Brenno de Winter aan het werk in de Tweede Kamer

Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

37 artikelen

De coronapandemie zet de wereld op zijn kop. Wie betaalt de rekening? En wie profiteert? Lees meer

Het virus SARS-CoV-2, beter bekend als het coronavirus, dook eind 2019 op in de Chinese provincie Hubei. In een paar weken tijd veroorzaakte het een epidemie, waarna het zich over de rest van de wereld verspreidde. Begin maart 2020 verklaarde de World Health Organisation de ziekte tot een pandemie en gingen landen wereldwijd 'op slot'.

Met het coronavirus is een crisis van historische proporties ontstaan, niet alleen medisch, maar ook economisch. In de vorm van steunfondsen en noodmaatregelpakketen werden bedrijven wereldwijd met vele miljarden op de been gehouden.

Waar met geld gesmeten wordt, liggen misbruik en fraude op de loer. Daarom volgt FTM de ontwikkelingen op de voet. Wie profiteert van de crisis? En welke oplossingen dienen welke belangen? 

206 artikelen

Brenno de Winter aan het werk in de Tweede Kamer © Phil Nijhuis

Van zwarte lijst naar chief security: de onwaarschijnlijke carrièreswitch van een ict-criticus

Toen journalist Brenno de Winter zich in 2014 voor een lunchafspraak bij het ministerie van Financiën meldde, hield de beveiliging hem tegen: zijn naam stond op een zwarte lijst. Acht jaar later loopt hij met een pasje rond bij het ministerie van Volksgezondheid, Welzijn en Sport: hij werkt er als chief security and privacy operations. Hoe is Nederlands bekendste tech-journalist en ict-criticus daar verzeild geraakt? Een portret.

0:00

Brenno de Winter wil weten hoe dingen werken.

Zijn vader werkte in de automatisering. Zodra computers betaalbaar werden, bracht hij er een mee naar huis. ‘Daar ging Brenno mee klungelen,’ zegt zijn zus Mirjam. Hij bracht mensen soms tot wanhoop. ‘Als we naar een winkelcentrum gingen, waren we Brenno binnen de kortste keren kwijt. En dan zag je ineens allemaal mensen stilstaan op een roltrap. Dan had-ie ergens een knop gevonden. Hij was niet geschikt voor de openbare ruimte.’

In de vakantie mochten de kinderen soms met hun vader mee naar kantoor. ‘Brenno ging dan bij de programmeurs zitten, en even later kwam zo’n programmeur half huilend vragen: “Kun je alsjeblieft je zoontje ophalen, want die zit allemaal dingen kapot te maken.”’

School en De Winter gingen niet goed samen, al lukte het hem steeds genoeg te doen om over te gaan. Na het vwo studeerde hij theologie in Utrecht. Hij wilde priester worden, maar kreeg een vriendin. Vervolgens studeerde hij informatiekunde; ook die studie maakte hij niet af. Hij startte zijn eigen bedrijf: De Winter Information Solutions. Hij programmeert, maar is ook deskundig op het gebied van beveiliging en privacy.

De journalistiek in

Toen kwam 11 september 2001. De aanslag op het World Trade Center was een keerpunt. Twee vrienden – hij kende ze van hackerconferenties – kwamen erbij om. Kort daarna trad in Amerika de Patriot Act in werking, die de macht van de overheid oprekte ten koste van burgerrechten. De Winter: ‘Ik begreep meteen dat het ook in Nederland mis kon gaan met privacy. Hoe wil je een terrorist uit een database filteren? Die discussie werd niet gevoerd.’

Bij een computerbeurs ontmoette hij Laurens Verhagen, die de redactie van ict-platform Webwereld leidde. ‘Ik was op zoek naar expertise op het gebied van cybersecurity,’ zegt Verhagen, ‘en zijn enthousiasme was aanstekelijk. Ik besloot hem een kans te geven. Zijn eerste stukken voor Webwereld waren legendarisch slecht, qua grammatica en opbouw. Maar dat werd gecompenseerd door zijn kennis.’ Verhagen redigeerde de teksten, en De Winters eerste artikel – over een planningsysteem voor gevangenispersoneel – leidde meteen tot Kamervragen.

