'De overheid neemt een loopje met onze privacy'

“Met alle commotie rond de afluisterpraktijken van de NSA en het beschuldigend wijzen van vingers naar de Verenigde Staten, hebben we de neiging te vergeten wat er zich allemaal afspeelt binnen onze eigen Europese grenzen op privacygebied. Er is geen Europese staat te vinden die zijn eigen burgers niet afluistert.  En niet alleen de overheden bespieden ons, ook bedrijven hebben de toegang tot onze privégegevens gevonden. Het is de hoogste tijd voor een gecoördineerde nationale én Europese discussie, waarin we de grenzen van onze privacy opnieuw definiëren en naar een manier zoeken om die privacy te waarborgen”, aldus John T. Knieriem, algemeen directeur van hostingbedrijf Intermax. Wij spraken hem over privacy en veiligheid online en de rol die de overheid daarin zou moeten spelen.

Facebook's Mark Zuckerberg zei het al in 2010: het tijdperk van de privacy is voorbij. Een uitspraak die hem destijds niet in dank werd afgenomen, maar die steeds meer bewaarheid lijkt te worden. Het ene afluisterschandaal na het andere komt aan het licht en het gaat verder dan overheden die hun burgers afluisteren: ook regeringen onderling bespioneren elkaar, zoals onlangs op de klimaattop. En wat te denken van het bedrijfsleven, dat gegevens over ons verzamelt om effectiever producten aan ons te kunnen slijten? Electronicaketens Dixon, MyCom en iCentre peilen het wifi- en bluetooth-signaal van telefoons van klanten, om te zien hoeveel klanten er in de winkel zijn en hoe vaak ze terugkomen. Zijn dit persoonsgegevens of niet? Vinden we dit erg of niet? Knieriem: “Onze ideeën over wat privé moet zijn en wat niet, zijn allang niet meer wat ze 20 jaar geleden waren. Iemand van 60 jaar oud heeft heel andere ideeën over privacy dan iemand die nu 16 jaar oud is. Wie initieert de discussie hierover en wie controleert de uitkomsten in de praktijk? Onze overheid toont op dit moment nog bedroevend weinig initiatief...”

• CIOT
• Het CIOT (Centraal Informatiepunt Onderzoek Telecommunicatie) voert het Besluit verstrekking gegevens telecommunicatie uit. Volgens dit besluit zijn aanbieders van telecommunicatie- en internetdiensten verplicht informatie over hun klanten beschikbaar te stellen in het kader van onderzoek. Gegevens van burgers werden in 2012 maar liefst 2,7 miljoen keer opgevraagd en er is nauwelijks controle over wie dat doet op welke gronden.  “Als opsporingsdiensten om zouden gaan met huiszoekingen in echte huizen, zoals nu virtueel gebeurt, dan zou de hele Nederlandse bevolking van verontwaardiging over elkaar heen vallen,” stelt Knieriem. “Toegegeven, er is een breed maatschappelijk draagvlak onder de Nederlandse bevolking om de privacy op te geven als er sprake is van ernstige misdrijven, om bijvoorbeeld de kans op een terroristische aanslag te voorkomen. Digitale opsporing is zeker van belang en absoluut nuttig, maar het lijkt nu alsof opsporingsambtenaren wel heel makkelijk informatie bij het CIOT halen, ook voor kleine misdrijven, als bijvoorbeeld vernielingen of milieudelicten. Denken we echt dat het relevant is om in het geval van een fietsendiefstal het IP-adres van de verdachte bij de hand te hebben? Het is zaak die absurde hoeveelheid aanvragen terug te schroeven. Maar wie gaat hier op toezien? Opstelten blijft toezeggen dat de overheid het op orde gaat brengen, maar er gebeurt weinig.”

