Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer
De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.
Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?
We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.
En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?
Podcast | Bart Schermer: ‘Met de huidige aanpak van cybercrime lossen we de problemen uit 2017 op’
14
MIN
Amper toezicht op inzet van massa-surveillance tools door inlichtingendiensten
14
MIN
Zorgen over surveillancestaat weerhouden regering niet van invoering digitale bewijspas
14
MIN
De politie belazerde computercriminelen – begrijpelijk, maar mag dat wel?
12
MIN
‘Tijd om het gevecht met de tech-reuzen aan te gaan,’ zegt econoom Tommaso Valletti
15
MIN
PvdA-prominent verzwijgt belang in armoede-app bij promopraatjes
16
MIN
Woekerwinsten voor uitgevers van wetenschappelijke tijdschriften, ondanks nieuwe regels
14
MIN
‘Door gebrek aan toezicht gaan overheidsinstanties soms te ver bij het verzamelen van inlichtingen’
12
MIN
De politie vraagt opvallend vaak gegevens op van toeslagenouders, maar kan niet zeggen waarom
12
MIN
KPN vecht voor nieuw monopolie, de toezichthouder helpt mee
© Rosa Snijders
14
MIN
Amper toezicht op inzet van massa-surveillance tools door inlichtingendiensten
Via open bronnen en commerciële datasets halen de inlichtingen- en veiligheidsdiensten miljarden gevoelige persoonsgegevens binnen. Met speciale software kunnen ze die via een enkele druk op de knop doorzoeken, analyseren en zo een ijzingwekkend accuraat beeld van iemands leven schetsen. Maar de wettelijke basis om deze tools in te zetten is dun, en toezicht is er nauwelijks. Experts en (oud-)toezichthouders pleiten daarom voor nieuwe wetgeving die het gebruik reguleert: ‘Dit kan ingrijpende gevolgen voor burgers hebben.’
- Inlichtingen- en veiligheidsdiensten gebruiken steeds vaker commerciële zoekprogramma’s die toegang geven tot gevoelige persoonsgegevens. Dat valt onder onderzoek met open bronnen – beter bekend als Open Source Intelligence (OSINT) – waardoor er weinig toezicht is.
- Experts en (oud-)toezichthouders pleiten voor nieuwe wetgeving die het gebruik van OSINT reguleert: ‘Dit kan ingrijpende gevolgen voor burgers hebben.’
- Databedrijven opereren als intermediairs tussen criminelen, malafide adverteerders en ‘nette klanten’ als overheidsdiensten en Fortune 500-bedrijven. Bedrijven die zich specialiseren in het vinden, bundelen, koppelen en doorzoekbaar maken van zulke informatie doen goede zaken. Een deel van hen doen dat exclusief voor inlichtingen- en opsporingsdiensten.
- De diensten houden bij de aankoop en het gebruik van commerciële software-tools onvoldoende rekening met de impact die dat kan hebben op de rechten van burgers.
Er klinkt luidruchtig gebrom in Nacka, een wijk in Stockholm. Het is dinsdag 22 november 2022, zes uur ’s ochtends. Twee Black Hawk-helikopters van het Zweedse leger hangen in het donker boven een vrijstaande witte villa. Onder een paar enorme zoeklichten laten in het zwart geklede commando’s zich via touwen uit de helikopters op het dak van de villa zakken, die tegelijkertijd door auto’s met loeiende sirenes wordt omsingeld.
Via de ramen vallen de commando’s het huis binnen, en voeren de bewoners geboeid af. De bewoners van de sjieke buurt zijn totaal overrompeld door de inval. Aan hun buren, een echtpaar van rond de zestig, was volgens hen ‘niets opvallends’ te zien. ‘Ze hadden het over tuinieren en groetten altijd vriendelijk,’ zegt een van de buren.
Maar de Zweedse inlichtingendiensten hebben ontdekt dat de twee, die in 1997 van Rusland naar Zweden emigreerden, spionnen zijn. De actie moest voorkomen dat het echtpaar bij hun aanstaande arrestatie bewijsmateriaal zou vernietigen.
De zaak trekt de aandacht van Nico Dekens. Hij is een van Nederlands beste digitale detectives en heeft eerder voor de inlichtingendiensten van de politie gewerkt. Momenteel werkt hij bij het Amerikaanse ShadowDragon, dat hulpmiddelen ontwikkelt voor het verzamelen en verwerken van publiek toegankelijke informatie op internet.
