Sleepwet: Praat mee over je digitaal privéleven

Met een nieuwe afluisterwet gaat Nederland een grens over waar internetexperts, wetenschappers, geheimhouders, bedrijfsleven en mensenrechtenactivisten fel tegen zijn. Een haalbaar referendum stelt een fundamentele verandering eindelijk ter discussie.

De nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) opent de weg om naast gericht op een persoon of groep ook onschuldige burgers te tappen. Alles uit naam van de veiligheid. Wat de wetswijziging moet opleveren is niet onderbouwd.

Fundamentele verandering

In de nieuwe wet kan bijvoorbeeld een hele wijk of een organisatie worden getapt. De hoop is dat daarmee bepaald afwijkend gedrag in kaart te brengen is. Hoe dat werkt, is niet onderbouwd. Wat nieuw is, is dat we geen vermoeden meer nodig hebben om mensen in de gaten te houden.   

In een informatiesamenleving laten we met bijna alles digitale sporen achter op sociale netwerken, mail en computersystemen cruciaal. Ook zaken als een misstand, conflict, medische informatie of iets anders heeft opeens de terechte angst dat iemand meekijkt. Daarmee komt ons digitale privéleven ter discussie te staan. We gaan een grens over.

Dat gaat niet alleen mensen aan, maar ook bedrijven. Hoe aantrekkelijk is het voor een buitenlandse onderneming om zich hier te vestigen of hier computers te plaatsen en vervolgens de bedrijfsgeheimen in te leveren bij de Nederlandse overheid? Dat schept niet bepaald een lekker vestigingsklimaat.

Weerstand

Er is veel kritiek bij wetenschappers, experts op het gebied van aftappen, het bedrijfsleven (waaronder grote ondernemingen als Microsoft, Google, KPN, T-Mobile, Vodafone, BT, Tele2, Verizon, internetproviders, enzovoort), de koepel voor de ICT-branche, de Raad van State, bij mensenrechten- en burgerrechtenorganisaties, belangengroepen van bijvoorbeeld journalisten, advocaten, Greenpeace, huisartsen, VNONCW en ga zo maar door. Om duidelijk te zijn: allen zijn om veel verschillende redenen tegen de wet.

Met de kritiek is nauwelijks iets gedaan. Critici zet Lodewijk Asscher (PvdA) weg als ‘naïef’ zonder onderbouwing over nut en noodzaak te leveren. Het maatschappelijk debat is nauwelijks gevoerd. De kamer ging akkoord en dat is niet heel bijzonder voor een orgaan dat in de afgelopen kabinetsperiode de volgende conclusie(lange pdf) over zichzelf trok:

De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied. Bovendien schiet de Tweede Kamer informatievoorziening van het kabinet aan de Kamer tekort.

De vraag is daarom gerechtvaardigd wie er nu naïef is. Er is zicht (ruim 297.000 van de 300.000 handtekeningen zijn gehaald) op een raadgevend, correctief referendum over deze Wet op de inlichtingen- en veiligheidsdiensten met de daarbij horende debatten in aanloop naar het referendum.

Een mooi moment om de niet malse waarschuwingen nu eens goed en rustig opnieuw te bespreken, bewijs van noodzaak en effectiviteit te eisen om zelf keuzes te maken over de inrichting van onze informatiesamenleving. De vraag is of de overheid ons hele leven moet controleren of niet. Voor dat debat teken ik, u ook?

Leren van de massale digitale infecties met WannaCry wereldwijd

Volgens onderzoekers zijn honderdduizenden computers getroffen door de gijzelsoftware die bestanden op computers ontoegankelijk maakt (versleuteld). Pas na betaling van een bedrag van 300 dollar belooft de aanvaller de schade ongedaan te maken. Op basis van wat we nu weten kunnen we veel leren om de kans op dergelijke digitale virusuitbraken te verkleinen en de gevolgen te beperken.

