Een bewakingscamera in een trein. Het is onduidelijk of deze camera van een Chinees merk is.

Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

37 artikelen

Een bewakingscamera in een trein. Het is onduidelijk of deze camera van een Chinees merk is. © Robin Utrecht

ProRail dumpt Chinese bewakingscamera's, de NS laat ze hangen

Spoorbeheerder ProRail wil nog voor het einde van dit jaar af van alle Chinese bewakingscamera’s. De NS blijft ze gebruiken en krijgt er zelfs duizenden bij – omdat er ‘geen negatief overheidsadvies’ is. Chinese camera’s zijn omstreden vanwege hun gebrekkige veiligheid, de mogelijkheden voor spionage, en het gebruik bij de onderdrukking van minderheden in China.

Wie een fiets stalt, het station binnenwandelt en de trein neemt, loopt grote kans van A tot Z door een bewakingscamera te worden gefilmd. Dat is het gevolg van een afspraak uit 2016, tussen vervoerbedrijven als de NS, reizigersorganisatie Rover, spoorbeheerder ProRail en verschillende ministeries. 

De camera’s waren een van de maatregelen om het toenemende aantal incidenten met reizigers en spoorpersoneel in te dammen. Zo werd in maart 2015 een hoofdconducteur zwaar mishandeld in een trein op het station van Hoofddorp. Ze kwam in de eerste klas een lastige reiziger tegen die de trein niet uit wilde. De vrouw liep diverse breuken in haar gezicht op. In april van dat jaar werd een conducteur in de trein van Utrecht naar Amsterdam door vier jongens tegen de grond gewerkt en geschopt.

Het zijn maar twee voorbeelden in een reeks incidenten die de roep om meer en beter toezicht op en rond het spoor versterkten – met een belangrijke rol voor camera’s.

Stations, stallingen en treinen

ProRail, volledig in handen van de staat, gebruikt ruim zesduizend camera’s waarvan het merendeel op stations en in fietsenstallingen. 

De NS, waarvan de staat ook alle aandelen bezit, heeft camera’s bij de poortjes en in servicepunten en winkels. Personeel van de afdeling veiligheid & service van de NS beschikt over bodycams en mobiele camera’s. In totaal hangen er op dit moment in treinen van de NS meer dan 3500 camera’s. Het merendeel is van westerse merken als Bosch, Siemens, Axis, Verint en Teleste.

Maar in antwoord op vragen van Follow the Money zegt een woordvoerder dat ook de Chinese merken Hikvision en Dahua vertegenwoordigd zijn.

In dubbeldekstreinen (van de series VIRM 2 en 3) hangen 1500 Chinese camera’s. En in 99 nieuwe ICNG-enkeldeks intercity's, die overigens nog niet in gebruik zijn, komen straks ongeveer 5000 camera’s uit China. Dat komt neer op vijftig camera’s per trein.

Pas in de ontwerpfase bleek dat er Chinese camera’s in de treinen zouden komen

De bouwers van die treinen (respectievelijk het Duits-Oostenrijkse Strabag en het Franse Alstom) werken volgens de NS met een Chinese onderleverancier, die ook verantwoordelijk is voor de inbouw van de camera’s.

De beide typen treinen werden in 2016 na een aanbestedingsprocedure gekocht. Pas tijdens de ontwerpfase van de ICNG-treinen bleek dat er Chinese camera’s in zouden komen, zegt de woordvoerder.

Surveillance

Follow the Money berichtte eerder over Chinese camera’s langs snelwegen en rond allerlei overheidsgebouwen, waaronder ministeries. De overheid is er bovendien niet van op de hoogte dat ze op grote schaal Chinese camera’s gebruikt. Gemeenten en andere instanties kregen dat pas door toen Follow the Money vragen stelde.

De ook door de NS gebruikte Chinese camera’s zijn van Hikvision en Dahua. Deze merken zijn door verschillende media en IPVM, een gezaghebbend Amerikaanse platform voor nieuws over videobewaking, in verband gebracht met het surveillance-systeem dat de Chinese overheid in de provincies Tibet en Xinjiang gebruikt om Tibetanen, Oeigoeren en andere minderheidsgroepen te monitoren en te onderdrukken.