Dekens bracht met commerciële tools het leven van de twee Russische spionnen in kaart
Dekens wilde weten of hij meer over de spionnen kan achterhalen. ‘Dit is mijn werk en mijn hobby, 24 uur per dag, 7 dagen per week,’ zegt hij tegen Follow the Money. Met behulp van allerlei software-tools vond hij binnen de kortste keren stapels informatie over het duo. Hun aliassen, e-mailadressen, telefoonnummers, sociale media-accounts, opleidingsgegevens, de auto die ze gebruikten en foto’s van het echtpaar.
Hij kon zelfs hun bewegingen in kaart brengen: ‘Met speciale software kan ik een denkbeeldige doos over een huis zetten, waarna ik alle mobiele apparaten kan vinden die daar actief zijn geweest, en kan zien waar die de afgelopen maanden allemaal zijn geweest. Vanuit een spionageperspectief is dat natuurlijk heel interessant.’
Dekens bracht met commerciële tools het leven van de twee Russische spionnen in kaart, en liet zien waartoe een goede digitale speurder in staat is. Tegelijkertijd zou het zomaar een casus kunnen zijn voor de goed bezochte, peperdure trainingen die hij aan medewerkers van westerse inlichtingendiensten geeft.
Op de vraag of de Nederlandse inlichtingendiensten (de AIVD en de MIVD) daar ook bij zitten, antwoordt Dekens: ‘Geen commentaar.’ De software die hij gebruikte, wordt wel genoemd in een rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) van begin 2022. De diensten hebben geautomatiseerde tools gemaakt en aangekocht, waarmee ze gigantische hoeveelheden gevoelige persoonsgegevens verzamelen en met een druk op de knop kunnen doorzoeken.
Dunne onderbouwing
Al gebruikten de diensten zulke Open Source Intelligence of OSINT-tools in de periode die het CTIVD-rapport beschrijft niet dagelijks, ze worden door de digitalisering van de samenleving steeds belangrijker, en hun impact op de rechten van burgers neemt navenant toe.
‘Via deze tools kunnen de diensten toegang kopen tot praktisch alles,’ zegt Bert Hubert. Hij was tot voor kort lid van de Toetsingscommissie Inzet Bevoegdheden (TIB), de andere toezichthouder op de inlichtingendiensten. ‘Alles wat er online aan informatie te vinden is. Ze mogen gestolen databases kopen, gelekte gegevens ook. Het wordt zelfs van ze verwacht.’
De wettelijke onderbouwing om zulke tools te kopen en in te zetten is volgens het rapport van de CTIVD echter dun en ondoorzichtig. Dat schuurt met fundamentele rechten, zoals het recht op privacy. Sinds november 2022 doen de diensten daarom een pilot met een toetsingskader om te waarborgen dat de aanschaf en inzet van deze nieuwe spionagemiddelen binnen de regels plaatsvindt.
Hubert is blij met deze toetsing, maar waarschuwt dat die wel in de wet moet worden verankerd: ‘Als je dit niet heel strak inkadert, loop je het risico dat je toch langzamerhand je eigen Stasi bouwt.’
Hij noemt de hoeveelheid persoonsgegevens die inlichtingendiensten met OSINT kunnen verzamelen ‘overweldigend’ en wijst erop dat die vaak verdergaand zijn dan wat je met een tap of een hack kunt binnenhalen. Maar taps en hacks zijn ‘bijzondere bevoegdheden’ en de inzet daarvan is aan strenge regels en extern toezicht onderworpen. Maar dat geldt niet voor de OSINT-software die Nico Dekens gebruikte.
Crazy walls
OSINT is de officiële term voor het vergaren en analyseren van informatie uit openbare bronnen over mensen, bedrijven of gebeurtenissen. Er zijn veel bronnen om uit te putten: kranten en tijdschriften, sociale media feeds, publieke fora, de Kamer van Koophandel, het kadaster, geboorte-, huwelijks- en overlijdensberichten, stambomen, verkeers-, vlucht- en scheepvaartgegevens, satellietfoto’s, weerberichten en locatiebepalingen.
