Nederland stelt zich vaak bescheiden op. Soms terecht, soms niet. Op ict-gebied is ons land niet zo leidend; nagenoeg alle hard- en software komt uit de Verenigde Staten. Goed, gefabriceerd en geprogrammeerd in het goedkope Verre Oosten. Maar toch, het komt dus van elders. Toch loopt Nederland op bepaalde vlakken voorop. Zoals op het gebied van privacyschending. Vijf toppers:

Vingerafdrukken in het paspoort

De twijfel, kritische kanttekeningen en, jawel, het verzet dringen langzaam door tot de politiek. Wel geruime tijd nadat de nieuwe paspoortwet is ingegaan en Nederlandse burgers dus verplicht zijn om vier vingerafdrukken af te geven, die vervolgens in een centrale database worden opgeslagen.

Of eigenlijk: ze moeten worden opgeslagen, want de benodigde ict-infrastructuur is er nog niet helemaal. Maar de wet en de verzameling van data is er al wel, waardoor de database begin dit jaar de Big Brother Award in de wacht sleepte. Slimme burgers hebben net voor het ingaan van die wet nog gauw een vers paspoort aangevraagd, zodat ze een paar jaar ontkomen aan (deze vorm van) de dataverzamelwoede van de overheid.

De paranoïde protesteerders van toen krijgen nu geleidelijk meer steun, en eigenlijk gewoon hun gelijk. De Nederlandse aanpak van vier vingerafdrukken, in plaats van de Europees voorgeschreven twee, en de centrale opslag zijn niet in de haak. Dat zegt bijvoorbeeld de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) dat de overheid adviseert en die nu met een vernietigend rapport is gekomen.

De Nederlandse praktijk is volgens de regeringsadviseur onvoldoende getest, de noodzaak is niet onderbouwd, de effectiviteit is niet bewezen en de Tweede Kamer wordt hierbij bewust in het duister gehouden. Het vormt zelfs een schending van de mensenrechten. Dat meent naast de WRR ook de Europese fractie van D66, die daar formele vragen over heeft gesteld aan de Europese Commissie. Europarlementariër Sophie in 't Veld vreest namelijk dat Nederland het Europese Verdrag van de Rechten van de Mens schendt.

Terughackende politie

De Nederlandse politie heeft een grote slag geslagen met de uitschakeling van een groot botnet. Dat Bredolab-botnet, met zo'n 30 miljoen besmette pc's in zijn macht, is platgelegd na intensieve monitoring. Goed gedaan. Serieus. Ook goed dat mensen met besmette pc's, die dat niet weten, een waarschuwing krijgen voorgeschoteld.

Alleen is het niet goed dat daarvoor is ingebroken - door de politie - op die bot-pc's. Die hebben 'law-ware' upgeload gekregen. Dat wil het Openbaar Ministerie vaker doen; het heeft al een voorstel ingediend bij de minister van Veiligheid om de opsporingsdiensten bevoegdheden te geven om 'terug te hacken'.

Het wil graag inbreken in zowel de computers van cybercriminelen als de gekaapte pc's van eindgebruikers, niet alleen in Nederland maar ook in het buitenland. Want cybercrime stoort zich, net als internet, niet aan grenzen. Dus wil de politie de grens over, voor een effectievere bestrijding van cybercrime. Daarvoor moet wel de wet worden aangepast, terwijl de politie het nu al heeft gedaan…

Wat de politie overigens ontkent. Woordvoerder Wim de Bruin van het Landelijk Parket vertelt Webwereld vrijdagnamiddag nog dat er slechts voor is gezorgd dat de slachtoffers een waarschuwing krijgen voorgeschoteld.

Oh, en dat uitgeschakelde botnet is nog gewoon actief. Er is weliswaar een botnetherder opgepakt in Armenië, maar andere cybercriminelen hebben vanaf andere command&control-servers het botnet naar zich toe getrokken. Misschien geeft dit de politie juist argumenten vóór de gewenste bevoegdheid om 'terug te hacken'. Want vergeet niet: cybercrime groeit volgens de politie explosief, hoewel Justitie het helemaal niet bijhoudt. Dus deze vorm van misdaad wordt niet geregisteerd, maar het neemt wel hand over hand toe.

Telefoon- en internettaps

Nederland is ook internationaal kampioen in taps zetten. Het gaat dan om taps op de ouderwetse telefoon, wat natuurlijk ook de moderne mobiele telefoon omvat. Maar ook op internetgebied tapt de Nederlandse overheid er lustig op los. Dat heeft Webwereld eerder al boven tafel gekregen.

