Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

42 artikelen

© Follow the Money

Nederlandse overheid weet niet dat het op grote schaal Chinese camera’s gebruikt

Nederlandse overheidsinstanties maken op grote schaal gebruik van omstreden Chinese beveiligingscamera’s, vaak zonder dat te weten. Zowel gemeenten als overheidsinstanties kregen dat pas door na vragen van Follow the Money. Bij de overheid ontbreekt zowat elk overzicht.

Drie weken geleden onthulde Follow the Money dat meerdere gemeenten en regionale politie-eenheden werken met camera’s van Hikvision en Dahua. Een paar uur later maakte de NOS bekend dat liefst 51 Nederlandse gemeenten deze camera’s gebruiken. Twee weken geleden bleek bovendien dat de Nationale Politie recent bijna 700 ANPR-camera’s van Dahua aanschafte om het verkeer op de Nederlandse wegen te monitoren.

Inmiddels is duidelijk dat het gebruik van deze Chinese camera’s nog veel wijder verspreid is onder overheidsinstanties. Ook een onderdeel van het ministerie van Financiën, de douane, de politie Oost-Brabant en zelfs twee Nederlandse gerechtsgebouwen gebruiken ze. Een woordvoerder van de Raad voor de Rechtspraak wil – met een beroep op de veiligheid – niet zeggen om welke gerechtsgebouwen het gaat. Hij voegt toe dat er een plan is om de camera’s te vervangen.

Ook de politie maakt grif gebruik van de camera’s van Hikvision en Dahua. Naast de Nationale Politie en politie-eenheid Oost-Nederland werken ook de regionale eenheden Amsterdam, Noord-Holland en Oost-Brabant met de merken. De politie Noord-Nederland verving de Hikvision-camera’s in februari 2020 door die van het Zweedse Axis, meldt een woordvoerder.

Inmiddels hebben ook de gemeenten Oss, Utrecht en Zuidplas bevestigd camera’s van Dahua of Hikvision te gebruiken.

Geen zakendoen met bedrijven die mensenrechten schenden 

Dahua en Hikvision zijn omstreden. Beide bedrijven worden door verschillende media en door het Amerikaanse nieuwsplatform voor videosurveillance-apparatuur IPVM in verband gebracht met het alomvattende surveillance-systeem dat de Chinese overheid in de provincies Tibet en Xinjiang heeft opgetuigd om Tibetanen, Oeigoeren en andere minderheidsgroepen te monitoren en te onderdrukken.

In 2019 besloot de Amerikaanse overheid om Dahua, Hikvision en 26 andere Chinese bedrijven uit te sluiten van binnenlandse opdrachten vanwege hun betrokkenheid bij mensenrechtenschendingen. In juni 2021 ging de Amerikaanse president Biden nog een stap verder. Hij verbood Amerikaanse bedrijven via een executive order om te investeren in Hikvision, vanwege de banden van het bedrijf met het Chinese leger. In februari 2021 meldde de Los Angeles Times dat Dahua speciale gezichtsherkenningssoftware heeft ontwikkeld om Oeigoeren te herkennen. Dahua ontkende dat later in een blogpost.

Naar aanleiding van de berichtgeving van FTM en de NOS stuurde Hikvision Benelux een vertrouwelijke brief naar zijn klanten. Daarin staat dat het bedrijf de ‘wereldberoemde mensenrechtenexpert’ en voormalige VS-ambassadeur Pierre-Richard Prosper een ‘onafhankelijk onderzoek’ naar vijf grote opdrachten in Xinjiang heeft laten verrichten. De projecten hebben een gezamenlijke waarde van bijna 300 miljoen dollar.

Pierre-Richard Prosper, lobbyist voor Hikvision

Uiteindelijk vinden wij niet dat Hikvision zelf willens en wetens of opzettelijk schendingen van de mensenrechten heeft gepleegd

Prosper kwam, volgens Hikvision, tot de volgende conclusie: ‘Uiteindelijk vinden wij niet dat Hikvision de vijf projecten in Xinjiang is aangegaan met de intentie om zich bewust in te laten met schendingen van de mensenrechten of vinden wij niet dat Hikvision zelf willens en wetens of opzettelijk schendingen van de mensenrechten heeft gepleegd.’