Die combineer je vervolgens. Denk aan de crazy walls, de prikborden uit tv-series en films, vol knipsels en foto’s die met rode draden met elkaar zijn verbonden en waar een detective onrustig langs ijsbeert in de hoop verbanden te zien.
Dat ijsberen doen ze tegenwoordig online. Met de digitalisering van de samenleving is het aantal openbare bronnen explosief gestegen, net als de hoeveelheid informatie die je er kunt vinden: wie je contacten zijn op sociale media, je paspoortnummer, soms ook je wachtwoorden en locatiegegevens.
Daarmee kun je een digitale ‘crazy wall’ maken, maar dan eentje on steroids. Samengesteld uit duizenden gegevens en honderden verbanden, waarmee onderzoekers hele levensgeschiedenissen kunnen reconstrueren en mensen in de gaten kunnen houden, zoals Dekens deed met het Russische echtpaar.
Inmiddels is er een florerende industrie ontstaan van bedrijven die zich specialiseren in het vinden, bundelen, koppelen en doorzoekbaar maken van zulke informatie, waaronder ook bedrijven die dat uitsluitend voor inlichtingen- en opsporingsdiensten doen. Dekens gebruikte het softwarepakket Maltego, een toegangspoort tot tientallen zoekmachines en andere databronnen. Met een druk op de knop kon hij zo uit miljarden persoonsgegevens, locatiegegevens en honderden sociale mediaplatforms eenvoudig de relevante data opvissen.
‘Geslachtsrijpe Chinese vrouwen’
Maltego is een van de geautomatiseerde OSINT-tools waarvan het CTIVD-rapport stelt dat de diensten die mogelijk gebruiken.
Programma’s als Maltego werken simpel. Je zet een naam in een zoekveld, waarna de software allerlei gekoppelde databanken doorzoekt en automatisch een diagram construeert met daarin alle gevonden mensen, bedrijven, locaties, e-mailadressen, gebruikersnamen, wachtwoorden, social mediasites, aliassen, sociale contacten, hobby's en digitale infrastructuren die een relatie hebben met de ingevoerde naam.
Hoe meer abonnementen, hoe meer munitie
Bij Maltego kun je via abonnementen toegang krijgen tot zoekmachines en databases die door weer andere bedrijven zijn verzameld. Hoe meer abonnementen, hoe meer munitie. Zo kun je tientallen andere tools aan Maltego koppelen. Bijvoorbeeld Spycloud, ontwikkeld door de Nederlandse hacker Nick Brands. Al jaren verzamelt Spycloud databases die open en bloot op internet staan. Het beschikt naar eigen zeggen over ruim 300 miljard ‘recaptured assets’, zoals gebruikersnamen, telefoonnummers, geboortedata, ID-nummers en wachtwoorden die het op internet vindt, koopt, of van criminelen steelt.
Wie de afgelopen jaren hackers heeft gevolgd, krijgt een aardig idee wat er online vrij verkrijgbaar is. Van no fly-lijsten van de Amerikaanse douane en een database van ‘geslachtsrijpe Chinese vrouwen’ tot geschraapte datasets van Linkedin, Twitter en Facebook, met daarin honderden miljoenen telefoonnummers, e-mailadressen en soms ook wachtwoorden van de gebruikers.
Ook circuleren er gigantische hoeveelheden gestolen databases op internet, die criminelen online hebben gezet of te koop aanbieden. Ransomware-groepen doen dat soms als ‘straf’ voor slachtoffers die niet wilden betalen, of om slachtoffers onder druk te zetten alsnog geld over te maken.
Tot slot zijn er bedrijven die Advertising Intelligence (ADINT) aanbieden. Zij maken er misbruik van dat vrijwel iedereen voorwaarden van applicaties of websites accepteert zonder ze te lezen. Bijgevolg geeft vrijwel iedereen zijn locatie, zoekgeschiedenis en contacten prijs, in ruil voor gepersonaliseerde advertenties. Malafide adverteerders verzamelen deze informatie en verkopen die aan datahandelaren, die haar vervolgens weer kunnen doorverkopen, onder meer aan inlichtingen- en veiligheidsdiensten.
Elke telefoon heeft een unieke code, die adverteerders kunnen gebruiken om gericht advertenties naar het toestel te sturen. Adverteerders kunnen zo veel informatie binnenhalen over deze telefoons: waar ze zich bevinden, welke apps erop draaien en wanneer die worden gebruikt. Dat leidt tot een haast onafgebroken stroom aan data die je smartphone, meestal zonder dat je dat weet, aan derden stuurt. De gebruiker van de telefoon hoeft niet eens op de advertentie te klikken om de datastroom op gang te brengen.
