Deze week publiceerde FTM de Cybersecurity Top 50. Daarin staat hoogleraar Bart Jacobs op de eerste plaats. Hoe denkt de meest invloedrijke persoon in het Nederlandse publieke cybersecurity-debat over zijn vak? ‘Ik zie een soort ver-Google-isering van de maatschappij, waarbij wij compleet zitten te slapen.’

    Hij speelt al jarenlang een prominente rol in de discussie over online veiligheid. Of het nu gaat om lekke pinpassen of datahongerige inlichtingendiensten, Bart Jacobs heeft er een mening over. En dus belandde de 54-jarige hoogleraar digital security van de Radboud Universiteit deze week op de eerste plaats in onze Cybersecurity Top 50. Follow the Money ging bij hem langs voor een gesprek.

    Gefeliciteerd, u bent de meest invloedrijke deelnemer aan het debat over cybersecurity. Verbaast dat u?

    ‘Ik had wel een vermoeden dat ik in de top 5 zou zitten. Ik bemoei me al jaren met de grote onderwerpen. Pinpassen die je kon kraken, stemmachines die niet deugden, een lekke OV-chipkaart, gehackte autosleutels, maar ook de hele discussie rond Snowden. De media weten me al sinds begin deze eeuw te vinden.

    ‘Journalisten die me vijftien jaar geleden belden, waren onwetend, naïef eigenlijk. Dat gold voor de hele maatschappij: er was toen nog een groot vertrouwen in digitale ontwikkeling. Het heeft bijvoorbeeld heel lang geduurd voor men overtuigd raakte dat je stemcomputers kon manipuleren. Dat is nu wel anders: kijk maar naar wie er in het Witte Huis zit en hoe hij daar is beland! Politici, beleidsmakers en het bedrijfsleven weten tegenwoordig wel degelijk dat computersecurity en privacy issues je plannen kunnen maken en breken.’

    Blijkbaar is dat besef er ook bij het kabinet. Bent u blij dat Willem-Alexander vorige week in de troonrede waarschuwde voor cyberspionage, cybersabotage en cybercrime?

    ‘Ik zie het als een erkenning van het probleem. Volgens mij heeft deze koning ook persoonlijk belangstelling voor het onderwerp. Toen hij hier in Den Haag ooit het Nationaal Cyber Security Centrum bezocht, was iedereen onder de indruk van zijn kennis van zaken.’

    "Ik val niet echt om van het bedrag dat het kabinet vrijmaakt voor cybersecurity"

    En de investering van 26 miljoen euro die er bij hoort?

    ‘Ik val niet echt om van het bedrag dat het kabinet vrijmaakt, waarbij er van die 26 miljoen ook nog eens geen cent naar onderwijs en onderzoek gaat! Het blijft bij defensie, politie en inlichtingendiensten. Duitsland en Engeland investeren veel meer, nadrukkelijk ook in kennis. Ik merk het in mijn academische omgeving dat mensen uitnodigingen krijgen om in die landen te komen werken. Dat is voor Nederland echt een probleem, zeker op de langere termijn.’ 

    Ontbreekt het aan een overkoepelend beleid in Nederland?

    ‘Een ambtenaar zal op die vraag zeggen: “Nee hoor, we hebben in Nederland toch de Cyber Security Strategie?” Daar staan algemene uitspraken in als: “Wij zoeken een balans tussen veiligheid en economische groei.”’

    Klinkt mooi, maar wie is er verantwoordelijk voor?

    ‘Dat is een van de dingen waar iedereen op zit te wachten. Wat gaat Den Haag doen? Er is deze kabinetsperiode wel een digicommissaris gekomen: Bas Eenhoorn. Een hele aardige man, maar niet iemand die op dit onderwerp zijn sporen heeft verdiend. Hij heeft ook geen budget en geen macht. Dat weet Eenhoorn zelf ook wel. Er zijn nu verschillende scenario’s mogelijk: er kan een minister van ICT komen, een staatssecretaris, of een soort Delta-commissaris.’