Tussen de slachtoffers van de kwaadaardige software, met de onder andere de namen WannaCry of WannaCrypt, zitten in ieder geval Britse ziekenhuizen, de Deutsche Bahn, het Russische Ministerie van Binnenlandse Zaken, automobielbouwer Renault, Universiteiten, telecomproviders, vervoersbedrijf FedEx, de betaalautomaten QPark en veel particulieren. Het virus is inmiddels al door meerdere experts bekeken en daardoor zijn er veel technische details beschikbaar:

  1. De software werkt op het Windows-platform. Apple OS X en Linux zijn voor dit specifieke probleem niet gevoelig;
  2. De verspreiding gaat volgens de Nederlandse overheid in eerste instantie via e-mail;
  3. Om te kunnen functioneren maakt WannaCry gebruik van een zwakheid in Windows. Dit probleem is op op 14 maart 2017 door Microsoft in een update verholpen. Wie tijdig zijn Windows-computer heeft bijgewerkt is dan ook niet kwetsbaar voor dit specifieke probleem. Als gevolg van de massale uitbraak heeft Microsoft zelfs updates uitgebracht voor Windows XP, Windows 8 en Windows Server 2003. Deze besturingssystemen worden eigenlijk niet meer ondersteund door de softwaregigant;
  4. Er zijn meerdere gevallen van besmetting met de software waar de versleutelingssoftware niet heeft gewerkt. In die gevallen detecteerde antivirussoftware dat ook gedrag van programmatuur in de gaten houdt het afwijkende gedrag;
  5. De misbruikte zwakheid in het systeem en de technologie om er misbruik van te maken is ontwikkeld door de Amerikaanse NSA. Zij gebruiken de techniek naar alle waarschijnlijkheid om toegang tot bestanden van hun doelen te krijgen en een achterdeur op machines te plaatsen. De hackersgroep ‘The Shadow Brokers’ brachten die op 14 april 2017. De aanvallers gebruiken de techniek nu om bestanden te versleutelen en ze te gijzelen;
  6. De malware met de naam WannaCry is niet nieuw, omdat eerdere varianten al eerder slachtoffers maakte. Wat deze aanval anders is de omvang waarmee nu computers worden getroffen en dat daarbij opvallende organisaties worden getroffen;
  7. In de kwaadaardige software zit de mogelijkheid om het virus uit te schakelen. Een 22-jarige beveiligingsexpert, die twittert onder de naam @MalwareTechBlog, ontdekte dat de software zoekt naar een domeinnaam. Door dit domein te registreren stopt de uitbraak. Inmiddels zijn nieuwe varianten van dit virus niet op deze manier te stoppen;

Leren

Op basis van voorbeelden waar zaken misgaan kunnen we veel leren. De bekende details van WannaCrypt maken duidelijk dat hier al snel een aantal lessen te trekken zijn.

Maatregelen die dit incident hadden voorkomen en in de toekomst de kans op dit soort incidenten fors kleiner maken:

  1. Snel installeren van updates. WannaCrypt misbruikt een bekend lek, waarvoor Microsoft inmiddels een update heeft uitgebracht. Het updaten kunt u handmatig doen of Windows zo instellen dat dit automatisch gebeurt. Veel besmettingen – ook dit specifieke geval – zijn mogelijk dankzij het niet bijwerken van systemen. Het inbreken op computersystemen is vaak ook mogelijk door verourderde software. Een paar grote voorbeelden zijn bijvoorbeeld DigiNotar, KPN en het Groene Hart Ziekenhuis was verouderde software de oorzaak waarop de aanvaller binnen komt;
  2. Klik niet op links of bijlages die u niet volledig kunt vertrouwen. Dit virus in eerste instantie wordt verspreid via e-mail. Al jaren verspreiden virussen zich via e-mail. Ook bij grotere hacks zien we vaak dat de aanvaller via kwaadaardige software binnenkomt. De verspreiding vindt dan vaak plaats via e-mail door mensen te verleiden op een link te klikken of een bijlage te openen. Op deze manier kwam ook de volledige bedrijfsadministratie van het Italiaanse bedrijf Hacking Team op straat te liggen en kregen de aanvallers van de Democratische Partij in de VS toegang tot de mail van de campagne van Hillary Clinton;