Prosper is tegenwoordig partner van advocatenkantoor Arent Fox, dat ook optreedt als lobbyist voor grote ondernemingen. Arent Fox werd in januari 2019 door Hikvision ingehuurd. Behalve de paar hierboven geciteerde zinnen is tot op heden niets over Prospers onderzoek door Hikvision of Arent Fox gepubliceerd.

Vincent Böhre, directeur van privacywaakhond Privacy First, noemt de grootschalige inzet van de camera’s van Dahua en Hikvision door overheidsinstanties ‘zorgwekkend’. Dit vanwege de vraagtekens over de veiligheid van de producten, de potentiële negatieve implicaties voor de privacy, en de situatie in Xinjiang. ‘Je moet je afvragen of je met dit soort fabrikanten geassocieerd wilt worden.’ 

David Ollivier de Leth van het MVO Platform, een non-profitorganisatie die ijvert voor beter overheidsbeleid inzake maatschappelijk verantwoord ondernemen, is stelliger: ‘De overheid moet niet in zee gaan met bedrijven in wier keten sprake is van ernstige mensenrechtenschendingen.’

Topje van de ijsberg 

De verwachting is dat de onthullingen van Follow the Money en de NOS slechts het topje van de ijsberg laten zien. Veel van de ondervraagde instanties hebben namelijk geen idee welke camera’s ze in huis hebben – terwijl verschillende anderen zich van elk commentaar onthielden. 

Gisteren telde de zoekmachine 28.221 camera’s van Hikvision en 10.431 van Dahua in Nederland

Follow the Money begon het onderzoek naar het gebruik van Hikvision- en Dahua-camera’s in Nederland in november. Uit de data van internet of things-zoekmachine Shodan bleek al snel dat er in Nederland tienduizenden camera’s van deze merken hingen. Gisteren, 28 februari 2022, ging het volgens de zoekmachine om 28.221 camera’s van Hikvision en 10.431 van Dahua.

Het overgrote deel daarvan is in particuliere handen, maar ook overheden gebruiken ze. Natrekken of overheidsinstanties Chinese camera’s gebruiken en zo ja, hoeveel en voor welke doeleinden, is geen sinecure. Veel overheidsinstanties konden onze vragen niet beantwoorden om de simpele reden dat ze dat zelf ook niet weten.

Een sprekend voorbeeld is de Nationale Politie. Enkele weken geleden antwoordde een woordvoerder nog dat de organisatie geen camera’s van Hikvision of Dahua gebruikt. Dankzij een tip stuitte Follow the Money echter op een aanbesteding van de Nationale Politie uit 2020 voor bijna 700 ANPR-camera’s.

Die aanbesteding werd gewonnen door Connection Systems bv, een bedrijf dat volgens kenners nagenoeg exclusief met camera’s van Dahua werkt. Nog geen week later moest de woordvoerder toegeven dat de honderden ANPR-camera’s die de politie kocht, allemaal van Dahua zijn, en dat Connection Systems ‘in de periode voor de aanbesteding’ ook al Chinese camera’s aan de politie leverde. 

Dit gebrek aan kennis over de herkomst van de surveillance-camera’s zag Follow the Money ook bij de politie-eenheid Limburg, waar een woordvoerder liet weten geen centraal overzicht te hebben van welke camera’s in gebruik zijn: ‘Vandaar dat we die merken en exacte getallen niet kunnen geven.’

Een woordvoerder van de politie Oost-Brabant zegt tegen Follow the Money dat zijn eenheid 27 camera’s van Hikvision in gebruik heeft en ‘op basis van advies binnen de Politie Nederland heeft gekozen voor hardware van Hikvision.’

Ook ministeries hebben geen overzicht

Op departementaal niveau blijkt men evenmin te weten welk merk camera’s men in huis heeft gehaald.