    En vragen ze u om uw mening?

    ‘Ik zit in de Cyber Security Raad en daarin komen deze zaken wel aan de orde. Maar de Raad staat op afstand van de Haagse besluitvorming en heeft geen operationele rol. We kunnen slechts gevraagd of ongevraagd advies geven. We horen natuurlijk wel eens wat, want iemand als Dick Schoof, ook lid van de raad, zit dicht bij het vuur.’

     Welke rol speelt u in de raad?

    ‘Die van de onafhankelijke academicus, soms met verfrissend geluid. Er zitten een aantal mensen bij vanuit de ICT-industrie, vanuit VNO-NCW, maar ook vanuit de overheid. We clashen wel eens: over privacy bijvoorbeeld, of bij de fundamentele discussie over veiligheid van apparaten. Dan vindt de industrie dat mensen geen domme dingen met die producten moeten doen, terwijl ik op het standpunt sta: jullie moeten fatsoenlijke apparaten maken! Eelco Blok, de co-voorzitter die vorige week stopte, voelde soms aan zijn water dat ik het ergens niet mee eens was. Dan zei hij ironisch: “volgens mij wil Bart nog wat zeggen”.

    ‘Bij de politie heeft het lang geduurd om eigen inhoudelijke kennis op te bouwen’

    ‘De raad is typisch iets Nederlands. Daar komen mensen uit verschillende geledingen tot een fatsoenlijk gesprek. Dat is positief, maar ik vind wel dat er teveel nadruk ligt op publiek-private samenwerking. Waarom niet meer samenwerking met non-profit organisaties, zoals de Stichting Internet Domeinregistratie SIDN, verantwoordelijk voor de infrastructuur van webadressen? Of SURFnet, beheerder van netwerken voor het onderwijs? Die doen hele belangrijke dingen in de sector. Maar nee hoor, de overheid blijft zich richten op het bedrijfsleven. Terwijl we toch sinds het rapport-Elias weten dat de overheid regelmatig gewoon wordt opgelicht door de private ICT-sector.’

     Komt dat door een gebrek aan kennis bij de overheid?

    ‘Bij de overheid ligt natuurlijk een heel vervelende erfenis. Jarenlang is het beleid geweest om inhoudelijke kennis te outsourcen en alleen maar proces-managers aan te stellen. Dat is een strategische blunder van jewelste geweest. De inlichtingendiensten hebben daar nooit zo aan meegedaan; zij hebben hun eigen technische kennis in huis gehouden. Maar bij de politie heeft het lang geduurd om eigen inhoudelijke kennis op te bouwen, met name in het High Tech Crime Team.

    ‘Ik heb wel eens gezegd: je moet een cultuur creëren waarin de paardenstaartjes en de blotevoetenlopers zich thuis voelen. Dat is hier en daar gelukt, maar gaat moeizaam in hiërarchische organisaties zoals defensie. Onze studenten werken ook graag voor de overheid, want daar kan je spannende dingen doen. Maar je hoort ze niet in het publieke debat: ze werken in stilte, want zijn gebonden aan non-disclosures. Degenen die je wel hoort, zoals Ronald Prins en Rickey Gevers, zeggen verstandige dingen, maar hebben natuurlijk een commercieel belang bij die naamsbekendheid.’ 

    Dat heet in de Verenigde Staten het ‘cyber industrieel complex’: bedrijven die er voor zorgen dat ze via lobbyisten grote contracten van de overheid krijgen. Is daar in Nederland sprake van?

    ‘Ik denk dat die kruisbestuiving er is. The Hague Security Delta is zo’n lobbyclub. En  beveiligingsbedrijven zullen altijd ach en wee roepen en zeggen dat het probleem heel erg groot is.’

    ‘Dat is af en toe mijn rol: dat ik klip en klaar dingen kan zeggen’

    Maar moeten we ons zorgen maken?

