Er wordt een camera geplaatst op het Museumplein. De camera op de foto is niet van een Chinees merk.

Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

37 artikelen

Wat betekent de opmars van China voor Nederland en Europa? Lees meer

China neemt nadrukkelijk zijn plaats op het wereldtoneel in. Naar verwachting streeft het de Verenigde Staten binnenkort voorbij als de grootste economie. Op allerlei manieren is China bezig kennis en hoogwaardige technologie in handen te krijgen; het wil in 2025 een onafhankelijke technologische grootmacht zijn. Wat betekent dit voor Nederland, dat al innig met China is verbonden?

50 artikelen

Er wordt een camera geplaatst op het Museumplein. De camera op de foto is niet van een Chinees merk. © Olaf Kraak / ANP

Overheden en politie gebruiken omstreden Chinese bewakingscamera’s

In Nederland hangen tienduizenden bewakingscamera’s van Hikvision en Dahua, bedrijven die zijn betrokken bij mensenrechtenschendingen in de Chinese provincies Tibet en Xinjiang. De meeste van deze camera’s zijn in particuliere handen, maar ook de gemeente Amsterdam en de politie gebruiken ze, zo blijkt uit onderzoek van Follow the Money.

Oeigoeren weten dat de Chinese overheid nooit ver weg is, ook in Nederland niet. ‘We worden bespioneerd via WeChat en via familieleden, en ik vrees dat we ook bespioneerd worden door al die Chinese camera’s die hier hangen.’

Ahmedjan Kasim (25) moest vanwege zijn Oeigoerse afkomst tien jaar geleden China ontvluchten; zijn vader zit er nog steeds gevangen. Pas onlangs kreeg hij bericht dat zijn vader nog in leven is. Ahmedjan is tot in detail op de hoogte van het enorme surveillance- en onderdrukkingssysteem dat de Chinese overheid heeft opgezet in Xinjiang, de provincie waar veel Oeigoeren wonen. In dat systeem spelen bewakingscamera’s van merken als Hikvision en Dahua een cruciale rol.

De gevluchte Oeigoer begrijpt niet waarom er ook in Nederland duizenden camera’s van die merken hangen en dat zelfs overheden ze gebruiken.

Dat Nederland vol hangt met Chinese camera’s, blijkt onder meer uit data van Shodan, een zoekmachine die alle apparaten identificeert die met een eigen IP-adres via een open verbinding met internet zijn verbonden.

Een woordvoerder van de gemeente bevestigt dat Amsterdam ‘bijna 300’ camera’s van Hikvision in gebruik heeft en ook camera’s van Dahua inzet

Alleen al van Hikvision hangen in Nederland minimaal 26 duizend camera’s en andere hardware, zoals recorders. Van Dahua hangen er bijna 10 duizend camera’s door het land. In totaal dus circa 36 duizend camera’s van Chinese makelij. Een kleine 8 duizend daarvan draaien in Amsterdam, rond de 4 duizend in Rotterdam en bijna 1500 in Den Haag.

Apparaten die niet over een open verbinding beschikken, bijvoorbeeld omdat ze uit veiligheidsoverwegingen in een afgesloten netwerk draaien, pikt de zoekmachine niet op. Er hangen in Nederland dus waarschijnlijk veel meer camera’s dan Shodan laat zien.

Dit blijkt al wanneer Follow the Money contact opneemt met Amsterdam. De gemeente komt niet als IP-houder in de zoekmachine voor. Niettemin bevestigt een woordvoerder dat Amsterdam ‘bijna 300’ camera’s van Hikvision in gebruik heeft en ook camera’s van Dahua inzet. Een woordvoerder merkt daarbij op dat de gemeente geen software van Hikvision of Dahua gebruikt en dat de bedrijven geen persoonsgegevens voor de stad verwerken.

Hikvision en Dahua

Hikvision en Dahua zijn techbedrijven die geheel of gedeeltelijk in handen zijn van de Chinese staat. Hangzhou Hikvision Digital Technology (Hikvision) opende in 2001 zijn deuren. Sindsdien is het geëxplodeerd tot de grootste aanbieder van videosurveillance-producten ter wereld met klanten in 150 landen. Het bedrijf heeft een uitgebreid portfolio, van beveiligingscamera’s, tot alarmsystemen en software. Hikvison heeft volgens het halfjaarrapport over 2021 twee controlling shareholders, die beide eigendom zijn van staatsbedrijf China Electronics Technology Group Corporation.