De handel in deze gegevens is een miljardenbusiness, en leidt tot complete gebruikersprofielen waarin een ris aan persoons- en locatiegegevens, voorkeuren, interesses en soms zelfs medische aandoeningen is verwerkt.
Heel duur hoeft die manier van datavergaring niet te zijn, lieten onderzoekers van de universiteit van Washington zien. Ze kochten voor slechts 1000 dollar advertenties in met de telefoons van specifieke mensen als doelwit. Met de data die ze zo genereerden, waren ze in staat deze mensen fysiek te volgen en vast te stellen of zij op een locatie gebruik maakten van bijvoorbeeld de religieuze app Quran Reciter of de Grindr dating-app. De gebruikers van de telefoon hadden niets door.
‘OSINT is allang veel meer dan het “naslaan” van een telefoonboek of een tijdschrift,’ zegt CTIVD-voorzitter Nico van Eijk. ‘Als iemand een applicatie toestemming geeft om zijn telefoon leeg te zuigen, komt er een permanente datastroom op gang van alle informatie uit dat toestel: van je locatiegegevens tot welke apps je gebruikt, en de tijdstippen waarop je actief bent.’
‘Zulke gegevens kunnen in het kader van OSINT worden verzameld. Dus als een adverteerder toegang tot die data krijgt en die doorverkoopt aan een databroker, die dat weer herverpakt en importeert in een dataset die in een OSINT-tool wordt gebruikt, kan dat zelfs meer en waardevollere informatie opleveren dan een internettap.’
Afschuiven van verantwoordelijkheid
Databedrijven opereren zodoende inmiddels als intermediairs tussen malafide adverteerders en ‘nette klanten’. Sommige bedrijven verzamelen zelfs gestolen informatie: ze infiltreren in criminele netwerken waar ze via heling of social engineering de databases in handen krijgen. Vervolgens verkopen ze toegang tot deze data aan iedereen die er maar voor wil betalen. Houden inlichtingendiensten, wanneer zij zulke producten afnemen, niet een cultuur van stelen en afpersen in stand?
‘De Autoriteit Persoonsgegevens zou dit soort datasets moeten monitoren,’ zegt Floor Terra van het Nederlandse adviesbureau Privacy Company, dat internationaal furore maakt met gedetailleerd onderzoek van de datastromen naar grote techbedrijven. ‘Zij moet erop toezien dat betrokkenen worden geïnformeerd dat hun data de ronde doen, zodat die gegevens niet misbruikt kunnen worden. Maar dat gebeurt niet. Ondertussen denken die bedrijven: als je ermee wegkomt, is het goed.’
Op de vraag of een inlichtingendienst wel zaken moet doen met dergelijke intermediairs, zegt Terra: ‘Een inlichtingendienst mag criminele data inkopen, dus waarom niet ook data van een bedrijf dat alleen bestuursrechtelijke wetten overtreedt en geen strafrechtelijke? Dat die gegevens niet voorhanden horen te zijn, betekent niet dat inlichtingendiensten ze niet mogen kopen.’
Wat hij wel opmerkelijk vindt: ‘De diensten zeggen over bepaalde gegevens, zoals gestolen gegevens: het wordt verkocht, dus dan is het openbaar. Daarmee draag je bij aan de instandhouding van dit ecosysteem.’
Ook Hubert is daar bezorgd over: ‘Er is een rijk ecosysteem van dataverkoop door boeven. Als inlichtingendiensten daar vrij mogen inkopen, bestaat het gevaar dat je dat systeem sponsort. Dan wordt het ineens heel interessant om van alles te gaan hacken om geld binnen te halen. Dat wil je echt niet.’
‘Als de diensten die data zelf zouden verzamelen, zou de toezichthouder ingrijpen’
Terra ziet twee problemen: ‘Ten eerste het afschuiven van de verantwoordelijkheid naar bedrijven die zulke informatie verzamelen. Als de diensten die data zelf zouden verzamelen, zou de toezichthouder ingrijpen. Zo rek je de grenzen van wat de diensten kunnen doen enorm op. Ten tweede is het de vraag of het wenselijk is dat je toegang tot gegevens koopt waarvan je eigenlijk zou zeggen: dit klinkt als massasurveillance. Daar is in de wet onvoldoende rekening mee gehouden.’