 

Factoren die de gevolgen van deze aanval kleiner kunnen maken:

  1. Antivirus. Een infectie is niet altijd te voorkomen. Veel antivirus-paketten detecteerden de software niet toen het op het systeem kwam. De werking van de malware wordt door veel pakketten wel gedetecteerd. Dat is nuttig. Daarom helpt antivirussoftware. Dat detecteert in een aantal gevallen de kwaadaardige software als het op de computer dreigt te komen. Daarnaast detecteren veel leveranciers ook afwijkend gedrag. Als de malware begint met schade te maken dan valt dát op dan stopt de software de werking;
  2. Goede backup. De criminelen kunnen geld voor ontcijferen van gegijzelde data vragen, omdat veel mensen en bedrijven niet beschikken over goede backups. Dan is de keuze: betalen en data krijgen of niet betalen en geen gegevens meer hebben. Met een goede reservekopie verdwijnt de kracht van de chantage;
  3. Politiek gericht op beveiliging. Het virus is afkomstig van een lek dat is ontdekt door de NSA. De Amerikaanse dienst zoekt – net als in andere landen gebeurt – actief naar zwakheden in systemen om te misbruiken in digitale oorlogsvoering of in opsporing. Een digitaal wapenarsenaal heeft als gevolg dat deze overheden een belangen hebben om deze lekken niet te laten liggen. Dit soort zwakheden komen vroeg of laat in handen van criminelen, zoals ook nu gebeurt. Een logische stap zou zijn om niet lekken te gebruiken om in te breken, maar ze te laten dichten door leveranciers en zo iedereen veiliger te maken. Dat is wel een politieke keuze om te maken;
  4. Niet alles hetzelfde systeem. Door te werken een enkele omgeving – in dit geval Microsoft Windows – betekent dat een uitbraak succesvol is door een hele organisatie. Wie kijkt naar een mix van verschillende systemen (bijvoorbeeld door kantoorfunctionaliteit te splitsen van andere functionaliteit) zorgt ervoor dat een virus niet automatisch succesvol is over de hele organisatie;

We kunnen veel stappen zetten om een herhaling van dit incident te voorkomen of de gevolgen te verminderen. Natuurlijk zijn er meer op basis van dit incident te identificeren. Wie begint de basis op orde te brengen, maakt de kansen kleiner om niet getroffen te worden.

De aanval van de Autoriteit Persoonsgegevens op gemeenten is ongenuanceerd

Met de publicatie van cijfers rond datalekken opent de Autoriteit Persoonsgegevens(AP) meteen de aanval op de Nederlandse gemeenten. Maar zonder de broodnodige nuance is het beeld behoorlijk vertekend.

Als je de cijfers droog bekijkt dan is er een explosie gaande van het aantal meldingen. In het eerste kwartaal meldden de gemeenten 331 datalekken waar dat er over 2016 nog 533 waren.

Onbekendheid

Wat de cijfers niet vertellen is dat de meldplicht nieuw is sinds 2016. Veel bedrijven en overheden weten er iets van en belangrijker nog lang niet altijd is duidelijk wat allemaal een datalek is. Daarom loopt Autoriteit Persoonsgegevens allerhande bijeenkomsten af om precies die uitleg te geven.