Het hoofdkwartier voor de Europese markt bevindt zich in Hoofddorp. In april 2020 werd voormalig MIVD’er Fred Streefland daar aangesteld als Director Cybersecurity EMEA. Sinds 2009 heeft Hikvision in Nederland ook een verkoopkantoor. Deze vestiging had in 2020 een omzet van 30,5 miljoen euro en een winst van 2,6 miljoen.

Van 2017 tot de zomer van 2020 was Hikvision sponsor van voetbalclub Ajax. Ook gebruikte Ajax camera’s en technologie van Hikvision in het Johan Cruyff-stadion en complex De Toekomst. Doel was het monitoren en analyseren van wedstrijden en trainingen. Vorig jaar liet Ajax Follow the Money weten dat een deel van die camera’s nog in gebruik is maar dat van de technologie van Hikvision geen gebruik meer wordt gemaakt.

Hikvision verzorgt in Nederland volgens de eigen website onder andere de beveiliging tijdens het jaarlijkse driedaagse Parkpop festival in Schijndel. Voor De Nederlandse Kluis, de grootste onafhankelijke aanbieder van professionele kluizen in Nederland, leverde Hikvision 720 camera’s voor 32 locaties. Verder analyseert Hikvision voor discountketen Big Bazaar de verkeersstromen van zijn klanten en bedacht het met een Nederlandse partner een camera/software-systeem om de bezoekersstromen te reguleren van Jumbo-supermarkten van de Leussink Retail Groep.

Zhejiang Dahua Technology, dat gedeeltelijk in handen is van de Chinese staat, heeft sinds 2014 een vestiging in Nederland. Die maakte in 2020 ruim 713 duizend euro winst op een omzet van 161,7 miljoen. In de Drentse gemeente Nieuw-Amsterdam werd in 2016 Dahua-apparatuur ingezet om overlast en vandalisme in een winkelcentrum te bestrijden. Daarvoor trok de gemeente 2 miljoen euro uit.

Lees verder Inklappen

Amsterdam is niet de enige gemeente met Chinese surveillance-spullen. Uit aanvullend onderzoek van Follow the Money blijkt dat ook de gemeenten Zeist, Borsele, Eijsden-Margraten en Venray gebruik maken van camera’s van Hikvision, terwijl de gemeente Huizen beveiligingscamera’s van Panasonic heeft aangesloten op een recorder van Hikvision.

De camera’s worden ingezet voor een veelvoud aan taken. Amsterdam gebruikt ze onder meer voor de beveiliging van sporthallen en parkeergarages. Eijsden-Margraten zet ze in voor de handhaving van de ‘openbare orde en veiligheid in de openbare ruimte’ en de camera’s in Borsele zijn onder meer gericht op de in- en de uitgang van het gemeentehuis.

Shodan is niet altijd betrouwbaar, doordat de registratie van IP-adressen bij providers soms achterloopt. Zo zou de politie Oost-Nederland over twee IP-adressen beschikken waaraan Hikvision-camera’s zijn gekoppeld, maar bij navraag blijkt dat het om IP-adressen gaat die al ‘langere tijd’ niet meer door de politie worden gebruikt. ‘Door achterstallig onderhoud bij de provider is onze naam ten onrechte blijven staan. Dit is afgelopen week aangepast.’

Op vragen of deze politie-eenheid überhaupt camera’s gebruikte en zo ja, van welke merken, antwoordt de woordvoerder dat een ‘klein aantal’ camera’s van Hikvision en Dahua wordt gebruikt: ‘Belangrijk daarbij is om te vermelden dat het enkel gaat om de hardware: we maken geen gebruik van andere diensten. Deze camera’s zijn met glasvezel op ons eigen netwerk aangesloten en [..] worden ingezet onder artikel 3 Politiewet’. Dit artikel betreft de algemene taken van handhaving van de rechtsorde en hulpverlening.