Hij was de eerste tech-journalist die zich in de Wet openbaarheid van bestuur specialiseerde. Zijn bijnaam: ‘the big Wobber

De Winter kocht boeken over journalistiek, grammatica en schrijftechniek en verbeterde zijn schrijfstijl. Hij bleek bovendien handig in het opvragen van overheidsinformatie op basis van de Wet openbaarheid van bestuur (Wob), en was de eerste tech-journalist die zich daarin specialiseerde. Zijn bijnaam: ‘the big Wobber’. Als er een rechtszaak gevoerd moest worden – bijvoorbeeld tegen de Vereniging van Nederlandse Gemeenten, die weigerde stukken vrij te geven – stond de Nederlandse Vereniging van Journalisten hem bij. 

‘Je moet hem niet tegen je hebben,’ zegt NVJ-secretaris Thomas Bruning, ‘maar hij blijft altijd een gentleman’. Bruning herinnert zich dat ze beiden waren uitgenodigd voor ‘een of ander digitaal media-diner in het Paleis op de Dam’. De Winter mocht naast de koning zitten. ‘Ik heb een foto van hen samen gemaakt, tegen het protocol in. Hij staat er glunderend op.’

Als journalist bezocht hij conferenties, zoals die van de Chaos Computer Club (CCC) de grootste (en oudste) hackersvereniging van Europa. Nam de overheid een nieuwe technologie in bedrijf, dan verdiepten zij zich erin: ze wilden begrijpen hoe het werkt, hoe je het kunt gebruiken of misbruiken, en wat er verkeerd kan gaan. Daarover gaven ze lezingen. Het was goud voor een journalist als De Winter.

Een inspirator was Rop Gonggrijp, de aartsvader van de Nederlandse hackersgemeenschap. Ook hij leerde zijn eerste lessen bij de CCC. Later liet Gonggrijp zien dat stemcomputers eenvoudig zijn te manipuleren en eerlijke en controleerbare verkiezingen niet gegarandeerd zijn. Zijn werk zorgde voor de terugkeer van het rode stempotlood, zowel in Nederland als in Duitsland.

De Winter raakte gegrepen door die combinatie van technisch onderzoek, democratische rechten en journalistiek. De overheid – en burgers – scherp houden, dat wilde hij. 

Op de conferenties leerde hij hacker Mendel Mobach kennen. ‘Brenno liep daar als journalist rond,’ zegt Mobach, ‘en dan legde ik hem uit dat hij weer iets oliedoms had geschreven. Dan gingen we in gesprek. Dat zijn de beste gesprekken.’ 

Mobach stuurde De Winter in 2007 naar een lezing op een CCC-congres over het kraken van kaarten die met een rfid-chip zijn uitgerust, en zo de kaarthouder identificeren of hem rechten verschaffen. De Winter: ‘Het zal allemaal wel, dacht ik, maar bij de derde slide was het, oh wacht even. Deze jongens kunnen echt iets. En hier is iets aan de hand.’

De fabrikant beweerde dat zijn chips sterke encryptie bevatten. De hackers ontdekten dat die doodeenvoudig te kraken was. Saillant detail: ambtenaren gebruikten deze kaarten om ministeries binnen te komen, het bedrijf Trans Link Systems gebruikte ze voor de ov-chipkaart. De Winter waarschuwde de NS en Trans Link: hun systeem was lek. Hij kreeg geen reactie.

De Winter schreef een verslag voor Webwereld. Nu zegt hij daarover: ‘Het werd allemaal een beetje gedownplayed en toen Trans Link Systems heel geheimzinnig deed over hun eigen testen, was dat het teken dat er echt iets aan de hand was. Ik was niet tegen de ov-kaart, daar ging het niet om. Maar zoiets moet gewoon goed werken.’

Het belang van privacy

‘Brenno is enorm gespitst op privacy en security,’ zegt zijn zus Mirjam. ‘Dat is een soort aangeboren antenne die we allebei hebben.’ Hun vader overleefde kamp Westerbork en verloor in de oorlog 29 van zijn 31 familieleden. Mirjam: ‘Wij zijn ons ervan bewust hoe slecht dingen kunnen lopen als privacy of etnisch profileren in het geding zijn. De holocaust had niet in deze omvang kunnen plaatsvinden zonder uitgebreide administratie.’ 

