De camera op de foto is van ADT en niet van een Chinees merk.

Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

49 artikelen

De camera op de foto is van ADT en niet van een Chinees merk. © Erik van 't Woud / HH

Omstreden Chinese camera’s volgen Nederlandse automobilisten

De Nationale Politie kocht in juni 2021 circa 700 speciale camera’s van Dahua om het verkeer op de Nederlandse wegen in de gaten te houden. De gemeente Amsterdam heeft recent ook 254 van dit soort camera’s in en om de stad opgehangen. Dahua is omstreden omdat het bedrijf wordt gelinkt aan de onderdrukking van Oeigoeren in de Chinese provincie Xinjiang.

Wie met de auto op weg gaat, loopt grote kans om te worden gekiekt door een van de vele kentekencamera’s. In Nederland hangt namelijk een indrukwekkend netwerk van Automatic Number Plate Plate Recognition of ANPR-camera’s. Deze camera’s herkennen kentekens in de beelden die zij schieten en geven vrijwel simultaan informatie over die kentekens door aan een centrale server.

Oorspronkelijk waren ze bedoeld om te controleren of bestuurders hun wegenbelasting hadden betaald of boetes open hadden staan. Maar de speciale camera’s kwamen in juli 2021 op een andere manier in het nieuws. De politie bleek in een mum van tijd de auto te hebben kunnen lokaliseren waarin de mogelijke moordenaars van misdaadverslaggever Peter R. de Vries op de vlucht waren geslagen. Kort na de moordaanslag werd hun nummerplaat ingevoerd in het ANPR-systeem, waarna de auto kon worden gevolgd en de verdachten werden aangehouden.

Dat trok de aandacht van privacy-waakhonden en de media. Niet veel later bleek bovendien dat ANPR-camera’s niet alleen kentekens, maar ook inzittenden kunnen vastleggen en dat zulke beelden in een – zij het zeer beperkt – aantal gevallen door het Openbaar Ministerie zijn gebruikt in strafzaken. Daarbij ging het om ernstige delicten, zoals moord en doodslag. Maar de wettelijke grondslag voor dergelijk gebruik ontbrak, stelde het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) in september 2020 vast. In augustus kondigde het OM al aan dat het gebruik van ongeblurde foto’s voor onderzoek naar ernstige misdrijven was stopgezet.

Een landelijk dekkend netwerk

ANPR-camera’s worden voornamelijk ingezet om de Nederlandse (snel)wegen in de gaten te houden, maar ook om de landsgrenzen te bewaken of milieuzones af te bakenen. Grootgebruikers ervan zijn de politie, de Koninklijke Marechaussee en lokale overheden. Verreweg de meeste slimme camera’s hangen naast of boven wegen om daar de kentekens van langsrijdende voertuigen te scannen. Zoals dit kaartje laat zien is er inmiddels sprake van een landelijk dekkend netwerk.

Deze kaart toont de ANPR-camera’s die volgens het cameraplan ANPR politie 2022 in beheer zijn van de Nationale Politie en de Koninklijke Marechaussee. Beide instanties gebruiken elkaars camera’s. De camera’s in beheer van de Nationale Politie worden volgens een woordvoerder tijdens de looptijd van de aanbesteding vervangen voor Dahua camera’s.

Het aantal ANPR-camera’s in Nederland groeit elk jaar. Blijkens een tweede WODC-rapport van 1 oktober 2021 hadden de politie en de Marechaussee in 2021 liefst 999 vaste ANPR-camera’s in gebruik, verdeeld over 461 locaties. Samen zijn die volgens het WODC goed voor ‘gemiddeld 5 miljoen’ geregistreerde passages per dag, wat neerkomt op ongeveer 2 miljoen unieke waarnemingen.

Tender Nationale Politie

In de zomer van 2020 schreef de Nationale Politie een tender uit voor de aankoop van 605 nieuwe ANPR-camera’s. Het leeuwendeel daarvan – 550 exemplaren – is bestemd om oudere modellen te vervangen. De overige 55 worden aan het bestaande park toegevoegd. Daarnaast omvat de tender de huur van ‘gemiddeld’ 70 mobiele camera’s per jaar gedurende de looptijd van de opdracht: minimaal drie en maximaal zeven jaar. De waarde van de aanbesteding: 4,8 miljoen euro

De order voor de bijna 700 ANPR-camera’s werd blijkens de aanbestedingsdocumenten binnengehaald door Connection Systems bv, een bedrijf uit Venhuizen (Noord-Holland), dat volgens bronnen in de security-wereld vrijwel alleen werkt met camera’s van het Chinese merk Dahua

Het bedrijf wil niets tegen Follow the Money zeggen over ‘inhoudelijke zaken’ en verwijst door naar zijn opdrachtgevers. Een woordvoerder van de Nationale Politie bevestigt tegenover Follow the Money dat de camera’s die Connection Systems levert inderdaad van Dahua zijn en dat de ‘uitrol’ van de aanbesteding inmiddels ‘loopt’.