Of Oost-Nederland de enige politie-eenheid is die Chinese camera’s gebruikt, is onduidelijk. Een woordvoerder van de Nationale Politie meldt dat de inkoop van hardware regionaal plaatsvindt. Zij kon daarom gisteren niet zeggen of ook andere politie-eenheden Hikvision- en/of Dahua-camera’s gebruiken.

Hikvision is niet het enige Chinese videosurveillance-bedrijf met een sterke aanwezigheid in Nederland. Ook van Dahua hangen er volgens Shodan duizenden in het land. Zandvoort en Amsterdam bevestigen tegenover Follow the Money dat zij deze camera’s gebruiken.

Omstreden bedrijven

Hikvision en Dahua zijn omstreden. Beide bedrijven worden door verschillende media en het Amerikaanse nieuwsplatform voor surveillance-apparatuur IPVM in verband gebracht met het enorme surveillance-systeem dat de Chinese overheid in de provincies Tibet en Xinjiang heeft opgetuigd om Tibetanen, Oeigoeren en andere minderheidsgroepen te onderdrukken en in de gaten te houden.

In 2019 besloot de Amerikaanse overheid om Dahua, Hikvision en 26 andere Chinese bedrijven uit te sluiten van binnenlandse opdrachten vanwege hun betrokkenheid bij mensenrechtenschendingen. In juni 2021 ging de Amerikaanse president Biden nog een stap verder. Hij verbood Amerikaanse bedrijven via een executive order nog te investeren in Hikvision, vanwege de banden van het bedrijf met het Chinese leger. Biden omschreef de situatie van de Oeigoeren in Xinjiang bovendien als een van ’s wereld grootste schendingen van mensenrechten. Inmiddels hebben veel landen de grootschalige schendingen van de mensenrechten in Xinjiang omschreven als ‘genocide’.

Ook andere landen troffen maatregelen tegen Hikvision. In augustus 2021 maakte de Taiwanese overheid bekend dat alle overheidsdiensten aan het einde van dat jaar alle uit China-afkomstige ict-apparatuur moeten hebben afgestoten. Een van hun belangrijkste leveranciers van ict-producten: Hikvision.

Vorig jaar zomer stelde ook het invloedrijke Britse Foreign Affair Committee na dagen van hoorzittingen en onderzoeken naar de situatie in Xinjiang de Britse overheid voor om een aantal maatregelen te nemen. Een daarvan, was een verbod op het gebruik van Hikvision-camera’s. De Britse regering wees die maatregel in november af. Eerder liet Hikvision in een reactie weten dat de beschuldiging dat het bedrijf betrokken is bij mensenrechtenschendingen ‘onbewezen’ en ‘ongefundeerd’ is.

Nederlands inkoopbeleid

Het gebruik van camera's van Hikvision en Dahua door lokale overheden en de politie in Oost-Nederland is saillant. Temeer daar er op landelijk niveau al jaren aandacht is voor – met name – Hikvision en de associatie van het bedrijf met mensenrechtenschendingen.

Naar aanleiding van het blacklisten van Hikvision in de VS dienden Kathalijne Buitenweg (GroenLinks) en Kees Verhoeven (D66) in juni 2019 een motie in, waarin zij de regering vroegen te onderzoeken ‘in hoeverre de surveillance-apparatuur van Chinese bedrijven met nauwe banden met de Chinese overheid is uitgerold in Nederland, welke grenzen zij daaraan wil stellen, en daarover de Kamer te informeren’. Toenmalig minister van Justitie en Veiligheid Grapperhaus verzocht de motie ‘aan te houden’: hij wilde namelijk eerst een Kamerbrief opstellen over ‘alle aspecten rondom die camera’s met gezichtsherkenning’. 

Vijf maanden later, op 20 november 2019, volgt die brief. Hoe breed Hikvision en Dahua zijn uitgerold in Nederland weet de minister echter niet: ‘Apparatuur van deze leveranciers worden zowel aan bedrijven als particulieren verkocht. De overheid houdt geen zicht op deze verkoop. Het is dan ook niet mogelijk om een uitspraak te doen over het aantal camera’s van deze twee leveranciers in Nederland.’