ProRail heeft camera’s van Hikvision en Huawei. Ook dit laatste bedrijf is betrokken bij de repressie in Xinjiang. 

In december 2020 berichtten IPVM en The Washington Post dat Huawei met het eveneens Chinese Megvii gezichtsherkenningssoftware ontwikkelde dat een onderscheid kan maken tussen Han-Chinezen en Oeigoeren en mensen van andere minderheidsgroepen. Dat was op te maken uit een document op de website van Huawei. Na de publicaties werd dit verwijderd. 

Huawei wordt al langere tijd beschuldigd van spionage. Zijn apparatuur zou bovendien ‘geheime’ achterdeurtjes bevatten, waardoor het bedrijf ongeoorloofd toegang heeft tot klantgegevens.

Centrale rol in repressie

De Chinese overheid heeft berichten over onderdrukking van Oeigoeren steeds ontkend, maar vorige week verscheen het langverwachte rapport van Michelle Bachelet, de Hoge Commissaris voor de mensenrechten van de Verenigde Naties, over de situatie in Xinjiang. 

Hoewel onder zware druk van China de termen ‘genocide’ en ‘gedwongen sterilisatie’ niet in het rapport voorkomen, is de teneur duidelijk. Op basis van tientallen interviews, rapporten van deskundigen en gelekte documenten, komt Bachelet tot de conclusie dat China zich niet alleen schuldig maakt aan ‘ernstige schendingen van de mensenrechten’ maar mogelijk ook aan misdaden tegen de menselijkheid.

Chinese bedrijven moeten alle data overhandigen als de overheid dat vraagt

In het repressieve systeem, waarin Oeigoeren 24 uur per dag, zeven dagen in de week overal worden gevolgd, speelt Hikvision een centrale rol. Uit gelekte aanbestedingsdocumenten bleek afgelopen mei dat het bedrijf de centrale provider is in de commandocentra in Xinjiang.

Camera’s van Hikvision en Dahua halen ook het nieuws vanwege hun gebrekkige bescherming. Zo toonden onderzoekers van cyberwaakhond Watchful IP in september 2021 aan dat derden heel makkelijk toegang kunnen krijgen tot Hikvision-camera’s. En vorige week ontdekten onderzoekers van beveiligingsbedrijf CYFIRMA dat 80.000 Hikvision-camera’s in ruim honderd landen, ondanks een software-update, nog steeds kwetsbaar zijn.

Los van deze veiligheidsrisico’s kunnen gegevens, verkregen via Chinese camera’s, ook terechtkomen bij de Chinese overheid. Sinds 2017 geldt in China een cyberveiligheidswet die bedrijven verplicht om al hun data te overhandigen als de overheid daar om vraagt.

Hikvision, Dahua en Huawei

Techbedrijven Hikvision en Dahua zijn deels in handen van de Chinese staat.

Hangzhou Hikvision Digital Technology (Hikvision) opende in 2001 zijn deuren en is sindsdien uitgegroeid tot de grootste aanbieder van bewakingsproducten (beveiligingscamera’s, alarmsystemen en software) ter wereld met klanten in 150 landen. Hikvision heeft volgens het halfjaarrapport over 2021 een ultimate controller, die eigendom is van het staatsbedrijf China Electronics Technology Group Co. Ltd.

Het hoofdkwartier voor de Europese markt bevindt zich in Hoofddorp. In april 2020 werd Fred Streefland, die eerder werkte bij de militaire inlichtingendienst (MIVD), er aangesteld als director cybersecurity. In juli van dit jaar vertrok hij daar weer. Volgens Streefland bezit de Chinese staat 41 procent van de aandelen Hikvision.

Sinds 2009 heeft Hikvision in Nederland ook een verkoopkantoor. Deze vestiging boekte in 2020 een omzet van 30,5 miljoen euro en een winst van 2,6 miljoen.

Zhejiang Dahua Technology, dat gedeeltelijk van de Chinese staat is, heeft sinds 2014 een vestiging in Nederland. Die maakte in 2020 ruim 713 duizend euro winst op een omzet van 161,7 miljoen.

Hoewel een privaat telecombedrijf, heeft Huawei nauwe banden met de Chinese staat. Zo becijferde The Wall Street Journal in 2019 dat het in totaal 75 miljard dollar van de Chinese overheid had ontvangen aan subsidies, leningen en belastingvoordeeltjes.