Hij was een kleine zzp’er tegen Trans Link, een miljoenenbedrijf. Zijn advocaat kostte 250 euro per uur

Lang niet iedereen was overtuigd dat de ov-kaart zo lek was als De Winter beweerde. Om zijn critici tegemoet te komen, publiceerde hij in januari 2011 een uitgebreid onderzoek in samenwerking met Powned, Webwereld, RTV Rijnmond en de NOS. Op het journaal liet hij zien hoe hij met een gehackte kaart door de poortjes kon. Trans Link Systems deed aangifte van chipkaartfraude en het Openbaar Ministerie startte begin 2011 een onderzoek naar ‘verdachte’ De Winter wegens computervredebreuk, manipulatie van een waardekaart en het beschikken over middelen om chipkaarten te manipuleren.

Hij voelde zich monddood gemaakt: een kleine zzp’er tegen een miljoenenbedrijf. Zijn advocaat kostte 250 euro per uur. ’s Nachts lagt De Winter naar het plafond te staren. Hoe zou het zijn om in een cel te liggen? Waar moest hij het geld voor zijn verdediging vandaan halen? Hij vroeg PowNed en de NOS om steun en hoorde niets. GeenStijl, Webwereld en Nu.nl begonnen een steunfonds om zijn juridische kosten te dekken. 

Wat De Winter niet wist, is dat het Openbaar Ministerie aan een sepot werkte. Op 5 september 2011 publiceerde het OM een document van tien pagina’s met uitleg waarom ze De Winter niet zouden vervolgen, hoewel er een strafbaar feit was gepleegd. ‘Ze wilden het heel zorgvuldig doen om het – zoals ze het toen zelf noemden – bulletproof te maken,’ zegt de Winter. Het OM vond dat De Winter correct heeft gehandeld en wilde dat journalisten in soortgelijke zaken in de toekomst zo goed mogelijk worden beschermd.


Lodewijk van Zwieten, officier van justitie

We moesten bepalen wat we ervan vonden dat een onderzoeksjournalist in nauwe samenwerking met hackers kwetsbaarheden blootlegde

Lodewijk van Zwieten was indertijd landelijk officier van justitie, gespecialiseerd in cybercrime. Hij vertelt Follow the Money dat er toen veel over De Winter werd gepraat, niet alleen bij de koffiemachine. ‘We moesten bepalen wat we ervan vonden dat een onderzoeksjournalist in nauwe samenwerking met hackers kwetsbaarheden blootlegde. Er was al wel wat jurisprudentie over de methode-Alberto Stegeman, maar niet op het cybervlak. De Winter heeft een belangrijke rol in ons denken gespeeld om dat helder te krijgen.’

In oktober 2011 maakte De Winter, opnieuw geholpen door hackers, bij Webwereld een maand lang elke dag een nieuw beveiligingslek bij de overheid bekend. Lektober heette het project. Hij wilde laten zien hoe makkelijk kwaadwillenden bij privégegevens van burgers konden komen. 

‘Ik wilde inzichtelijk maken dat er sprake is van systematische nalatigheid, waarvan kwaadwillenden gebruik kunnen maken’

Van Zwieten: ‘Toen dacht ik: Jezus, Brenno, waar ben je nu mee bezig? Tot hoe ver reikt je taak om misstanden aan de kaak te stellen? Hij had zich gecommitteerd elke dag iets nieuws te brengen, en dus moest er ook elke dag iets nieuws staan. Was het nu echt allemaal zo erg, of was het een gimmick?’

Brenno: ‘Ja, het was echt zo erg. Ik wilde duidelijk maken dat dit een structureel probleem was, veel meer dan “bedrijf x is lek.” In de media zie je dat vaak. Dat hackers bij het ict-systeem van de gemeente Lochem konden inbreken, is een incident; dat de systemen van de universiteit van Maastricht met ransomware konden worden gegijzeld is een incident. Als je zoiets niet in een kader plaatst, schiet je er weinig mee op. Ja, weer een aanrijding op een straathoek. Ik wilde inzichtelijk maken dat er sprake is van systematische nalatigheid, waarvan kwaadwillenden gebruik kunnen maken.’