CTIVD-voorzitter Van Eijk ziet nog een ander risico. ‘Je weet nooit zeker of de aanbieder van een commerciële tool meekijkt.’ Daarbij komt dat het voor afnemers van zo’n tool niet inzichtelijk is waar bepaalde gegevens vandaan komen of hoe betrouwbaar ze zijn.
‘Als je dat niet doet, neem je staatsveiligheid niet serieus’
Moderne OSINT-technieken zijn van groot belang voor inlichtingen-, veiligheids- en opsporingsdiensten, en kunnen ervoor zorgen dat analisten bij dreigende situaties razendsnel informatie kunnen verzamelen.
Dekens haalt een voorbeeld aan. ‘Toen ik bij de politie werkte, op de inlichtingenafdeling bij contraterrorisme, was ik op zoek naar een terroristische cel. Het kostte me drie maanden om tot een bepaald beeld te komen. Kort daarna kreeg ik toegang tot Maltego. Toen heb ik geprobeerd hoeveel sneller ik daarmee tot hetzelfde beeld kon komen. Dat lukte binnen twee dagen.’
Dekens vertelde onlangs over een filmpje waarin een jongen aankondigde dat hij met wapens naar school zou gaan. In een flits zag Dekens een e-mailadres voorbij komen. Hij vond met Maltego razendsnel het huisadres van de jongen en wist ‘zijn hele doopceel’ te lichten. Zo heeft Dekens mogelijk een school shooting helpen voorkomen.
Vandaar dat hij concludeert: ‘Als je zulke dingen niet doet als inlichtingendienst, neem je staatsveiligheid niet serieus. Maar: er moeten wel duidelijke regels en kaders komen.’
‘Recht op kennisneming’
Dekens noemt daarmee een belangrijk punt: de wettelijke basis voor de inzet van commerciële OSINT-tools is flinterdun.
Volgens de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) mogen de diensten gegevens verzamelen uit ‘voor een ieder toegankelijke informatiebronnen’. Dat zijn blijkens de toelichting alle bronnen die zonder ‘drempels’ kunnen worden geraadpleegd, zoals de open delen van sociale media. Een definitie van zo’n drempel staat er niet bij, maar registratie of een (kleine) betaling om bij gegevens te komen, valt daar volgens de wetgever niet onder, stelt de CTIVD.
Het enige voorbeeld dat de wetgever geeft: de diensten mogen een abonnement op de gegevens van de Kamer van Koophandel nemen
De bevoegdheid om grote, commercieel beschikbare datasets en OSINT-tools aan te kopen, baseren de diensten daarom op een ander artikel uit de Wiv. Dat vergt wel enige juridisch lenigheid. Dat artikel geeft ze namelijk het recht gegevens te verzamelen uit bronnen waarop een ‘recht op kennisneming is verleend’. Volgens de CTIVD bedoelt de wetgever daarmee dat de diensten data mogen verzamelen uit bronnen waartoe hen via een andere wet toegang is verleend, bijvoorbeeld via de Wet politiegegevens.
De diensten lezen dit echter anders. Volgens hen mogen ze dat ‘recht tot kennisneming’ ook kopen. Ze beroepen zich op de toelichting op de Wiv, waarin welgeteld één keer staat dat ze commercieel beschikbare gegevens mogen verzamelen. Het enige voorbeeld dat de wetgever geeft: de diensten mogen een abonnement op de gegevens van de Kamer van Koophandel kopen. Ondertussen kunnen analisten langs deze route miljarden persoonsgegevens bereiken en lijkt het ze niet uit te maken waar die vandaan komen, of wat de inhoud ervan is.
Met dat scenario is bij de Wiv 2017 volgens de CTIVD totaal geen rekening is gehouden. Het Duitse onafhankelijke onderzoeksplatform Stiftung Neue Verantwortung leverde om die reden in een recent rapport stevige kritiek op de ‘onredelijk brede uitleg’ van wat inlichtingendiensten in Nederland onder publiek beschikbare informatie verstaan.