Ook Amsterdam gebruikt ANPR-camera’s van Dahua

De Nationale Politie is niet de enige die gebruikmaakt van ANPR-camera’s van het Chinese merk. Uit onderzoek van Follow the Money blijkt dat ook Amsterdam een groot aantal ANPR-camera’s van Dahua in gebruik heeft. Ook die zijn geleverd door Connection Systems.

Een woordvoerder bevestigt dat de gemeente er op dit moment 254 inzet ‘voor het verwerken van kentekens in verband met de handhaving van verkeersbesluiten en verkeersmanagement’. De camera’s worden onder meer gebruikt voor de handhaving van milieuzones en de Zone Zwaar Verkeer.

Amsterdam benadrukt dat het onder de huidige aanbestedingswetten ‘op voorhand geen merken kan uitsluiten’

De woordvoerder voegt toe dat de camera’s via VPN zijn afgeschermd en ‘alleen communiceren met het eigen centrale systeem van Amsterdam’. Zij voegt toe dat de gemeente zich ‘zeer bewust is van de bezwaren en mogelijke risico’s met betrekking tot het gebruik van camera’s van Chinese producenten’. De gemeente stelt naar eigen zeggen diverse technische eisen in aanbestedingen op, om zo een ‘extra drempel op te werpen voor camera’s die mogelijk misbruikt kunnen worden voor andere doeleinden dan waarvoor de gemeente Amsterdam ze wil inzetten’.

De gemeente benadrukt dat zij onder de huidige aanbestedingswetten ‘op voorhand geen merken kan uitsluiten’. Maar dat argument snijdt geen hout, zei het MVO Platform, een non-profitorganisatie die zich inzet voor een beter overheidsbeleid inzake maatschappelijk verantwoord ondernemen, eerder tegen Follow the Money.

Amsterdam bepleit een debat over het gebruik van specifieke producten uit bepaalde landen: ‘Een discussie over de algemene toelaatbaarheid van producten of onderdelen van producten uit bepaalde landen, zou [..] op landelijk of zelfs Europees niveau gevoerd moeten worden. Amsterdam wil dat het kabinet dit snel oppakt en treedt daarover in overleg met andere steden.’

Schending mensenrechten

Die wens van de gemeente Amsterdam is er niet voor niets. Het Chinese Zhejiang Dahua Technology (Dahua), dat gedeeltelijk in handen is van de Chinese overheid, ligt al langer onder vuur, omdat het volgens diverse media en onderzoeksinstanties betrokken is bij het omvangrijke surveillance-systeem dat China heeft opgezet in Xinjiang, de provincie waar Oeigoeren en andere minderheden wonen. Naar schatting zitten daar minimaal een miljoen mensen opgesloten in ‘heropvoedingskampen’. 

In juni 2018 meldde persbureau AFP dat Dahua in de streek Yarkand in Xinjiang een aanbesteding ter waarde van bijna 600 miljoen euro had gewonnen voor een safe city-programma, een eufemisme voor een uitgebreid surveillance-systeem bestaande uit camera’s en het koppelen van allerhande bestanden.

In februari 2021 meldde de Los Angeles Times dat Dahua speciale gezichtsherkeningssoftware had ontwikkeld om Oeigoeren te herkennen. De krant baseerde zich op informatie die was aangeleverd door IPVM, een onafhankelijk Amerikaans onderzoeksbureau op het gebied van videosurveillance. Het bureau had de hand weten te leggen op een gebruikersgids die politiemensen moest trainen in het gebruik van die software. Op herhaalde vragen van de Los Angeles Times reageerde Dahua niet. Wel reageerde het bedrijf later in een blogpost waar het ontkende dat het software maakt gericht op een specifieke etnische groep.