Het ministerie van Buitenlandse Zaken wilde niet reageren op vragen van Follow the Money. Het ministerie van Financiën wel: hun woordvoerder stelde dat er op het hoofdgebouw aan het Korte Voorhout geen Chinese camera’s worden gebruikt, maar wel op de locatie van het Domein Roerende Zaken, waar in beslag genomen goederen worden bewaard. Daar hangen liefst 25 beveiligingscamera’s van Dahua.

De aankoop van die camera’s verliep volgens de woordvoerder van Financiën via het Rijksvastgoedbedrijf, dat de panden van de Rijksoverheid beheert en ook de beveiliging ervan regelt. Vandaar dat de ministeries van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en Justitie en Veiligheid Follow the Money naar het Rijksvastgoedbedrijf verwijzen. Daar wil men alleen niets zeggen over de gebruikte camera’s, ‘vanwege de veiligheid’.

Zelfs het ministerie van Defensie kan niet zeggen of er op zijn locaties camera’s van Hikvision of Dahua aanwezig zijn

Later blijkt dat onze vragen aan de verschillende ministeries voor het Rijksvastgoedbedrijf de aanzet vormden voor een overheidsbrede inventarisatie van het gebruik van Chinese camera’s. Dit bevestigen woordvoerders van Justitie en Veiligheid. Kennelijk kon het Rijksvastgoedbedrijf, mocht het dat gewild hebben, helemaal geen antwoord op onze vragen geven.

Zelfs het ministerie van Defensie kan niet zeggen of er op zijn locaties camera’s van Hikvision of Dahua aanwezig zijn. Een woordvoerder zegt aanvankelijk dat Defensie ‘geen camera’s van Chinese makelij’ gebruikt, maar meldt dat een centraal overzicht ontbreekt. Hij stelt dat Defensie ‘toewerkt naar een centraal bewakings- en beveiligingssysteem’, maar zolang dat nog niet in de lucht is, zijn de defensieonderdelen zelf verantwoordelijk voor het bijhouden van de gebruikte merken.

Een paar e-mails later voegt de woordvoerder toe: ‘We kunnen niet uitsluiten dat er op één van de honderden Defensielocaties op eigen initiatief (losstaande) camera’s van de desbetreffende Chinese merken zijn aangeschaft.’

Ook andere overheidsinstanties tasten in het duister

Ook elders ontbreekt overzicht. Dat twee gerechtsgebouwen camera’s van Hikvision en Dahua gebruiken, wordt pas duidelijk wanneer de Raad voor de Rechtspraak na vragen van Follow the Money besluit tot een inventarisatieronde langs de rechtbanken en gerechtshoven. Het Openbaar Ministerie moet eerst navraag doen bij de leveranciers om antwoord te kunnen geven op onze vragen. De woordvoerder kan niet uitsluiten dat er Chinese camera’s worden gebruikt bij de beveiliging van de entree van de verschillende parketten, maar heeft niet de moeite genomen om dit bij alle locaties te verifiëren.

Flink wat gemeenten die Follow the Money aanschreef, reageerden. Ook daaruit blijkt een gebrek aan overzicht. Alleen de grotere gemeenten weten doorgaans wat ze in huis hebben gehaald. In veel gevallen schaffen gemeenten de beveiligingscamera’s namelijk niet zelf aan; ze besteden dat uit. Opdrachten boven de 125 duizend euro moeten volgens Europese regels openbaar worden aanbesteed. Bij zo’n aanbesteding moeten potentiële leveranciers vermelden welk merk en welk type ze zullen leveren.

Langs die weg heeft de gemeente Amsterdam nu bijvoorbeeld een kleine 300 camera’s van Hikvision in gebruik, plus ruim 250 ANPR-camera’s van Dahua, terwijl de verkeerscentrale in Den Haag 134 camera’s van Hikvision in bedrijf heeft. De gemeente Rotterdam heeft nog geen antwoord gegeven op onze vragen.

De gemeente Oss wilde ‘om veiligheidsredenen’ niet op vragen ingaan; later bleek dat Oss geen flauw idee had welke merken het in gebruik heeft

In kleinere gemeenten, die soms maar enkele camera’s nodig hebben, is een aanbesteding niet nodig. De opdracht gaat dan meestal naar een bedrijf dat de camera’s levert, installeert en onderhoudt.