Het begrip is nogal breed. Een verloren of verkeerd bezorgde brief, ransomware die een computer lamlegt, een mobiele telefoon die zoek is, zijn voor veel organisaties minder bekende vormen van datalekken. Daarbij hoeft er niets gebeurd te zijn, maar als je het niet kunt uitsluiten dan moet je melden. Een wat grotere gemeente zal – als ze zich dit realiseren – dus al snel fors meer incidenten melden. Dat maakt het beeld negatiever, maar zegt weinig over de vraag of gemeenten het slechter doen dan bijvoorbeeld veel MKB-bedrijven

De cijfers maken vooral duidelijk dat we beter zicht op de enorme omvang van de problematiek. Over heel Nederland werden er namelijk in 2016 5849 meldingen gedaan tegen 2388 in het eerste kwartaal. Dat 331 van de meldingen voor rekening van de gemeenten komen, doet vermoeden dat veel van de bijna 1,5 miljoen ondernemingen bitter weinig melden of wel uitzonderlijk veel veiliger zijn.

Wolfsen

De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, opent de aanval op gemeenten. Maar in de statistieken staat de zorg op de eerste plaats. Opmerkelijk genoeg staat echter de zorg en niet het openbaar bestuur op de eerste plaats. Wolfsen verwijt de gemeente te weinig te doen.

Maar in tegenstelling tot de zorg hebben gemeenten in reactie op Diginotar en het door mij georganiseerde Lektober besloten om de Informatie Beveiligings Dienst (IBD) op te richten. Die geeft advies, werkt aan normenkaders en coördineert bij incidenten. Zoiets bestaat bijvoorbeeld in de zorg – waar meer dan bij gemeenten gemeld wordt – niet. Dat is ook nodig, want juist gemeenten staan dichter bij de burger dan veel andere overheidsinstellingen. Over die stap hoor je de Autoriteit in het geheel niet.

De AP vertelt gemeenten niet wanneer zij voldoende doen of wat zij minimaal verwachten. De wetstekst is vaag en een ‘nee niet goed genoeg’ helpt dan niet. Ook de meldplicht is alleen maar een registratie en er vloeit geen informatie terug om lering uit te trekken. Wat daarbij steekt is dat sinds decentralisatie gemeenten opeens heel veel meer informatie moeten verwerken. Vanuit het Rijk is de ondersteuning voor digitale verantwoordelijkheden nu eigenlijk nagenoeg niet bestaand.

BSN

Ook de aandacht van Wolfsen op de gevaren van gelekte BSN’s miskent de onderliggende problematiek. Een identificatienummer is langzamerhand zo belangrijk geworden dat het mensen kwetsbaar maakt. Je kunt je BSN niet vervangen als deze is gelekt, waarbij een creditcardnummer wél kan worden vervangen. Om dan dit bij datalekken bij gemeenten nu zo centraal te stellen is wel wat misplaatst.

Tussen al het cijfergeweld is er één cijfer dat de Autoriteit Persoonsgegevens niet geeft. Sinds begin 2016 heeft die organisatie de bevoegdheid om boetes op te leggen of een last onder dwangsom te geven. Over dat handhaven hoor je nooit iets. Dat zou moeilijk zijn (en daar kun je over twisten). Ondertussen adviseren sommige advocaten vervolgens om een lek maar niet te melden.

Meer nuance

Datalekken zijn een groot probleem dat maar niet verdwijnt. Maar conclusies over groei kun je op basis van de cijfers van de AP niet trekken. Er zijn tenenkrommende voorbeelden van slechte gemeenten te vinden. Van Ede die een veelvoorkomend SQL-injectielek tot geheim verklaren tot Rotterdam die het liefst hele rapporten geheim verklaard.

Dat de AP heeft dankzij de meldplicht een schat aan nuttige gegevens waar we veel van kunnen leren om herhaling te voorkomen. Maar die informatie komt niet openbaar. Het zou Wolfsen als toezichthouder sieren als hij iets beter naar het hele speelveld kijkt, doorgraaft naar oorzaken van problemen en vooral eens meer details deelt, zodat we kunnen leren. Daar zou ons land digitaal echt veiliger van worden.

Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”

 

Première Find My Phone – Anthony van der Meer

Dit keer in plaats van een reguliere CIPcast de première van een documentaire.