Suwinet

Via Suwinet Services kunnen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en naar elkaar sturen. Suwinet Services zijn primair bedoeld voor UWV, SVB en de gemeentelijke sociale diensten, maar inmiddels maken ook veel andere overheidsorganisaties gebruik van deze service voor digitaal gegevensverkeer. Knieriem: “Heel toevallig wordt het debat over de wijze waarop gemeentes misbruik maken van Suwinet uitgesteld. Staatssecretaris Klijnsma krijgt hierdoor nog even respijt tot na de gemeenteraadsverkiezingen. Heel tactisch. Nu uit recent onderzoek van de SZW-inspectie is gebleken dat maar een kleine vier procent van de gemeentes voor het opvragen van persoonsgegevens via Suwinet genoeg beveiligingsmaatregelen had getroffen, moet staatssecretaris Klijnsma op dit moment met een bijzonder goed verhaal komen over hoe zij gaat zorgen dat bijna 400 gemeentes hun zaakjes op orde brengen. Knieriem voorspelt dat straks in de Tweede Kamer bij het precaire Suwinet-dossier een zeer stevig gesprek gevoerd wordt over de informatiebeveiliging bij de overheid. De staatssecretaris kan eigenlijk prima aansluiten bij Ivo Opstelten die er ook al jarenlang een janboel van maakt door te pas en te onpas privacy gevoelige telecom- en internetgegevens op te laten vragen door de eerste de beste stadswacht die wat wil weten over een burger.” Volgens Knieriem hoort de overheid ervoor te zorgen dat de privacy van burgers is gewaarborgd.

Toezichthouder

De meest logische partij om toezicht te houden is volgens Knieriem het College Bescherming Persoonsgegevens. “Helaas is het probleem dat deze instantie slechts een beperkte handhavende macht heeft. Een tandeloze tijger dus, die zegt dat het rondom het CIOT een rommeltje is, maar niet kan dwingen om de rommel ook daadwerkelijk op te ruimen. Je kunt ook denken aan de Algemene Rekenkamer. Als de Rekenkamer met advies komt, dan is er meestal media-aandacht voor, en wordt het onderwerp in de Tweede Kamer opgepakt. Een advies van de Algemene Rekenkamer heeft een hele andere lading dan een advies van een departementale auditdienst. Als er elk jaar gekeken wordt waar het geld aan uit is gegeven door de overheid, waarom doen we dat dan niet ten aanzien van een aantal basiselementen van de rechtstaat als bijvoorbeeld privacy?”

Aandacht verleggen naar veiligheid

“Het vreemde is dat er op het gebied van cybercrime is dat er zo ontzettend weinig middelen beschikbaar worden gesteld voor de bestrijding hiervan,” zegt Knieriem. “De virtuele wereld is zo groot dat we met het verdubbelen van het aantal onderzoeken van 10 naar 20 eigenlijk niets zijn opgeschoten. Er werken 20.000 mensen bij de politie en als je dan met 20 onderzoeken naar cybercriminaliteit aan komt zetten, dan zou je toch wel kunnen stellen dat de overheid het probleem niet al te serieus neemt. Er komt nu 4 miljoen euro aan extra budget vrij voor de bestrijding van cyber crime. Op de totale overheidsbegroting stelt die natuurlijk niet veel voor. Het is een druppel op een gloeiende plaat en ik voorspel dat hier de komende tijd veel meer aandacht voor zal komen.

De nationale DDoS wasstraat

Ondertussen nemen providers zelf al maatregelen, zoals de nationale DDoS wasstraat, een initiatief van de NBIP (Nationale Beheersorganisatie Internet Providers). Het aantal DDoS aanvallen op de internet infrastructuur neemt toe. Internet aanbieders zijn daarbij veelal direct of indirect het doelwit. Benodigde apparatuur of abonnementen om dergelijke aanvallen tegen te gaan zijn zeer kostbaar voor middelgrote en kleinere ISP’s en hostingproviders. Bovendien zijn klanten niet per se bereid om (mee) te betalen voor een anti-DDoS voorziening. Daarom is bij de DHPA (Dutch Hosting Provider Association) en de NBIP het idee ontstaan om een nationale anti-DDoS voorziening te ontwikkelen. “Het is een stap in de goede richting om het internet veiliger te maken”, vindt Knieriem. “Als er een aanval is, dan leidt de provider het verkeer om, met de hulp van de andere providers. Veel banken en onder meer de belastingdienst zijn al geïnteresseerd om hieraan mee te doen, dus de kosten kunnen worden gedeeld. Dit is een goed voorbeeld van een nationaal gecoördineerde actie die onze veiligheid online bevordert.”