Passepartout

In 2012 liet De Winter zien hoe je overal binnenkomt met een Lichtbildausweis, een identificatiepas met foto, die je online kon bestellen en met je eigen data kon vullen. Hij ging ermee op tournee. Op veel plaatsen waar De Winter als journalist opdraafde – de Tweede Kamer, het AIVD-gebouw, politiebureaus, het Koninklijk Paleis – moest hij zich identificeren. Overal werd zijn Lichtbildausweis probleemloos geaccepteerd. Het was vintage De Winter, en het maakte zijn punt duidelijk: waarom moet je overal je gegevens tonen, als het kinderspel is om met een neppasje binnen te komen?

De Winter deed weinig verkeerd, stelden juristen. Je mag gerust neppasjes laten zien, en zijn Lichtbildausweis bevatte de correcte gegevens. Hooguit had De Winter zijn lengte wat opgerekt. 

Later ontdekte De Winter dat Binnenlandse Zaken en de politie gegevens over hem hadden verspreid. Op sommige politiebureau’s werd via posters – met zijn gezicht erop – voor hem gewaarschuwd. De reden: De Winter ‘probeert met gebruikmaking van niet correcte identiteitspapieren terreinen en of gebouwen binnen te komen’. Uit een dossier dat in handen kwam van GeenStijl bleek dat De Winter tijdens en na de Nucleaire Veiligheidstop 2014 korte tijd in de gaten werd gehouden.

Het dossier had niets om het lijf: er was hard gezocht, maar niets gevonden. Dat leidde tot pareltjes als dit: een bewaker zag De Winter in januari 2014 eind van de middag ergens buiten zitten in Den Haag, ‘met een laptop op schoot. De beveiliger zag dat DE WINTER aan het werk was. De beveiliger keek DE WINTER aan en zag dat DE WINTER geschrokken naar beneden naar zijn laptop keek. DE WINTER [..] had hetzelfde uiterlijk, als op de foto die op Wikipedia van DE WINTER staat.’ 

Van Zwieten toont niettemin begrip voor de politie: ‘Net zoals wij bij het OM dachten: wat moeten we hier mee, heeft dat ook voor andere delen van de overheid gegolden.’ 

De Winter kreeg later excuses van de overheid voor deze overmatige nieuwsgierigheid. ‘Dat is wel weer mooi aan Nederland,’ zegt De Winter tegen Follow the Money, ‘Het is geen dictatuur. Ik kan naar de politie stappen, inzage vragen in hun dossier over mij, en dan valt het kwartje daar: “Oef, dit deugt niet.” En dan wordt het ook hersteld.'

Ontmoedigd

Op 29 mei 2015 trouwde Brenno. ‘Het was even zoeken, maar dat was de perfecte datum, want 2+0+1+5 + 5 + 29 = 42,’ verklaart De Winter. Het is een verwijzing naar The Hitchhiker’s Guide to the Galaxy, het lievelingsboek van veel nerds, waarin een supercomputer uitrekent dat ‘42’ het antwoord is op ‘The ultimate question of life, the universe and everything.’ 

‘Nadat Snowden in 2014 had laten zien dat we op industriële schaal worden afgeluisterd, was mijn motivatie weg. Wat kon ik nog aan de discussie toevoegen?’

Barbara, zijn kersverse echtgenote, vroeg Brenno rond hun huwelijk of hij de journalistiek nog wel leuk vond. Nee, eigenlijk niet meer. ‘Nadat Snowden in 2014 had laten zien dat we op industriële schaal worden afgeluisterd, was mijn motivatie weg. Wat kon ik nog aan de discussie toevoegen? Een datalek meer of minder deed er niet meer toe. En de Algemene Verordening Persoonsgegevens [AVG, red.] kwam eraan. Er werd op Europese schaal gewerkt aan goede oplossingen.’ 

Hij besloot zich op zijn adviesbureau toe te leggen. ‘In plaats van de hele tijd zeggen wat je niet moet doen, was het: ik zou ook kunnen helpen.’

Hij stond gemeenten of instellingen bij die het slachtoffer van een hack waren geworden. Hij kon ze adviseren hoe dit aan het publiek te communiceren (zo open en eerlijk mogelijk) en schreef rapporten met daarin het echte verhaal, in plaats van de gelikte pr-versie of de scoop-hongerige journalistieke versie.