Per week wordt er in Nederland 300 keer aangifte gedaan van smartphone diefstal. Naast het feit dat je een dure telefoon kwijt bent, heeft een onbekende ook toegang tot al je foto’s, video’s, e-mails, contacten en berichten. Maar wat voor persoon steelt een telefoon? En waar komen die telefoons terecht? In de documentaire Find my Phone wordt het tweede leven van een gestolen telefoon gevolgd. Door middel van spyware maak je kennis met de persoon achter de diefstal. Maar hoe goed kun je iemand eigenlijk leren kennen aan de hand van zijn telefoon?

Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.

Angelique Oortmarssen privacywetgeving omzetten in daden

Om aan de eisen van de wet rond privacy te voldoen is voor veel organisaties behoorlijk lastig. Hoe weet je zeker of je echt aan de regels voldoet? En hoe kun je het voor elkaar krijgen om als organisatie echt privacyvriendelijk te zijn? Het CIP heeft een methode ontwikkeld om dat goed te regelen. Angelique van Oortmarssen legt aan Brenno de Winter uit hoe Grip op Privacy de wet omzet in concrete handelingen. Ook helpt de methodiek organisaties die privacy op een hoger niveau willen krijgen dan de wetgever verplicht. Met het gebruik van deze hulpmiddelen kunnen organisaties privacy binnen hun organisatie op een hoger niveau te brengen.

 

Eerder legde Ot van Daalen al uit waar grofweg op moet worden gelet als je persoonsgegevens gaat verwerken:

Wetgeving en wijsheid bij digitale criminaliteit

Nederland is hard op weg om wetgeving voor digitale criminaliteit aan te nemen. Het heeft er alle schijn van dat die nieuwe wetgeving weinig zal bijdragen aan het voorkomen van de nogal ernstige fouten die worden belicht in ‘Making a Murderer’.

De urenlange documentaireserie ‘Making a Murderer’ laat op pijnlijk wijze zien hoe twee Amerikanen in dezelfde moordzaak worden veroordeeld. Beide veroordeelden hebben onderling verschillende verhaallijnen. Vooral de manier waarop bewijs is verzameld, kun je niet anders typeren dan ‘twijfelachtig’.

Een van de meest opmerkelijke aspecten van de zaak is de autosleutel van het slachtoffer. Die lag op de grond in de woontrailer van Steven Avery, de hoofdverdachte. Op een foto is duidelijk te zien dat het bewijsmiddel voor het oprapen ligt. Het DNA van de verdachte zat zelfs nog op de sleutel. Het begin van een sterke zaak, zou je denken.

Wat de zaak aanmerkelijk compliceert, is dat de trailer gedurende meerdere dagen diverse keren is doorzocht zonder dat de sleutel werd aangetroffen. Als de sleutel uiteindelijk wordt aangetroffen, ligt hij duidelijk zichtbaar op de grond. Het DNA-spoor is dan wonderbaarlijk genoeg het enige dat op de sleutel zit. Verder is het object brandschoon. Er zitten zelfs geen vingerafdrukken van het slachtoffer op. Erg onwaarschijnlijk, wat de vraag rechtvaardigt: is die sleutel er later neergelegd?

Het manipuleren van bewijs komt vaker voor. Ook in Nederland zijn bijvoorbeeld tapverslagen onjuist uitgewerkt, waardoor er iets anders stond dan de verdachte heeft gezegd. In 2013 bleek dat in een drugszaak zelfs tapverslagen door de politie zijn verzonnen. Natuurlijk maakt dat een verdachte nog niet onschuldig. Maar soms vergeet ook een agent dat het uitgangspunt de onschuld van mensen is.

In de digitale wereld worden die risico’s groter. Recent stuurde Minister Van der Steur het wetsvoorstel Computercriminaliteit III naar de Tweede Kamer. Dat moet de politie de bevoegdheid geven in grotere zaken in te breken op computers, spionagesoftware te plaatsen of informatie ontoegankelijk te maken. Ofwel: ze mogen computers manipuleren op afstand.