In 2019 besloot de Amerikaanse overheid dat Amerikaanse bedrijven niet langer componenten mogen leveren aan Dahua, Hikvision (een andere grootmacht op het gebied van video-surveillance) en 26 andere Chinese bedrijven, vanwege hun betrokkenheid bij mensenrechtenschendingen. Dahua en Hikvison hebben al laten weten dat ze van die boycot nauwelijks last hebben.

Kwetsbaarheden 

De gelijkenis tussen Dahua en Hikvision stopt niet bij hun betrokkenheid bij de schending van mensenrechten in hun eigen land. Net als Hikvision heeft Dahua de afgelopen jaren allerlei beveiligingsproblemen gehad met zijn producten. Tussen september 2013 en januari 2022 noteerde het National Institute of Standards and Technology (NIST) in de VS liefst 43 kwetsbaarheden in Dahua’s hard- en software. Vijftien daarvan werden door het instituut als ‘kritiek’ aangemerkt, waaronder vier in het laatste half jaar. Die vier kwetsbaarheden stelden aanvallers volgens het NIST onder meer in staat om zonder wachtwoord in te loggen op de camera’s. 

En net als bij Hikvision werd er in 2017 ook bij Dahua een ‘achterdeur’ in de firmware van de camera’s gevonden. Volgens IPVM was het via die route mogelijk om de controle over de camera's op afstand over te nemen en gevoelige informatie te stelen. Dahua ontkende dat er sprake was van een bewust geplaatste achterdeur en stelde dat er sprake was van een menselijke fout.

De ontdekker van het Dahua-lek, ethisch hacker Bashis, zei tegen IPVM dat hij die uitleg maar moeilijk kon geloven. Hij wees op een samenspel van drie specifieke designkeuzes in de firmware die het gat in de beveiliging veroorzaakten. Die konden volgens Bashis niet veroorzaakt zijn door een fout van een enkele engineer. 

De kwetsbaarheid scoorde extreem hoog. Dat gebeurde Dahua nadien nog elf keer, vanwege nieuwe kwetsbaarheden

Volgens het Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) was de kwetsbaarheid zo ingrijpend en eenvoudig te benutten dat die een 9.8 kreeg op een schaal van 0 tot 10. Een extreem hoge score, die het bedrijf nadien nog elf keer toegekend kreeg vanwege nieuwe kwetsbaarheden.

In juni 2020 publiceerde het Litouwse National Cyber Security Center, onderdeel van het ministerie van Defensie, voorts een rapport waarin het onder meer concludeerde dat de beveiliging van de onderzochte Dahua camera’s niet op orde was. Volgens het NCSC werden de camera’s tussen 2016 en 2020 onder meer gebruik voor DDOS-aanvallen en beschikten ook deze camera’s over een kwetsbaarheid waardoor ze eenvoudig op afstand konden worden overgenomen.

Afgelopen december waarschuwde de Deense inlichtingendienst PET zijn collega’s van de politie voor het gebruik van Dahua-camera’s met een internetaansluiting bij de surveillance van verkeer. De Chinese Inlichtingenwet van 2017 schrijft voor dat Chinese bedrijven, organisaties en individuen, waar ter wereld ze zich ook bevinden, de Chinese inlichtingendienst moeten helpen wanneer die daarom vraagt. Dat betekent dat ook data die wordt opgeslagen door bedrijven als Dahua te allen tijde kan worden opgevraagd. Volgens PET hebben Chinese inlichtingendiensten met name interesse voor buitenlandse data over gevoelige infrastructuur en openbaar vervoer.

Door de voorruit kijken 

Vincent Böhre, directeur van privacywaakhond Privacy First, maakt zich al langer zorgen over de grootschalige inzet van ANPR-camera’s door de Nederlandse politie. In december eiste Privacy First in een kort geding tegen de staat de buitenwerkstelling van de ANPR-regelgeving. De voorzieningenrechter in Den Haag wees de vordering af, wegens een gebrek aan spoedeisend belang, maar een bodemprocedure is in de maak.