Al in juni 2019 wilde de Kamer weten ‘in hoeverre de surveillance-apparatuur van Chinese bedrijven [..] is uitgerold in Nederland’. Er kwam geen antwoord

In december 2020 komen er opnieuw Kamervragen over Hikvision, nu gericht aan toenmalig minister Stef Blok van Buitenlandse Zaken. Martijn van Helvert (CDA) wil weten of ’Nederlandse overheidsinstellingen gebruik [maken] van surveillance-apparatuur van Chinese bedrijven die in China betrokken zijn bij mensenrechtenschendingen’. Ook Blok antwoordt dat zo’n overzicht ontbreekt.

In onderzoek naar de uitrol van Chinese surveillance-apparatuur in Nederland heeft Blok evenwel geen zin. Net als minister Grapperhaus zegt hij dat het kabinet geen overzicht bijhoudt van de merkkeuzes van private partien. Opvallend genoeg verwacht het kabinet volgens Blok wel ‘van alle Nederlandse bedrijven’ dat zij internationale richtlijnen volgen voor verantwoord en humaan ondernemen en ‘in kaart brengen in hoeverre zij via hun bedrijfsactiviteiten en ketenpartners verbonden zijn aan risico’s voor mens en milieu [..] en hier verantwoording over af te leggen’.

Bedrijven moeten dus verantwoording afleggen, maar ondertussen maken verschillende lagere overheden gebruik van de camera’s van Hikvision en Dahua zonder dat het kabinet er weet van heeft. En ook lokaal weet niet iedereen wat er gaande is. Zo laat de gemeente Oss bijvoorbeeld weten dat zij de merkkeuze van de beveiligingscamera’s aan de leverancier overlaat.

Aanbestedingen 

De woordvoerder van de gemeente Amsterdam stelt dat de stad zich ‘zeer bewust [is] van de bezwaren en mogelijke risico’s’, maar dat het Hikvision-camera’s heeft hangen, omdat de gemeente zich nu eenmaal aan de Aanbestedingswet moet houden: ‘Die voorziet niet in mogelijkheden om producten van Chinese staatsbedrijven uit te sluiten. De gemeente moet aanbestedingen in de markt zetten en daar schrijven partijen op in die zélf het merk bepalen. Merken op voorhand uitsluiten kan dus niet zo maar.’ 

Op 10 april 2020 stelde de minister van Buitenlandse Zaken Stef Blok, naar aanleiding van Kamervragen, dat de Nederlandse overheid zich inspant om te voorkomen dat zij zaken doet met bedrijven die ‘in hun ketens’ mensenrechten schenden. Bij Europese aanbestedingen voor bijvoorbeeld ict of bedrijfskleding geldt dat internationale sociale voorwaarden mogen worden opgenomen. Dat betekent dat leveranciers, zolang het contract geldt, zich moeten ‘inspannen’ om schendingen van arbeidsnormen en mensenrechten in hun productieketen te voorkomen of te verkleinen.

Volgens David Ollivier de Leth van het MVO Platform, een non-profitorganisatie die ijvert voor beter overheidsbeleid inzake maatschappelijk verantwoord ondernemen, is er veel ruimte voor verbetering. ‘De overheid moet niet in zee gaan met bedrijven waarbij sprake is van ernstige mensenrechtenschendingen in de keten. Gemeenten kunnen hier werk van maken, door bij een aanbestedingsprocedure relevante criteria op te nemen in het programma van eisen, in de gunningscriteria of in de selectiecriteria,’ aldus De Leth. Helaas ziet hij dat de overheden dit beleid wel onderschrijven, maar dat de uitvoering te wensen overlaat: ‘Te vaak worden er geen of onvoldoende voorwaarden gesteld aan de bedrijven die een overheidscontract gaan uitvoeren.’

Kwetsbaarheden in systeem

De situatie in Xinjiang is niet de enige negatieve publiciteit die Hikvision de afgelopen jaren te verduren kreeg. Door de jaren heen heeft het bedrijf de nodige problemen gekend met de veiligheid van haar producten. Tussen maart 2014 en januari 2020 registreerde het Amerikaanse National Institute of Standards and Technology veertien kwetsbaarheden in de software van het bedrijf, waarvan er vier als ‘kritiek’ werden bestempeld.