In Duitsland draaide die bevoegdheid uit op een puinhoop. Hackers kregen de software in handen en analyseerden die. Ook de software bleek een puinhoop: het was kwetsbaar voor misbruik, verdachten konden de politie hacken en onbevoegden konden bij verdachten inbreken en bewijs planten zonder sporen achter te laten.

Welke software in Nederland gebruikt gaat worden, is geheim. Hoe we toetsen of dit goed gebruikt wordt, of de software correct werkt (en na een update blijft werken) en hoe misbruik wordt voorkomen, is allemaal onbekend. Ik wens de wetsmakers in Den Haag nadrukkelijk veel wijsheid toe, maar geef direct toe: helemaal gerust ben ik er niet op.

Digitaal gewapend beton

Vanaf 1 januari 2016 gaat de nieuwe Wet bescherming persoonsgegevens, WBP, in. Dat betekent dat organisaties moeten weten welke data ze in huis hebben en welke onderdelen persoonsgegevens zijn. Wie dat niet doet, zal vrijwel zeker problemen krijgen.

De nieuwe WBP is niet zozeer een dreiging vanwege de mogelijke boetes en onderzoeken die organisaties riskeren, maar zijn gevaarlijk vanwege de onvolwassenheid van de ict-industrie. Zo vinden we het helemaal niet vanzelfsprekend om vooraf na te denken wat voor gegevens we verwerken en wat voor de bescherming daarvan aan maatregelen nodig is.

Datalekkenregen

Anno 2016 is het niet meer vol te houden dat mensen niet zouden weten dat gegevens kunnen worden gehackt, verloren of onrechtmatig worden verwerkt. De incidenten vinden massaal plaats. Volgens een schatting van het CBP, dat na 1 januari 2016 de Autoriteit Persoonsgegevens gaat heten, zijn er jaarlijks 62.000 datalekken waarbij persoonsgegevens zijn betrokken. Niet ieder incident zal direct leiden tot identiteitsfraude of ernstige gevolgen, maar vaak loert dat gevaar wel. En dan moet u melden.

Sinds ‘Lektober’ was al duidelijk dat dit een probleem was, maar eigenlijk is de situatie nog onvoldoende verbeterd. Persoonsgegevens lopen op veel manieren risico. Dat gebeurt niet alleen via hacks, maar ook gegevens die op een USB-stick staan kunnen door verlies, diefstal of het stallen bij leveranciers, in verkeerde handen terechtkomen.

Dankzij de uitspraak van het Europese Hof van Justitie in de zaak die ‘Safe Harbor’ onderuit haalde, is duidelijk dat iedereen die persoonsgegevens verwerkt, moet waken tegen elke vorm van misbruik. De verantwoordelijkheid ligt dus in eerste instantie bij degene die de informatie laat verwerken. Deze persoon moet daardoor ook goed kijken met wie hij of zij zaken doet.

Aardbevingen

De problematiek laat zich tot op zekere hoogte vergelijken met beschermingsmaatregelen tegen aardbevingen. Om instortingsgevaar te verkleinen, gebruiken we in de bouw gewapend beton. Dat regel je voor de bouw al, omdat het metaal achteraf niet meer is toe te voegen. Wie dan nog het risico wil beperken, moet dure capriolen uithalen om een woning alsnog ietwat te beschermen tegen aardbevingen.

Digitaal is het niet veel anders. Wie vanaf het eerste moment bezig is met het bouwen van privacyvriendelijke en beveiligde oplossingen, kan het digitaal gewapend beton inbouwen in de systemen. Wie dat achteraf moet doen, loopt niet alleen tegen duurdere ontwikkelkosten aan, maar moet ook mensen anders opleiden, afspraken met leveranciers opnieuw maken en daardoor meer kosten maken.

Met de lange levensduur van systemen zal het een hele tour worden om op een volwassen manier de rechten van mensen te beschermen. De wetgever heeft een grote stap gezet om de industrie te dwingen betere systemen te bouwen. Nu is het aan ons om die handschoen op te pakken. Verzet u niet langer tegen gewapend beton!