‘Voor zulke gevoelige systemen zou je per definitie alleen hard- en software moeten gebruiken waarvan je zeker bent dat ze veilig zijn’

Geconfronteerd met het nieuws​​ dat er honderden ANPR-camera’s van Dahua in het land komen te hangen, zegt Böhre: ‘Dit is zorgwekkend. Het gaat om een enorm netwerk van camera’s waarmee zo’n beetje alle Nederlandse automobilisten worden gemonitord en kunnen worden getraceerd. Voor zulke gevoelige systemen zou je per definitie alleen maar hard- en software moeten gebruiken waarvan je zeker bent dat ze veilig zijn, maar in elk geval zo veilig mogelijk. Over Chinese hard- en software is al jaren discussie of die geen kwetsbaarheden bevatten die nuttig kunnen zijn voor de Chinese overheid. Daarnaast kun kun je je afvragen of camera’s uit China voldoen aan de privacyregels die wij in Europa stellen.’

Böhre vervolgt: ‘Via de locatiedata van ANPR weet je precies wie, waar, wanneer is. Of zal zijn, want met behulp van ANPR kun je ook patronen herkennen en zo een inschatting maken van toekomstige reisbewegingen. Je kunt mensen niet alleen volgen in het verleden, of in real-time, maar ook in de toekomst. Daarnaast wordt de techniek steeds beter. Camera’s kunnen dwars door de voorruit kijken en zien wie er in de auto zitten.’

Ontevreden medewerkers

Universitair docent Moderne Chinese Studies Rogier Creemers, werkzaam bij de Universiteit Leiden, denkt dat China niet echt geïnteresseerd is in wat zich afspeelt op de Nederlandse wegen. ‘Maar dat kan natuurlijk zo veranderen. Stel dat binnenkort een pro-Oeigoerse demonstratie op het Malieveld wordt aangekondigd. Dan kan het nuttig zijn om de camera’s langs de toegangswegen tot Den Haag te activeren.’ 

Volgens hem is het probleem veel groter dan China alleen: ‘Van zwakheden in de systemen van surveillance-camera’s zullen ook de inlichtingendiensten van Israël en de VS gebruikmaken. En wanneer je besluit geen Chinese camera’s te gebruiken, maar alleen merken als Bosch en Axis, zullen Chinese inlichtingendiensten proberen om via die camera’s te spioneren. Dat is zelfs slimmer, want over die merken bestaat minder achterdocht.’

‘Van zwakheden in surveillance-camera’s zullen ook de inlichtingendiensten van Israël en de VS gebruikmaken’

Camera’s vormen volgens hem maar het topje van de ijsberg: ‘Hoe veilig is de software, de randapparatuur? Waar en hoe is de data opgeslagen? Stel dat de politie alles op een eigen server heeft staan, dan heb je maar een ontevreden systeembeheerder nodig en je hebt al toegang. Niet alleen de Chinese maar ook andere inlichtingendiensten weten zo iemand snel te vinden. Veiligheid is iets waarover je structureel moet nadenken. Je moet steeds nieuwe patches en updates binnenhalen. En voordat je die installeert moet je ze controleren op bugs. In feite is het probleem onoplosbaar. Je moet het constant managen, maar dat kost tijd, geld, menskracht en middelen.’

Betere aanpak aanbesteding

Bij aanbestedingen zoals die van de Nationale Politie wordt volgens Creemers te eenzijdig gekeken naar de prijs en de mogelijkheden van de camera’s. ‘Voor de politie is van belang dat die camera goed kentekens kan lezen. En verder is van belang dat die camera goedkoop is. Maar er moet ook worden nagedacht over veiligheid en kwetsbaarheid, niet alleen van de camera, maar van het hele systeem. Een politieman doet dat niet.’

‘Aanbestedingen worden nu opgesteld door gespecialiseerde juristen. Maar die zijn niet gericht op veiligheid of dingen die er mogelijk aan komen. Dat is ook niet de taak van zo’n jurist: die moet een juridisch geldig document opstellen. Maar eigenlijk zou je bij zo’n aanbesteding ook iemand uit de cybersecurity-hoek moeten hebben.’

Böhre benadrukt dat overheden bij alle fabrikanten kritisch moeten zijn, ook die uit andere landen dan China. Desondanks vindt hij het gebruik van de ANPR-camera’s van Dahua extra riskant, juist omdat het bedrijf deels in handen is van de Chinese overheid.

Hij wijst op de waarschuwingen van onze eigen inlichtingen- en veiligheidsdiensten voor spionage door dat land: ‘Met die kennis moet je op bepaalde onderdelen per definitie niet meer willen samenwerken met bepaalde landen of fabrikanten. Zeker op een gebied als ANPR, gezien de gevoeligheid en het gebruik dat je van de data kunt maken. Met Chinese camera’s neem je een enorm risico en dat moet je niet willen.’