Zo ook in Oss. Daar wilde de gemeente eerst ‘om veiligheidsredenen’ niet op onze vragen ingaan; later bleek dat Oss geen flauw idee had welke merken het in gebruik heeft: ‘Dat is aan de leverancier’. Pas na doorvragen werd duidelijk dat deze gemeente 25 camera’s van Dahua heeft.

Ook de gemeente Zuidplas weigerde in eerste instantie antwoord. Nadat Follow the Money de gegevens van Shodan en de bijbehorende IP-adressen stuurde, blijkt dat Zuidplas camera’s van Hikvision in het gemeentehuis heeft hangen en ANPR-camera’s van Dahua in de openbare ruimte. De gemeente laat weten: ‘[deze camera’s] voldeden aan onze wensen en waren economisch de voordeligste.’

De gemeente Zeist meldt eerst dat zij helemaal geen bewakingscamera’s gebruikt. Nadat we informatie uit Shodan opsturen, erkent de gemeente echter ‘een of meerdere’ Hikvision-camera’s te gebruiken bij de toegang van een sporthal.

Regering neemt vragen over Chinese camera’s niet serieus

Het gebruik van de camera’s van Hikvision en Dahua door de landelijke en lokale overheden, overheidsinstanties en opsporingsdiensten is saillant. Beide bedrijven zijn (deels) eigendom van de Chinese overheid. Daarnaast is op internationaal niveau al jaren aandacht voor hun betrokkenheid bij het grootschalige surveillance-systeem in Xinjiang. In februari 2021 nam de Tweede Kamer zelfs een motie aan waarin werd uitgesproken dat er in de regio ‘genocide plaatsvindt op de Oeigoerse minderheid’. 

Al in juni 2019 dienden Kathalijne Buitenweg (GroenLinks) en Kees Verhoeven (D66) een motie in waarin zij de regering vroegen te onderzoeken ‘in hoeverre de surveillance-apparatuur van Chinese bedrijven met nauwe banden met de Chinese overheid is uitgerold in Nederland [en] welke grenzen zij daaraan wil stellen.’

Ferdinand Grapperhaus, minister, 2019

Het is dan ook niet mogelijk om een uitspraak te doen over het aantal camera’s van deze twee leveranciers in Nederland

Toenmalig minister van Justitie en Veiligheid Ferdinand Grapperhaus (CDA) verzocht de Kamerleden hun motie ‘aan te houden’, in afwachting van een Kamerbrief over ‘alle aspecten rondom [..] camera’s met gezichtsherkenning’. In zijn brief van 20 november 219 meldde de minister dat hij geen idee had in hoeverre Hikvision en Dahua in Nederland zijn uitgerold: ‘Apparatuur van deze leveranciers worden zowel aan bedrijven als particulieren verkocht. De overheid houdt geen zicht op deze verkoop. Het is dan ook niet mogelijk om een uitspraak te doen over het aantal camera’s van deze twee leveranciers in Nederland.’ 

Een maand later, in december 2020, volgden opnieuw Kamervragen over Hikvision, ditmaal gericht aan toenmalig minister Stef Blok (VVD) van Buitenlandse Zaken. Martijn van Helvert (CDA) wilde weten of ‘Nederlandse overheidsinstellingen gebruik [maken] van surveillance-apparatuur van Chinese bedrijven die in China betrokken zijn bij mensenrechtenschendingen’. Het antwoord van Blok: ‘Er bestaat geen compleet overzicht van de gebruikte surveillance apparatuur binnen alle overheidsinstellingen.’ 

Kees Verhoeven, die inmiddels de Kamer heeft verlaten, hekelt de onmacht van de Kamer: ‘Het is schrijnend maar waar: zeker als het gaat om internationale of geopolitieke vraagstukken, maar ook als het gaat om het handelen van de overheid zelf, zijn de gebruikelijke parlementaire instrumenten als moties en Kamervragen lang niet toereikend om het beleid te controleren of te sturen. De regering kan vertragen en zich verschuilen achter uitvoeringsinstanties of internationale verhoudingen.’

