstmatige intelligentie en recht.


Geachte heer de Vey Mestdagh,

Met veel interesse heb ik uw artikel gelezen. Hoewel ik het met veel punten in uw artikel eens ben, noemt u ook genoeg punten waar ik het niet mee eens ben of waar, volgens mij, uw opmerkingen te kort door de bocht zijn. De waarheid zit op die plekken wat complexer in elkaar. Vandaar dat ik graag reageer op uw artikel.

Laat ik beginnen met de inleiding van uw artikel, waarin u stelt dat de burger zelf de grootste bedreiging vormt voor haar eigen privacy op internet. Het klopt dat de burger zelf een boel kan bijdrage aan de bescherming van haar eigen privacy, maar stellen dat zij zelf de grootste bedreiging vormt schept een verkeerd beeld. Dit omdat het hele verhaal van privacyschendingen via het internet veel groter is dan wat de burger zelf doet, waardoor de vraag wie de grootste schuldige is eigenlijk niet relevant meer is.

Dit komt in de eerste plaats omdat de computer en het internet zeer complexe zaken zijn. Hoewel veel softwarebedrijven, voornamelijk Microsoft, er goed in geslaagd zijn om de computer voor iedereen bruikbaar te maken, is en blijft het een complex geheel. We hebben met z'n allen er min of meer voor gekozen om de computer en het internet een vast onderdeel van onze samenleving te maken. De overheid, banken en vele commerciële bedrijven dwingen ons ook om gebruik te maken van het internet. Om precies te weten hoe alles werkt en waar je privégegevens dus wel veilig zijn en waar niet vereist specialistische kennis. Je kan niet van iedereen verwachten dat zij over deze kennis beschikken. Het versleutelen van informatie is dus makkelijker gezegd dan gedaan. Het installeren van TrueCrypt voor harddiskversleuteling en PGP / GPG voor e-mail versleuteling is voor de meeste mensen gewoon te ingewikkeld om te doen.

Daarnaast vinden veel privacyschendingen plaats op een manier waar de burger helemaal geen invloed op heeft. Als ik via een zoekmachine iets op het internet zoek, dan vraag ik er niet om via mijn zoekopdrachten een profiel van mij te maken. Als ik een e-mail stuur, vraag ik er niet om dat tijdstip en naar wie ik een e-mail stuur wordt vastgelegd. Als ik een mobiele telefoon aanschaf, dan vraag ik er niet om daarmee gevolgd te worden. En zelfs als ik een bericht plaats op Facebook, dan vraag ik er niet om dat de inhoud van dat bericht gebruikt wordt voor marketingdoeleinden. Natuurlijk hebben we in al dit gebruik zelf een keuze, maar is geen gebruik meer maken van e-mail, een mobiele telefoon en het internet vandaag de dag nog echt een optie?

Niet alleen voor de burger is de computer een complex apparaat. Helaas geldt dit ook voor veel ICT-ers. Hoe goed ik ook met mijn persoonsgegevens om ga, als een website waar ik deze gegevens heb achtergelaten lek blijkt te zijn, dan zijn al mijn goede voorzorgen voor niks geweest. En helaas zijn vandaag de dag nog teveel systemen lek. Maar stellen dat elke code en cryptografie te breken is, is veel te kort door de bocht. Niks is 100% veilig, maar het is prima mogelijk om code en cryptografie zodanig veilig te maken dat het voor een aanvaller niet loont om deze daadwerkelijk te proberen te breken. Beveiligen is namelijk niet het wegnemen van risico's, maar het verlagen van risico's naar een acceptabel niveau. Goede beveiliging kan wel degelijk meer opleveren dan een extra slot op je fiets. Het probleem is echter dat beveiliging gewoon onvoldoende aandacht krijgt. Softwarefouten die 20 jaar geleden gemaakt worden, worden vandaag de dag nog steeds gemaakt. En dat is echt niet meer nodig. Softwarebedrijven komen nog steeds ongestraft weg met dit soort broddelwerk en dat moet stoppen.

Ook de overheid zelf heeft nog heel veel te leren als het gaat om veiligheid. Hoewel ze hard hun best doen om de burger te beschermen tegen identiteitsfraude, als je aangeeft dat de burger voorzichtig moet zijn met het vrijgeven van het BSN, dan geef je alleen maar aan dat je zelf de procedures omtrent het gebruik van het BSN niet op orde hebt. Immers, het BSN is niet meer dan een uniek getal, een soort van gebruikers id vanuit de overheid. Hoeveel vertrouwen zou je hebben in een bank waarbij anderen over je rekening kunnen beschikken als ze enkel je klantnummer bij de bank weten? Het feit dat iemand die een kopie van zijn paspoort achterlaat bij een autoverhuurbedrijf zich vervolgens bij het politiebureau mag melden omdat in een huis, dat met behulp van die kopie op zijn naam is gezet, een wietplantage is aangetroffen[1][2], geeft aan dat de burger echt niet altijd het grootste probleem vormt. En een collegezaal vol studenten, waarbij geen van hen slachtoffer is van cybercrime, vormt daarbij een loze opmerking. Het is een serieus probleem dat niet moet worden onderschat.

Dat de overheid te weinig kennis heeft van veiligheid blijkt ook uit het feit dat ze geen inzicht geven in de effectiviteit van zaken als telefoontaps, de bewaarplicht, camera's op straat, het biometrisch paspoort, etc. Ze kunnen dat inzicht wel geven, maar doen het niet omdat ze daarmee dan aangeven dat al die maatregelen veel minder effectief zijn dan men zou willen. We zijn nummer 1 in het aftappen van de telefoon, maar we zijn niet in dezelfde mate meer veilig dan andere landen. Hebben de data die via de bewaarplicht is verzameld en het biometrisch paspoort ooit geleid tot de aanhouding van een terrorist of een zware crimineel? En camera's op straat zijn lang niet zo effectief als ze ons willen doen geloven, maar het worden er wel steeds meer. Net zoals vele andere maatregelen die de privacy aantasten, maar de burger geen extra veiligheid bieden. Bekijk de afgelopen 20 jaar en bedenk welke maatregelen zijn ingevoerd die de privacy aantasten. Een interessante vraag is nu hoe het er over 20 jaar uitziet. Wanneer houdt de aantasting van de privacy door de overheid op? Wanneer is het genoeg?

Waar ik uiteindelijk naartoe wil is aangeven dat de bescherming van de privacy van zoveel zaken afhankelijk is, dat het onzinnig is om te gaan roepen wie daar nou het meeste invloed op heeft. Er is nog zoveel te doen op het gebied van privacybescherming, dat dat wel de laatste vraag is waar we ons mee bezig moeten houden. De bescherming van de privacy ligt in de handen van iedereen. In die van de burger zelf, maar ook zeker in die van de overheid en het bedrijfsleven. De enige manier om de privacy op een goede manier te beschermen is als we daar allemaal aan gaan werken. Daar is bewustzijn voor nodig, maar ook kennis, wetten en investeringen. En misschien zit daar wel het grootste probleem. Dit alles werkt alleen als we het allemaal samen doen en het op elkaar is afgestemd. De vraag is nu; wie neemt hiervoor de aftrap?

Met vriendelijke groet,
Hugo Leisink

Terug