Terwijl de overheid eerst aangaf dat de hoeveelheid internettaps geheim moest blijven, verklaarde die vervolgens dat tapcijfers voor internet niet op betrouwbare wijze zijn te tellen. Gelukkig komt er openheid, nu echt. Nou ja, deels. Justitie gaat het aantal internettaps bijhouden en periodiek melden, maar dan alleen voor politie en Justitie. Wat de AIVD (Algemene Inlichtingen- en Veiligheidsdienst) en MIVD (Militaire Inlichtingen- en Veiligheidsdienst) doen, blijft geheim.

Maar het aantal internettaps, hoewel sterk stijgend, is nog klein vergeleken bij de telefoontaps die opsporings- en inlichtingendiensten zetten. In telefoontappen is Nederland al jaren wereldkampioen.

Dataminen door de politie

Het mag officieel niet, net zoals terughacken door de politie, maar datamining kan interessante informatie opleveren, zoals aanwijzingen bij de opsporing van criminelen. Maar het kan ook leiden tot stigmatisering van verdachten en mogelijk zelfs tot discriminatie van burgers, en zeer waarschijnlijk tot schending van privacy.

In nauwe samenwerking met de politie heeft een Leidse onderzoeker al datamining gepleegd, voor zijn proefschrift, op de database van 1 miljoen veroordeelde of verdachte Nederlanders. Met zeer interessante - en omstreden - resultaten.

Privacy staat de toepassing van datamining in de weg. De onderzoeker zelf heeft er niet zo veel mee: "Persoonlijk kan het me niet zo veel schelen. Maar op mijn vakgebied worden veel zorgen geuit over privacy met verwijzing naar Minority Report-achtige toestanden", zei hij eind vorig jaar tegen Webwereld. De angst is niet zozeer of de overheid dit gaat gebruiken, maar wanneer.

Data delen

Bijkomend probleem bovenop bovenstaande privacy-topfails is deze uitsmijter: eerlijk zullen we alles delen. Een oer-Hollands spreekwoord, waar ons land ook de daad bij voegt. Nederland loopt voorop met het delen van data in internationaal verband.

We dragen niet alleen, zoals andere landen, netjes gegevens van vliegtuigpassagiers over aan de (veel)eisende VS, maar we nemen ook deel (sinds 2008) aan het nauwelijks bekende Verdrag van Prüm en aan de door Nederland voorgestelde Financial Intelligence Unit (FIU).

Eerstgenoemde voorziet in uitgebreide datadeling, waar vanaf 2011 ook de Nederlandse vingerafdrukken in paspoorten onder vallen. De laatstgenoemde is een decentraal computersysteem voor het in Europees verband uitwisselen van financiële informatie, om fraude op te sporen.

Ondertussen werkt Europa aan verdere uitbreiding van de data-uitwisseling, terwijl Nederland dus qua vergaring én uitwisseling al een 'voorsprong' heeft. Oh, en aan toezicht hierop en inzage hierin door burgers wordt ook wel gewerkt, door een instantie die gaandeweg wordt opgericht.

Bonus: camera's, downloadverbod

En dan hebben we het nog niet eens gehad over andere privacybedreigende zaken. Zoals bewakingscamera's op straat en langs de snelweg. Of zoals het nog altijd dreigende downloadverbod met eventueel een downloadheffing. Bij laatstgenoemde zou deep packet inspection in feite onvermijdelijk zijn. Zo'n downloadverbod komt niet alleen via de internationale handelsovereenkomst ACTA op ons af, maar ook door voorstellen van eigen bodem.

Nee, dat komt niet (alleen) van een instantie als Stichting Brein, maar van de Tweede Kamer. Hoewel de verantwoordelijke werkgroep (de Kamercommissie Gerkens) het omstreden rapport snel heeft genuanceerd (geen harde aanpak van downloaders), en later heeft bijgesteld (deep packet inspection is geschrapt als voorgesteld handhavingsmiddel).

Hoe dan wel een downloadverbod handhaven? Dat is een lastige vraag. Daar mag het huidige, rechts georiënteerde kabinet zich over buigen, net als over de andere bovenstaande privacykwesties. Ter inspiratie: hoe luidt ook alweer dat Amerikaanse spreekwoord over vrijheid en veiligheid?