Waarborgen
De CTIVD bepleit daarom nieuwe wetgeving die vaststelt wat de diensten wel en niet mogen doen met geautomatiseerde OSINT. Ze wil die met waarborgen omkleden, ‘zowel voor wat betreft de tools als de via deze tools te raadplegen bronnen’.
Die waarborgen ontbreken omdat de wetgever het gebruik van OSINT bij de invoering van de huidige wet voor de inlichtingen- en veiligheidsdiensten niet als een vergaand inlichtingenmiddel zag. OSINT-tools aanschaffen en inzetten valt daarom onder de algemene bevoegdheden van de diensten. Het gevolg is dat de besluitvorming hierover een interne aangelegenheid is. Onder specifieke omstandigheden moet een medewerker toestemming vragen, maar een akkoord van het diensthoofd volstaat. Het diensthoofd mag deze verantwoordelijkheid bovendien delegeren aan medewerkers die lager in rang zijn.
Het contrast met de ‘bijzondere bevoegdheden’ van de diensten, zoals aftappen en hacken, is daarom groot. Die zijn wél aan strenge voorwaarden gebonden, zoals toestemming vooraf van de Toetsingscommissie Inzet Bevoegdheden. Die houdt bovendien toezicht op de verwerking van de data die de diensten langs deze weg verzamelen.
Voormalig TIB-lid Bert Hubert heeft moeite met dit verschil: ‘Enerzijds kan het gebruik van OSINT heel nuttig zijn en soms juist voorkomen dat zwaardere, bijzondere bevoegdheden moeten worden ingezet. Anderzijds zijn de databases die tegenwoordig rondzwerven echt overweldigend. En door al die lekken en handel in data zijn mensen zich daar meestal niet van bewust. In die gevallen kan OSINT zo heftig zijn dat het zijn eigen bijzondere bevoegdheid wordt, maar dan dus zonder toezicht. Dat is raar.’
Wordt OSINT gebruikt om de regels te omzeilen? Nico van Eijk: ‘We hebben als CTIVD aandacht voor dit soort vragen. Het voelt krom dat de diensten voor een individuele tap een last nodig hebben, en dat voor het binnenhalen van zeer veel data van zeer veel mensen een algemene bevoegdheid volstaat. Maar het alternatief is dat er voor bijna al het werk een last nodig is, en dat sluit echt niet meer aan bij de dynamiek van het huidige dreigingsbeeld. Het is dan wel essentieel dat hier adequaat en bindend toezicht tegenover staat. Als de inzet van deze middelen zo ver kan gaan, moet je ervoor zorgen dat het op een fatsoenlijke manier gebeurt.’
Invoering toetsingskader
Dat het interne toezicht niet altijd goed gaat, blijkt uit de rapportage van de CTIVD: de diensten volgden de wet niet altijd zorgvuldig.
De diensten hielden bij de aankoop en het gebruik van geautomatiseerde OSINT-tools onvoldoende rekening met de impact die dat kon hebben op de rechten van burgers. Ook hadden ze volgens de toezichthouder te weinig kennis van de manier waarop die tools werkten en deden zij onvoldoende onderzoek naar de betrouwbaarheid van de onderliggende data. Volgens de CTIVD handelen de diensten daarmee in strijd met hun wettelijke verplichting ‘zorgvuldig en behoorlijk’ met persoonsgegevens om te gaan.
Als remedie hamert de toezichthouder op een intern toetsingskader dat vergt dat de diensten de aanschaf van een OSINT-tool toetsen aan alle wettelijke vereisten die de Wiv 2017 aan gegevensverwerking stelt. Inmiddels hebben de diensten in samenspraak met de CTIVD zo’n kader ontwikkeld. Sinds november loopt hiervoor een pilot, waarvan in maart de eerste evaluatie wordt verwacht. Aan de hand daarvan zal de CTIVD besluiten hoe het uiteindelijke toetsingskader vorm krijgt, zegt Van Eijk. Hij verwacht dat dit zal leiden tot een betere balans tussen nationale veiligheid en de rechten van burgers.