Corona

Begin 2020 raakte de wereld in de greep van corona. Op 6 april 2020 maakte Hugo de Jonge van VWS, inmiddels gepromoveerd tot corona-minister, op televisie bekend dat hij van plan was de coronacrisis te lijf te gaan met een telefoon-app. Mobiele telefoons konden een verdedigingslinie tegen het virus zijn. Via gps was ieders locatie bekend, en bluetooth kon worden gebruikt om te documenteren wie bij wie in de buurt was geweest; dat kon helpen bij contact tracing.

De overheid vroeg app-ontwikkelaars om hulp. Leveranciers kregen drie dagen de tijd om een plan voor een applicatie te leveren. De oproep werkte: er kwamen zevenhonderd voorstellen voor apps binnen, die vervolgens door 67 experts werden beoordeeld. Slechts zeven voorstellen mochten door naar de slotronde: in het weekend van 18/19 april 2020 hield het ministerie van VWS een ‘corona-app hackathon’. De zeven geselecteerde plannen zouden daar in uitgebreide vorm worden voorgelegd aan de experts, die het ‘proof of concept’ zouden beoordelen en testen. Een van de experts: Brenno de Winter. Zes van de uitverkoren apps waren in de eerste ronde al onder zijn ogen gekomen.

Hij was zwaar teleurgesteld. ‘Die zes waren toen al met vlag en wimpel gezakt,’ zegt De Winter tegen Follow the Money, ‘maar ze mochten toch door naar de finale. Er waren zevenhonderd aanmeldingen en geen van alle bleek iets te kunnen leveren dat fatsoenlijke contact tracing kon doen.’

Hij maakte zijn ongenoegen kenbaar in een beschouwing over de hackathon in de Volkskrant, opgetekend door zijn voormalige baas bij Webwereld, Laurens Verhagen. Die schreef dat het proces volgens De Winter nu al ‘de kenmerken [heeft] van een mislukt ict-project’. ‘Het tech-optimisme en gebrek aan ervaring bij het ministerie in combinatie met vage plannen van de ict-bedrijven zijn een dodelijke cocktail.’ Zeven experts trokken zich terug, privacy-organisaties en wetenschappers sloegen alarm. De hackathon viel in het water.

Tot De Winters verbazing nam Ron Roozendaal daarna contact met hem op. Roozendaal was chief information officer bij VWS en eindverantwoordelijk voor de ontwikkeling van de corona-apps.

De Winter vatte hun gesprek later als volgt samen: ‘Daarna kwam Ron op de lijn. Als je het allemaal zo goed weet… Doe het dan lekker zelf.’

De Winter: ‘Really?,’ 

Roozendaal: ‘Ja. Really.’ 

De Winter hoefde er niet lang over na te denken. Hij wilde helpen, maar had voorwaarden. Privacy moest gegarandeerd zijn, de beveiliging was niet onderhandelbaar en de app moest voor iedereen beschikbaar zijn. En hij wilde zelf zijn team samenstellen. Roozendaal ging akkoord. ‘Toen kreeg ik een kamertje op het ministerie en mocht ik het gaan doen,’ zegt de Winter.

Een deel van de hackers zal niet zomaar voor de overheid gaan werken – maar nu lag dat anders

Er is een intrigerende overlap tussen de hackersgemeenschap en de snelste en beste programmeurs van Nederland. Een deel daarvan zal niet zomaar voor de overheid gaan werken – maar nu lag dat anders. 

Programmeur en hacker Anne Jan Brouwer, die er later bij kwam, weet nog goed dat De Winter hem belde. ‘Hij zei: “Doe het voor het land. We hebben je nodig, we hebben maar een paar weken. Het is een eenvoudige app, maar het moet veilig zijn, en jij kan dat.”’ Hij riep ook de hulp in van Mendel Mobach, een kei op het gebied van cryptografie. Mobach: ‘Ik moest aangeven wat mijn ervaring bij de overheid was. Ik heb toen een opsomming gegeven van alle rechtszaken die ik tegen ze heb gevoerd.’ Een screening kreeg Mobach niet. De kans was te groot dat hij er niet doorheen zou komen.

Ron Roozendaal gaf Brenno en zijn hackers de ruimte. ‘Hij legde daarmee zijn carrière op een hakblok,’ zegt de Winter.