Patroon bij Chinese surveillance-apparatuur 

In september 2021 kwam door onderzoek van Investico aan het licht dat de politie gebruikmaakt van drones van het Chinese Da Jiang Innovations (DJI). Terwijl het ministerie van Defensie de drones bewust niet wilde inzetten, omdat er een te groot risico is dat gevoelige data in handen van de Chinese overheid komen, deed de politie dat wel. 

Het nieuws leidde opnieuw tot Kamervragen, nu van de SP’ers Michiel van Nispen en Renske Leijten, die onder andere wilden weten of meer overheidsinstanties gebruikmaken van apparatuur van DJI. Net als Blok antwoordde minister Grapperhaus dat een dergelijk overzicht niet beschikbaar is en dat er ‘tot op heden geen aanleiding is geweest om dat te inventariseren’.

Kees Verhoeven ziet een patroon in de beantwoording van Kamervragen over Chinese producten: ‘Er is bij de regering absoluut terughoudendheid. De positie van Nederland ten opzichte van China zorgt voor ingewikkelde dilemma’s op het gebied van handel, mensenrechten en geopolitieke verhoudingen. Elke keuze heeft gevolgen, vandaar die terughoudendheid.’

Nadat Kamerleden wilden weten of er afspraken bestaan over het gebruik van technologie van buitenlandse bedrijven door overheidsdiensten, verwees Grapperhaus naar een ‘instrumentarium’ uit 2018. Die nota zou zijn opgesteld om organisaties te helpen bij het ‘meewegen van nationale veiligheidsrisico’s bij de inkoop- en aanbesteding van producten en diensten’ en is ter beschikking gesteld ‘binnen de rijksoverheid, medeoverheden en aan organisaties die onderdeel zijn van de vitale processen’. De verantwoordelijkheid voor de toepassing ervan ligt volgens Grapperhaus bij die instanties zelf: ‘Op dit moment zie ik geen reden tot aanscherping van het staande beleid.’ 

Kees verhoeven, oud-Kamerlid D66

‘Het instrumentarium voor aanbestedingen moet scherper. Er is nu een gebrekkig technologisch bewustzijn en een hoge politieke druk

 

Kamerlid Michiel van Nispen (SP) vindt dit onvoldoende: ‘In aanbestedingsprocedures draait het om wat het goedkoopst en het meest efficiënt is. Veiligheid en mensenrechten lijken daar helaas aan ondergeschikt. Daar komt bij dat iedere organisatie zelf verantwoordelijk is voor deze aankopen. Zo schiet Nederland niet alleen tekort in het waarborgen van de veiligheid van de eigen inwoners, maar ook in die van mensen die lijden onder machthebbers in andere landen.’

Kees Verhoeven valt hem bij: ‘Het instrumentarium voor aanbestedingen moet scherper. Er is nu een gebrekkig technologisch bewustzijn en een hoge politieke druk. Samen zorgen die voor ondoordachte keuzes op het gebied van technologie.’

Bijkomende omstandigheid is dat Chinese bedrijven volgens de Chinese cyberveiligheidswet die sinds 2017 geldt, verplicht zijn data aan de Chinese overheid ter beschikking te stellen wanneer die daar om vraagt. In het geval van Hikvision en Dahua geldt bovendien dat de overheid een belang heeft in de bedrijven. 

‘Beveiligingsapparatuur in de publieke ruimte kan noodzakelijk zijn, maar is ook een forse inbreuk op de privacy. Dan moet je niet het risico vergroten dat buitenlandse overheden deze data in handen kunnen krijgen. Veiligheid zal voorop moeten staan. We horen de tijd van naïviteit voorbij te zijn,’ vindt Van Nispen.

Verhoeven: ‘Als overheden op grote schaal algoritmes, databestanden, sensoren en camera’s inzetten zonder goed na te denken over de consequenties, is de rechtsstaat in het geding. De schaal en snelheid van technologie is gigantisch en dat betekent dat door verkeerde wetten of uitvoeringspraktijken mensen in de knel kunnen komen. Dit bewustzijn moet echt doordringen tot politiek Den Haag. Het is nu een blinde vlek.’