Huawei heeft diverse vestigingen in Nederland, waaronder een coöperatie die in 2021 goed was voor een omzet van 26,3 miljard euro en een winst van 898,2 miljoen euro.

Lees verder Inklappen

ProRail is op de hoogte van de kwalijke reputatie van Chinese camera’s, zegt een woordvoerder. Maar spionage via achterdeurtjes in de apparatuur is volgens hem onmogelijk: ‘Dat komt doordat alle camera’s zijn gekoppeld aan een afgesloten en beveiligd deel van het netwerk van ProRail, waarbij bovendien gebruik wordt gemaakt van niet-Chinese servers en recorders.’

‘NS ziet momenteel geen aanleiding om die merken te vervangen’

In dit beveiligde netwerk worden de camera’s, volgens de spoorbeheerder, bestuurd met een videomanagement-systeem dat minimaal jaarlijks een update krijgt en dat ieder kwartaal wordt bijgewerkt met zogeheten security patches: kleine stukjes software om problemen op te lossen of te voorkomen. Om het zekere voor het onzekere te nemen, heeft ProRail inmiddels besloten om de 196 camera’s van Hikvision en Huawei nog dit jaar weg te halen.

De woordvoerder voegt daaraan toe: ‘Naar aanleiding van deze issues hebben wij de beleidsbeslissing genomen om ongeacht de vraag of de veiligheid daadwerkelijk in het geding is, deze partijen niet meer mee te nemen in aanbestedingen.’

Zover wil de NS niet gaan. Het vervoersbedrijf zegt nauw contact te houden met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Dat geeft op dit moment geen negatief advies voor het gebruik van camera’s van Dahua en Hikvision. ‘NS volgt hierin het advies van de NCSC en ziet daardoor momenteel geen aanleiding om die merken te vervangen.’

Kamervragen

Een woordvoerder meldt dat de NS is gebonden aan aanbestedingsregels en dat die bepalen dat het vervoerbedrijf bepaalde leveranciers en producten niet op voorhand mag uitsluiten. Wel moet de NS voorwaarden stellen aan leveranciers en producten. ‘Wij onderzoeken hoe we toekomstige aanbestedingen het beste in kunnen richten, zodat alle producten en (toe)leveranciers voldoen aan onze wensen en onze maatschappelijke rol.’

Het argument dat de NS met handen en voeten vast zit aan aanbestedingsregels kwam ook naar voren in de eerdere artikelenreeks over het gebruik van Chinese camera’s door overheidsinstanties.

Mede naar aanleiding van die publicaties stelde de VVD-fractie Kamervragen aan de ministers van Justitie en Buitenlandse Zaken en aan de staatssecretaris van Binnenlandse Zaken over het dwingende karakter van aanbestedingen.

Cyberdreiging uit China

Op 22 juni antwoordden de bewindspersonen dat het ‘staand beleid’ is om bij inkoop en aanbestedingen per casus te bekijken of er risico’s zijn voor de nationale veiligheid en zo ja, hoe deze beheersbaar kunnen worden gemaakt. 

Ze schreven ook dat cyberdreiging vanuit China serieus moet worden genomen en dat de overheid om die reden op dit moment onderzoekt of aan het gebruik van Chinese camera’s risico’s kleven voor de nationale veiligheid. De overheid onderzoekt ook of bepaalde producten en technologieën voortaan in Nederland of in Europa kunnen worden gemaakt, om zo de weerbaarheid te vergroten.

Vincent Böhre, de directeur van privacywaakhond Privacy First, noemde de grootschalige inzet van Chinese camera’s door overheidsinstanties eerder ‘zorgwekkend’ vanwege vragen over de veiligheid, de potentiële negatieve implicaties voor de privacy, en de situatie in Xinjiang. ‘Je moet je afvragen of je als overheidsinstantie met dit soort fabrikanten geassocieerd wilt worden.’

David Ollivier de Leth van MVO Platform, een non-profitorganisatie die ijvert voor maatschappelijk verantwoord ondernemen, was stelliger: ‘De overheid moet niet in zee gaan met bedrijven in wier keten sprake is van ernstige mensenrechtenschendingen.’