De meest geruchtmakende: in maart 2017 werd een ‘achterdeur’ in de firmware van de camera’s van Hikvision ontdekt. Met behulp van een simpele ‘magic string’ was het mogelijk via internet de controle over de camera’s over te nemen, wachtwoorden te veranderen, snapshots te nemen en gevoelige data buit te maken.

Het lek was zo ingrijpend en eenvoudig te benutten dat die de hoogst mogelijke score kreeg: 10 uit 10. Erger kan niet

De kwetsbaarheid was volgens het Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) zo ingrijpend en eenvoudig te benutten dat die de hoogst mogelijke score kreeg: 10 uit 10. Erger kan niet.

Hikvision stelde twee maanden voor de ontdekking ervan nooit 'achterdeurtjes' in te bouwen en gooide het op een menselijke fout. Die uitleg overtuigde de ontdekker van het gat niet. Tegen de Amerikaanse surveillance-nieuwssite IPVM zei Monte Crypto, de ontdekker van het gat, dat hij zich niet kon voorstellen dat Hikvision zo’n basale ‘fout’ jarenlang over het hoofd zou hebben gezien. Hij hield het op een bewust ingebouwde ‘achterdeur’. 

In juni 2020 publiceerde het Litouwse National Cyber Security Center, onderdeel van het ministerie van defensie, een rapport waarin het onder meer concludeerde dat de camera’s van Hikvision konden worden gebruikt voor cyberaanvallen, en dat de beveiliging van de onderzochte Dahua camera’s niet op orde was. Volgens het NCSC werden de camera’s tussen 2016 en 2020 onder meer gebruik voor DDOS-aanvallen en beschikten ook deze camera’s over een kwetsbaarheid waardoor deze eenvoudig op afstand konden worden overgenomen.

In juni 2021 werd opnieuw een kritieke kwetsbaarheid in de camera’s van Hikvision ontdekt. Volgens de onderzoeker die dit lek meldde, kon een kwaadwillende aanvaller hiermee niet alleen de volledige controle over de camera’s krijgen, maar ook doorbreken naar de netwerken waarbinnen de camera’s hingen en ook die aanvallen. Drie maanden na de ontdekking bevestigde Hikvision de zwakke plek, die wereldwijd de veiligheid van miljoenen camera’s aantastte.

‘Voorwaarden stellen’

De berichten over kwetsbaarheden waren al in 2019 voor het Nederlandse bedrijf VCS Observation aanleiding om het partnerschap met Hikvision te ontbinden. ‘Onze klanten zijn over het algemeen overheden. Zij waren bezorgd over alle verhalen over Chinese camera’s in het algemeen. We hebben toen snel afscheid genomen van Hikvision en zijn verder gegaan met de merken Bosch en Axis,’ zegt VCS-directeur Wim van Deijzen. Volgens hem heeft zijn bedrijf bij een project met verkeerscamera’s in Den Haag nog Hikvision-apparatuur gebruikt. ‘Maar dat is ook het laatste project geweest.’

VCS schrijft veel in op openbare aanbestedingen van overheden. ‘Ik heb in al die aanbestedingen nog geen enkele keer meegemaakt dat daarin bepaalde voorwaarden stonden.’ Volgens hem komt dat doordat lagere overheden zich bij aanbestedingen laten bijstaan door juridische consultants die met een hele nauwe juridische blik naar een aanbesteding kijken. ‘Want volgens mij kun je in een openbare aanbesteding wel degelijk allemaal voorwaarden stellen aan het product en de leverancier.’

In een reactie zegt Kees Verhoeven, die tegenwoordig een eigen adviesbureau voor digitale technologie leidt, geschokt te zijn nu blijkt dat overheden wel degelijk apparatuur van Hikvision en Dahua gebruiken. ‘Dit is absurd. Nooit heeft toenmalig minister Grapperhaus een duidelijk antwoord willen geven op onze vragen of ook overheden camera’s van Hikvision en Dahua gebruiken. Nu blijkt dit wel degelijk het geval te zijn. Ik vind dit echt verbijsterend. Dat kan en mag de Tweede Kamer niet over zijn kant laten gaan.’