Hun eerste opdracht was voor GGD Contact: in november 2020 moest de contact trace-app af zijn. Omdat er software van Apple en Google gebruikt moest worden, hadden privacy-experts aanvankelijk grote zorgen. Maar hun app slaagde: ‘Deze monitoring lijkt in orde: de data wordt bewaard op je telefoon en heeft de vorm van een code waardoor het in het algemeen niet te herleiden is met wie je in contact bent geweest,’ erkende tech-filosoof Marjolein Lanzing in een opiniestuk in de Volkskrant, hoewel ze erop wees dat de infrastructuur voor andere surveillance-doeleinden nu wel klaar lag.  

Plan C

De volgende klus: de vaccinaties moesten worden geregistreerd. Het probleem was dat de allereerste vaccinaties voor hulpverleners zelf en voor de bewoners van zorginstellingen waren. Die worden anders geregistreerd dan normaal: niet via het huisartsensysteem. 

Om te zorgen dat ook deze vaccinaties goed konden worden geregistreerd, moest er snel iets worden gebouwd. Plan A was alles op de oude manier te doen, met een uitbreiding van het Huisarts Informatie Systeem (HIS) en excel-sheets. ‘Maar het HIS laten aanpassen door de leveranciers kostte tijd,’ zegt Mobach, en de vaccinaties gingen al in januari van start. De hackers waren aanvankelijk plan C. Plan B was dat de registraties dagelijks per mail naar het RIVM zouden worden gestuurd en daar zouden worden ingevoerd.

Op 15 december 2020, tijdens hun lunch, begonnen ze. Het eerste ontwerp was een uur later klaar. Het groepje hackers werkte non-stop door: op 22 december was de applicatie klaar. Toen moesten ze zoeken naar een geschikte hosting provider, voor het geval plan C plan A werd. Alle data moest worden versleuteld, de sleutels veilig bewaard, buiten het bereik van hackers. Daarvoor hadden ze geld en faciliteiten van de overheid nodig. Maar daar lag alles op 22 december al stil. Ook daarvoor vonden de hackers een oplossing.

Op 5 januari waren ze klaar: plan C was plan A geworden. De volgende dag zette een arts de allereerste vaccinatie van Nederland bij Sanna Elkadiri, een medewerker van een verpleeghuis, onder het goedkeurend oog van minister Hugo de Jonge. Elkadiri’s prik werd keurig geregistreerd.

QR-code

Vervolgens kwamen de 2G-discussies. Mensen die gevaccineerd of genezen waren, moesten zich als zodanig kunnen identificeren, met een QR-code. Dat lag gevoelig bij team-De Winter. ‘Ik heb mijn irritatie geuit,’ zegt de Winter, ‘en gezegd dat veel mensen ongemak hadden over de QR-code. De Jonge opperde toen om daar eens over te praten.’

De minister kwam persoonlijk bij de hackers en de ontwikkelaars langs om uit te leggen waarom hij voor 2G was. ‘Het was een open discussie,’ zegt Brenno, ‘er werd niets gedocumenteerd, iedereen kon zijn hart luchten.’ Ook De Jonge was open. Hij erkende dat een QR-code het aantal infecties niet zal verlagen, maar wel het aantal ernstig zieken en daardoor de druk op de gezondheidszorg. Bovendien hadden Frankrijk en Oostenrijk al gezegd geen mensen het land meer binnen te laten die geen vaccinatie- of herstelbewijs konden overleggen. 

‘De QR-code was toxic, en duwde progressieve jonge mensen naar ultra-rechtse politici’

De Winter vond De Jonge scherp. ‘Hij had snel door wanneer hij bespeeld werd.’ Op de openbare optredens van De Jonge heeft De Winter wel kritiek. ‘Hij had eerlijk moeten zeggen wat de dilemma’s waren en dat er slachtoffers zouden vallen. Hij had vaker moeten zeggen: “Mensen, het gaat over een infectieziekte.”’

Een aantal hackers besloot af te haken, een aantal liet zich door De Jonge overtuigen.

