De grote klok

Dankzij klokkenluider Edward Snowden weet nu iedereen wat security-experts, spionnenkenners en achterdochtige/paranoïde mensen in het algemeen al jaren roepen. Er wordt afgeluisterd. Of dat nou gebeurt met “alleen metadata”, met geen “directe toegang tot bedrijfsservers”, met “alleen wettelijke bevragingen”, via politie-poorten, of anderzins. Het gebeurt. Volgens de wet, maar wel middels geheime bevelen van geheime gerechtshoven met geheimhoudingsverplichtingen.

Niet alleen in de Verenigde Staten en voor/door de Verenigde Staten. Ook door ‘hun’ bij ‘ons’, en ook door ‘ons’. Natuurlijk gebeurt de inzet van dit soort middelen altijd zorgvuldig, bezweert minister Ivo Opstelten van Justitie en Veiligheid. Er zijn immers “heldere wettelijke kaders” hiervoor, stelt de bewindsman die vóór terughacken is. Bij dat omstreden middel tegen hackers en cybercriminelen is al geconstateerd dat wettelijke grenzen worden opgezocht, opgerekt en wellicht zelfs overtreden.

Van overtreden is volgens Opstelten echter geen sprake, hoewel hij al heeft genaunceerd dat het uiteindelijk de rechter is die bepaald of opsporingsdiensten over de schreef gaan. Het is immers een relatief nieuw (juridisch) gebied. Voor dit “fenomeen van de cyber” wil de minister dan ook aanpassingen in de wet.

Afluisteren, aftappen en analysere. Op grote schaal, met grote rekenkracht voor analyse van deze Big (Brother) Data. Voor een deel allemaal dingen die al jaren en jaren gebeuren. Echt al tientallen jaren eigenlijk. Maar dankzij moderne techniek steeds meer en beter. Wat tot op heden zeker “tientallen” niet nader gedetailleerde aanvallen heeft voorkomen, aldus NSA-directeur generaal Keith Alexander tegenover een Amerikaanse senaatscommissie.

Impuls voor Europese ICT

De ophef over het PRISM-internetaftapprogramma van de NSA beperkt zich niet tot de gewone internetgebruiker, die zijn of haar data zelf toch al afdraagt. Maar dan wél in ruil voor een tegenprestatie. Namelijk gerichte advertenties en persoonlijke(re) marketing, door bedrijven die hun iets willen verkopen. Zie de onverschilligheid van gewone gebruikers over Facebooks vele en verwarrende wijzigingen van privacyvoorwaarden en default instellingen. Zie het gretige gebruik van Google-diensten. Zie het niet helemaal doorlezen van de gebruiksvoorwaarden voor de producten en diensten van Apple. Zie de onbekendheid met de geüpdate voorwaarden van Microsofts online-diensten. Enzovoorts, enzovoorts.

Ver van die gewone gebruiker af is er ook ophef op hoog politiek niveau. In Den Haag én in Brussel. Eurocommissaris Viviane Reding trekt van leer tegen de VS en dreigt in wezen met een handelsoorlog. De formele reactie van de Amerikaanse overheid op EC-vragen over de hele afluisteraffaire wordt meegewogen in de gesprekken over handelsovereenkomsten. Dat politieke dreigement gecombineerd met persoonlijk sentiment en zakelijk besef kan best wel eens goed zijn voor Europa. Voor de Europese ICT-markt, of markten.

Zie Zwitserland als neutraal hostingland, met zijn status net buiten de EU. Of IJsland als het Zwitserland voor data. Denk aan Duitsland als softwareland, met ERP-reus SAP als voortrekker. Beschouw Nederland als consultingland, met Philips als uitzondering. Zet Zuid-Europese staten in als ontwikkellanden, met goedkope codekloppers. Enzovoorts. Als tegenwicht voor het veelvoud aan Amerikaanse ICT-leveranciers die zich graag als ‘internationaal’ profileren maar uiteindelijk toch onder de VS vallen.

De Zweedse overheid zet alvast een stap door Google Apps te verbieden voor eigen gebruik. Nadat Noorwegen begin vorig jaar al het voorbeeld heeft gegeven. Datzelfde land heeft afgelopen zomer al bedrijfsgebruik van Google Analytics verboden, vanwege de privacy. Hoewel het daar later weer op is teruggekomen. Zou die beslissing nu nog stand houden in de ophef rond PRISM? Eurocommissaris Neelie Kroes ziet haar ambitie van een Europese ICT-markt zo haast automatisch bewerkstelligd worden. Niet op korte termijn, maar toch.

Relatie China-VS

China wordt al jaren gezien als de grote boeman, ook juist op cybergebied. Niet zonder reden, overigens. Een ongeautoriseerde VPN-verbinding vanuit China doet dan ook gelijk het ergste vrezen. Hoewel dat soms gewoon Amerikaanse ondernemerszin, efficiëntie of oplichterij kan zijn. Op zijn beurt is Nederlands bondgenoot de Verenigde Staten ook ‘een hacker’. Maar dan eentje die tot op heden werd gezien als white hat; hackend tegen de ontwikkeling van massavernietigingswapens door Iran. Tenminste, zo wil de VS graag gezien worden: als bestrijder van WMD's, net zoals die toch niet in Irak bleken te zijn.