    ‘Ja. Bijvoorbeeld over verkiezingen: ik was vorig jaar tijdens de verkiezingen in de Verenigde Staten en kon toen al zien dat het flink mis ging met de bemoeienis van de Russen. Ik maakte me zorgen dat dat in Nederland ook een risico zou zijn en heb dat bij terugkomst in Nederland ook gezegd in een uitzending van Nieuwsuur.

    ‘Ik denk achteraf dat dat de overheid wel goed uitkwam. Ik ben namelijk een tamelijk onverdachte figuur. Als de AIVD had gewaarschuwd, was het risico dat de bevolking zou zeggen: de Nederlandse diensten moeten zich hier helemaal niet mee bemoeien, of zelfs: ze proberen de uitslag van de verkiezingen te beïnvloeden. Toen ik het had gemeld, was het wat gemakkelijker voor de verantwoordelijke ministers om te zeggen: we zijn er mee bezig. Dick Schoof heeft toen in de Cyber Security Raad ook gemeld dat de inlichtingendiensten alert waren en dat politieke partijen werden gebriefd over de risico’s. Dat is af en toe mijn rol: dat ik klip en klaar dingen kan zeggen. Ze vinden me daarom soms een klier, maar soms ook een nuttige klier.’

    Dus wat Bart Jacobs vindt, doet er toe.

    ‘Ja, daar verbaas ik me zelf ook wel eens over. Mijn zogenaamde “media-carrière” begon toen ik net was benoemd als hoogleraar en door Trouw werd gebeld over de onveiligheid van pinpassen. Ik heb toen gezegd dat de beveiliging inderdaad zwak was.’ Dan, gniffelend: ‘De volgende dag stond er op de voorpagina: hoogleraar computerbeveiliging vindt pinpassen onveilig. Het klopte allemaal, maar ik schrok toch. Op dat moment realiseerde ik me wat een impact zo’n uitspraak kan hebben.’

    Krijgt de burger – via de media, de overheid, de wetenschap – een goed beeld van wat er speelt in uw vakgebied?

    ‘Niet voldoende. Dat is ook lastig, want het gaat om een dieper niveau van analyse. Ik heb dit voorjaar in Trouween groot opiniestuk geschreven waarin ik de veranderende machtsverhouding in de samenleving schets. Om die te begrijpen moet je de informatiestromen volgen: follow the data. Die bepalen de macht. Ik zie een soort ver-Googlisering van de maatschappij, waarbij wij compleet zitten te slapen. De vraag is vervolgens: wie komt er op voor publieke waarden in de digitale wereld? Dat resoneert veel te weinig bij de overheid. En ook de journalistiek – enkele uitzonderingen daargelaten – laat dit teveel liggen. Het blijft meestal op gadgetniveau hangen: helemaal kwijlen bij de volgende iPhone 10, 11 of 12, en niet kijken naar de onderliggende issues.


    Bart Jacobs

    "We maakten ons zorgen over Berlusconi, maar die sukkel had alleen kranten en tv"

    ‘Neem de zorgsector: die wordt overgenomen door de Googles en de Philipsen van deze wereld. Waarom? Medische data zijn waardevol en zieke mensen zeuren niet over privacy. Maar die data kan uiteindelijk bepalend zijn of iemand wel of niet een hypotheek krijgt. Er wordt in deze samenleving heel erg ingezet op keuzevrijheid. Dat is het grootste goed. Maar met die keuzevrijheid leveren mensen zichzelf uit aan de grote IT-bedrijven.

    ‘Nog een voorbeeld: het is verboden je eigen organen te verkopen. Dat kan je betutteling noemen, maar we hebben als maatschappij besloten dat je mensen die zo’n beslissing overwegen – vaak uit armoede – tegen zichzelf moet beschermen. Organen zijn buiten de handel geplaatst, heet dat in juridische termen.