Ook computerwetenschapper Melanie Rieback werd bij het project betrokken. Haar bedrijf Radically Open Security hielp bij het testen van de veiligheid van de apps, ook voor de Europese Commissie. De CoronaMelder, die waarschuwt als je in de buurt van iemand met een besmetting bent geweest, vond ze een voorbeeld van ‘do-something-itis’, iets doen om iets te doen. ‘In plaats van iets doen omdat het effectief is. Maar verder is die app vrij onschuldig.’ Met de QR-code had ze meer moeite. ‘De QR-code was toxic, en duwde progressieve jonge mensen naar ultra-rechtse politici.’ Ook Rieback is van Joodse afkomst. Ook haar familie verloor veel mensen in de oorlog. 

Binnen haar bedrijf ontstonden heftige discussies. Was dit geen nieuwe stap naar een surveillance-maatschappij? Werden er zo niet mensen uitgesloten? Tot haar verbazing waren de meesten van haar hackers het niet met haar eens. ‘Ze zeiden: als dit echt helpt om de pandemie te stoppen, willen we meedoen.’

De Winter: ‘Als we hadden gezegd, u kunt het komende jaar niet naar Frankrijk – wat voor impact zou dat op de Europese Unie hebben gehad? We hebben er nu voor gezorgd dat Nederland in drie weken kon beginnen met vaccineren en dat deugdelijk kon registreren. En iedereen begreep wel dat die registratie behoorlijk cruciaal was.’

Zo kwamen er twee QR-codes: een minimale voor Nederlands gebruik, en eentje voor Europa, die veel meer informatie bevat

De hackers die wilden meewerken aan de QR-code-app, stonden erop dat het zo goed mogelijk zou gebeuren. De broncode moest openbaar zijn, zodat iedereen kon checken of er addertjes onder het gras zaten. De QR-code moest zo min mogelijk informatie bevatten. Een restauranthouder hoeft niet te weten waar je gevaccineerd bent, of welke vaccinatie je hebt gekregen. Ook je volledige naam en je geboortedatum zijn irrelevant. De Nederlandse QR-code bevat daarom alleen de initialen, de voornaam, de eerste letter van de achternaam en de geboortedatum minus jaartal. 

Daarom kwamen er twee QR-codes: een minimale voor Nederlands gebruik, en eentje voor Europa, die veel meer informatie bevat. (De QR-code voor Europa eindigt altijd met 42 – een knipoogje van de hackers.)

Perfectie

Inmiddels had het team veel software gebouwd: vaak eigenhandig. En die moest je goed bewaken, ook met het oog op statelijke actoren als Rusland, China of Iran. Veel bedrijven weigerden hun medewerking, vaak omdat alle code rond de corona-apps openbaar moest zijn. 

‘De stress hierover liep hoog op. Een van de medewerkers kreeg een hartinfarct, een ander hartklachten,’ zegt De Winter. ‘Stressgerelateerde signalen die je serieus moet nemen. Toen dacht ik: ik ga dit niet redden. Ik ga verzuipen.’ 

Opnieuw kwamen de hackers met een creatieve oplossing. ‘We zagen in dat je dit anders kunt regelen, op een manier die veel geld bespaart.’ Ze bouwden een softwarepakket dat de overheid beter beschermt tegen hackers. ‘Dat noem ik perfectie,’ zegt De Winter.

‘Ik mag nu privacyvriendelijke oplossingen bedenken’ 

Terugblikkend zegt hij: ‘De corona-hectiek heb ik als zwaar ervaren. Zeven dagen in de week zulke lange dagen maken was heftig. Maar als ik naar mijn team kijk, ben ik trots: we hebben iets gedaan voor het algemeen belang. Niet alleen tijdens de crisis, maar ook doordat we nu de beveiliging van persoonsgegevens verder mogen brengen. Ik mag nu privacyvriendelijke oplossingen bedenken.’ 

Hoe tevreden is VWS over Brenno en de hackers? ‘Niet ontevreden. Men beseft dat we op een andere manier aan de slag zijn gegaan, en zoekt naar manieren om dat vast te houden. Voor het eerst krijgt de overheid echt deugdelijke oplossingen, en dat wil je niet kapot laten gaan.’’

En Barbara? Wat vindt zij ervan? ‘Toen ik vijftig werd, zaten we in lockdown. Als verrassing had Barbara geregeld dat ik met een Rolls Royce werd opgehaald om naar VWS te gaan. Want ze wist wat ik die dag het liefste deed: werken aan privacy.’