Deze column verscheen eerder bij ICT Magazine.

De regering begint 2016 ronduit goed!

Eindelijk geeft Nederland aan hoe we omgaan met versleuteling op internet. De keuze is lastig, omdat opsporingsbelangen botsen met een vrij internet. Minister Ard van der Steur begint het jaar goed door een duidelijk keuze te maken: versleuteling is te belangrijk om stuk te maken.

Dat blijkt uit een brief aan de Tweede Kamer heeft gestuurd.

Lastig probleem

Om vertrouwelijk te communiceren, wordt op internet gebruik gemaakt van encryptie. Daardoor kunnen we veel veiliger financiële transacties doen, persoonlijke communicatie beschermen, blijven bedrijfsgeheimen vertrouwelijk en kunnen ook overheden veilig communiceren. In een digitale wereld heb je dat nodig om vertrouwd zaken te kunnen doen.

Aan de andere kant is er een roep om juist de versleuteling te verzwakken door achterdeurtjes in te bouwen of de sleutels aan de overheid te geven. Zo kunnen bij belangrijke opsporingsonderzoeken vertrouwelijke gegevens toch worden achterhaald. Vooral na aanslagen of bij kinderporno wordt die oproep veel gedaan.

Haken en ogen

Maar het probleem van achterdeurtjes is dat ook een kwaadwillende die kan achterhalen. Door software te analyseren, in te breken bij overheden of in sommige gevallen netwerkverkeer te analyseren, krijgen onbevoegden dan ook toegang tot de gegevens. Als je cryptografie verzwakt dan schaadt je daarmee de werking van de technologie. Een beetje stuk voor alleen een goedwillende overheid bestaat niet.

Het stuk maken van technologie heeft het grote gevaar dat deze technologieën op een gegeven moment niet meer zijn te gebruiken. Je kunt dan niet meer vertrouwd een financiële transactie doen, niet meer vertrouwen op bepaalde systemen en uiteindelijk raakt dat het vertrouwen in de digitale economie (online bestellen, online betalen, informatie opslaan in de cloud, enzovoort).

De vraag is dus of je nog open voor business bent als de onderliggende technologie is beschadigd. Waarom zou een bedrijf uit het buitenland de informatie in Nederland opslaan als een buurland de mogelijkheid biedt om wel veilig te werken? De risico’s die je loopt met het verzwakken van versleuteling zijn enorm.

Keuzes maken

De keuze die eigenlijk voorligt is de vraag wat belangrijker is: een digitale samenleving hebben en houden of een overheid – in theorie – altijd toegang tot alle informatie bieden. Daarbij moeten we ons wel beseffen dat een beetje crimineel zich niet zou houden aan de regel dat cryptografie verzwakt moet zijn en je uiteindelijk de goedwillende burger benadeelt.

Minister Ard van der Steur begint het jaar 2016 goed in zijn brief aan de Tweede Kamer die keuze duidelijk te maken voor een vrij internet en niet cryptografie stuk te maken:

“Het kabinet heeft tot taak de veiligheid van Nederland te waarborgen en strafbare feiten op te sporen. Het kabinet onderstreept hierbij de noodzaak tot rechtmatige toegang tot gegevens en communicatie. Daarnaast zijn overheden, bedrijven en burgers gebaat bij maximale veiligheid van de digitale systemen. Het kabinet onderschrijft het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven, en voor de Nederlandse economie.

Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen.”

Winst

Op dit dossier kiest de regering voor een vertrouwde digitale samenleving. Dat is goed nieuws en winst. Nu hopen dat met dit standpunt ook Minister Plasterk zijn wetsvoorstel voor de inlichtingendiensten aanpast. Hij eiste onder omstandigheden ook verzwakking van cryptografie.

Overigens is daarmee niet alles veilig voor de criminelen, want als het aan de regering ligt wordt het wel mogelijk op computers in te breken en zo bij gegevens te komen vóór ze worden versleuteld.