    ‘Ik vind dat je dat ook moet doen met medische gegevens. De handel in die gegevens raakt niet alleen mijzelf, maar kan ook gevolgen hebben voor mijn kinderen of kleinkinderen. Mag ik mijn DNA op internet zetten? Als ik een erfelijke ziekte heb, kan dat gevolgen hebben voor mijn nakomelingen. Die kloppen straks misschien tevergeefs bij een verzekeraar of een bank aan. Mensen zijn zich daarvan niet bewust en klikken overal maar “ja” op, want je wilt aan alles meedoen. En de politiek vindt het prima, want de keuzevrijheid van het individu is heilig. Ik merk dat ik daar anders tegenaan ben gaan kijken. Ik heb van binnenuit wel een liberale kern, maar ben steeds betuttelender geworden. Dat moet wel om een zeker beschavingsniveau te handhaven.’

    U zegt: het is schijnliberalisme, de keuzevrijheid wordt juist ingeperkt door alle verantwoordelijkheid bij het individu te leggen.

    ‘Ja. We geven al onze gegevens weg. We worden genudged, we worden een bepaalde richting op geduwd zonder dat we het merken. Uiteindelijk blijft er niet zoveel meer over om te kiezen. De controle erop is ook weg. Als Mark Zuckerberg van Facebook bij de volgende Amerikaanse verkiezingen besluit zich kandidaat te stellen, dan kan hij zichzelf president maken. Ik noem het Berlusconi on steroids. We maakten ons zorgen over Berlusconi, maar die arme sukkel had alleen kranten en tv. Hij kon mensen niet via gepersonaliseerde boodschappen manipuleren.’

    ‘Als Brussel het strengste is op privacy, dan richt de wereldwijde sector zich daar naar’

    Dat klinkt toch vrij rampzalig. Waarom wordt het niet opgepikt als het zo belangrijk is?

    ‘Het is politiek geen interessant onderwerp, geen prioriteit. Je kunt als Nederland de Big Five niet in je eentje aanpakken. Maar in Europa kan het wél. Er wordt wel eens gesproken over het Brussel-effect; dat is een variant op het California-effect. De staat Californië heeft heel strenge emissiestandaarden. Die worden door autofabrikanten als richtlijn genomen, omdat het zo’n belangrijke afzetmarkt is. Dat geldt ook voor de ICT-sector en de Europese markt. Dus als Brussel het strengste is op privacy, dan richt de wereldwijde sector zich daar naar.’

    Hoe zou u het tij keren?

    ‘Ik vind dat je de Big Five als nutsbedrijven moet behandelen. Energiebedrijven hebben we ook bepaalde eisen opgelegd; bijvoorbeeld dat ze in dunbevolkte gebieden moeten leveren. Aan dergelijke voorwaarden zouden de grote techbedrijven ook moeten voldoen. Dus dat je het recht krijgt om niet te worden geprofileerd of dat je geen gefilterde informatie krijgt. Dat zal een hele uitdaging zijn.

    ‘Je kan zeggen: we willen geen fake news. Maar wat als Thierry Baudet roept: Nieuwsuur is fake news? Lastig, maar ik zie dat op de onderliggende machtissues in de politiek en journalistiek te weinig wordt ingegaan. Hopelijk is de manier waarop Trump aan de macht is gekomen een wake-up call.’

    Over de auteur

    Dieuwertje Kuijpers en Harry Lensink

    Lees meer

    Volg deze auteur
    Dit artikel zit in het dossier

    Hoe kwetsbaar zijn we online?

    Gevolgd door 236 leden

    Het internet heeft ons kwetsbaar gemaakt. Mal- en ransomware, hackers, cyberspionnen en zwarte markten bedreigen de online én...

    Lees meer

    Volg dossier

    Dit artikel krijg je cadeau van Follow the Money.

    Diepgravende onderzoeksjournalistiek kost tijd en geld. Steun ons en

    word lid