De cyberwar blijkt veel breder te zijn en door beide partijen te worden gevoerd. En natuurlijk door meer betrokkenen dan alleen hoofspelers de VS en China, waaronder ook het kleine Nederland. Wat dat betreft, is de timing wel heel toevallig van Huawei’s bewering dat iedereen elkaar bespioneert. Vlak voor het losbarsten van de PRISM-affaire heeft die Chinese, van spionage verdachte telecomleverancier, al gesteld dat cyberspionage een wereldwijde praktijk is. En dat klopt, volgens PRISM-klokkenluider Snowden onderneemt de VS al jaren geheime hackaanvallen op China.

De wereld is niet zwart-wit. Cowboys met witte hoeden kunnen ook schurken zijn, en de boeven dragen niet per definitie een zwarte hoed. Het zijn eigenlijk allemaal grey hats, met verschillende - en wisselende - grijstinten. Waarbij de ene gunslinger zegt dat hacken iets heel anders is dan aftappen. Terwijl hij, net zoals zijn tegenstanders, beide praktijken op zijn kerfstok heeft staan. Misschien dat na de nu oplaaiende politieke PR-oorlog er wat rustiger gepraat kan worden door de VS en economische grootmacht China?

Druk op databescherming

De openbaring van PRISM kan ook als goede stimulans dienen voor de in wording zijnde Europese regels voor databescherming. De huidige regels stammen nog uit 1995, de prehistorie van het huidige massamedium van internet. Toen de online-bevolking én het internetgebruik nog veel kleiner en onschuldiger waren. Toen er nog werd ingebeld met analoge modems. Toen bedrijven met een online-aanwezigheid, laat staan echte online-activiteiten, nog een uitzondering waren. Toen zelfs Webwereld er nog maar net was.

Maar de geactualiseerde EC-regels voor privacy- en databescherming dreigen al te verwateren. Het strengere pakket aan verordeningen, richtlijnen en boetes voor overtredingen geldt namelijk niet voor overheden, politie en justitie. Die krijgen een aparte richtlijn, waarvan elke lidstaat enigszins kan afwijken. Bovendien is het EC-plan geen speerpunt; het heeft een 'laag ambitieniveau', constateerde de Nederlandse privacytoezichthouder CBP begin vorig jaar al.

Enkele Europese fracties waren direct kritisch, over de uitzondering voor overheden. Hun verzameling van en omgang met data kan immers een veel grotere impact hebben dan wat bedrijven doen. Bovendien zijn de geconstateerde minpunten al eerder waargenomen: eind 2011, ook rond de rol van surveillerende en aftappende overheden. “Vergis je niet, het zijn meestal overheden die dataprotectie aan hun laars lappen onder het mom van bestrijding van criminaliteit en terrorisme", zei Europarlementariër Sophie in Veld van D66 toen tegen Webwereld.

De huidige onduidelijkheid en onzekerheid rond PRISM, de NSA, de AIVD en aanverwante geheime zaken kan de EC-richtllijn voor privacy- en databescherming oppeppen. Of dat ervan komt, en wanneer dan, is nog de vraag. In de tussentijd kunnen organisaties zelf stappen nemen. Bijvoorbeeld met dataminimalisatie, wat TomTom’s privacy-officer Simon Hania afgelopen week aandroeg in het radioprogramma BNR Digitaal.

Hij adviseert het minimaliseren van de terugkoppeling van gegevens naar individuen. Routenavigatiebedrijf TomTom garandeert dat het na twintig minuten de link van data met de gebruiker verbreekt, vertelt hij. Zodat áls er iemand met een wettelijk bevel komt aankloppen om te vragen wie wanneer waar was, het Nederlandse bedrijf dat écht niet kan zeggen.

Bedenking voor bewaarplicht

Tot slot kan de PRISM-affaire ook helpen bij het herevalueren van de bewaarplicht die geldt voor Europese landen. Terwijl in het thuisland van de NSA er helemaal geen verplichting is om gegevens te bewaren, is die er wel in de Europese Unie. De Amerikaanse inlichtingendiensten moeten dus per geval - doelwit of telco - verzoeken indienen, bevelen serveren en schimmige overeenkomsten sluiten. In Europa hoeft dat niet zo nodig. Mogelijk zelfs niet voor een internetcommunicatiemiddel als Skype.

Ondertussen speelt er nog de cruciale vraag of de dataretentie misschien ongrondwettig is. Daar buigt het Europese Hof zich over, terwijl er in de praktijk al veel misstanden zijn geconstateerd. Zo is bijna drie jaar terug geoordeeld door de Europese privacytoezichthouders, waaronder ook het Nederlandse CBP, dat de verplichte opslag van telecomgegevens te ver gaat. Het bewaart te veel en loopt te lang, in het geval van sommige landen wordt de metadata van telecommunicatie wel 10 jaar bewaard.

Zo’n schatkist aan informatie is verleidelijk. Absolute macht corrumpeert absoluut, dus veel datatoegang corrumpeert veel? Dat (b)lijkt vaak wel het geval. Zie bijvoorbeeld in Nederland de CIOT-database (Centraal Informatiepunt Onderzoek Telecommunicatie) dat niet geheel zorgvuldig wordt geraadpleegd door de politie, ontdekte Webwereld. Sterker nog: sommige korpsen schonden hiermee de wet. Het advies lijkt dus duidelijk: niet teveel en niet te lang bewaren.