Voormalig TIB-lid Bert Hubert noemt het kader een goed begin, maar vindt het niet genoeg: ‘Zoiets moet je in de wet regelen. Je moet verankeren hoe je wilt dat de diensten met OSINT omgaan. Dat moet je niet aan afspraken met een toezichthouder overlaten. Anders loop je het risico dat je je eigen Stasi bouwt. Oh, is er een lek bij Twitter? Mooi. Dan halen we snel alle geodata van de gebruikers naar binnen, zodat we weten waar ze wonen. Een lek bij Microsoft? Dan hebben we nu ook alle creditcardgegevens. Als je maar genoeg combineert, kun je zonder een enkele hacker in dienst te hebben een heel enge inlichtingendienst opzetten.’
OSINT gaat niet meer weg
Om deze ontwikkeling te keren pleit Hubert, net als Van Eijk, ook voor een andere omgang met data door de diensten: ‘Het zou beter zijn wanneer de inhoud van data maatgevend wordt voor de manier waarop diensten daarmee omspringen, en niet – of niet alleen – hoe ze eraan zijn gekomen. Nu vallen gegevens alleen onder een zwaarder regime wanneer ze via een tap of een hack zijn verkregen, terwijl data uit openbare of commerciële bronnen veel ingrijpender kunnen zijn. Dat is anno 2023 niet meer houdbaar. De aard van de data moet maatgevend zijn, ongeacht hoe je die hebt verkregen.’
De impact die OSINT in de huidige aanpak op de rechten van burgers kan hebben, zit Hubert hoog: ‘Dat is een van de belangrijkste redenen waarom de reorganisatie van de Wiv moet worden ingezet, want dit schuurt. En gezien de heftigheid van de datasets die nu rondzwerven, kan OSINT inzetten ingrijpende gevolgen voor burgers hebben.’
Maar het zal nog wel even duren voordat deze reorganisatie er is. Zelfs de wijzigingen in de Tijdelijke wet zijn nog niet van kracht.
Wat er ook gebeurt, de hedendaagse high-tech OSINT gaat niet meer weg. Dekens voorspelt dat spionnen zoals het Russische echtpaar in Zweden langzaam zullen uitsterven. ‘In plaats van spionnen te sturen, kun je de info nu veel sneller, efficiënter en betrouwbaarder uit open en semi-gesloten bronnen halen. Ook is informatie verzamelen en verblijven op locatie steeds lastiger. De kans op ontdekking via open bronnen, sensoren en camera’s is tegenwoordig groot.’
29 Bijdragen
Roland Horvath 7
De hele gegevens verzameling wordt een dictatuur. Waar de overheden geen oog voor hebben, de overheden lopen veelal achter de feiten en de calamiteiten aan.
Dat alle gegevens op straat komen te liggen, is niet alleen door gegevens verzamelingen van commerciële organisaties via hun cookies maar ook door de burgers zelf op a - sociale media. Velen doen er aan mee om al hun hebben en houden met iedereen te delen via websites als Facebook alias Meta en Instagram.
Het probleem, dat in het artikel behandeld wordt, zal waarschijnlijk ook moeten 'opgelost' door een verbod van tal van gegevensdeling en opslag door ondernemingen en door de burgers zelf. Alles heeft voor en nadelen.
Velen moeten tegen zichzelf beschermd worden.
En grote ondernemingen, die een -relatief- monopolie hebben, zijn niet onschuldig zoals de praktijk leert.
j.a. karman 5
Roland HorvathRoland Horvath 7
j.a. karmanMaar er zijn wat dat betreft ook regels nodig zoals het artikel stelt.
Over de gegevens zelf moeten er regels zijn. Maar het gevaar zit nog veel meer in de waanidee, die blijkbaar bij velen heeft postgevat dat al dat soort werk onfeilbaar is en al het bestaande zal vervangen en doen afschaffen. Zoals de meeste nieuwigheden gepresenteerd worden. Van de zelfrijdende auto, tot het eerste credit betaling systeem VISA, de invoering van de euro in 2002, het demoniseren van CO2, donkergroen en de wapenleveringen aan UA. Altijd veel stoef, maar nadenken over mogelijke secundaire gevolgen is er niet bij.
Een citaat uit het artikel:
" Inmiddels is er een florerende industrie ontstaan van bedrijven die zich specialiseren in het vinden, bundelen, koppelen en doorzoekbaar maken van zulke informatie, ..."
Dat bundelen en koppelen gebeurt met behulp van een algoritme en dat is de zwakke plek.
Het denkwerk wordt door een algoritme gedaan. Zorgwekkend. Overigens niemand kan zeer veel verschillende informatie op een redelijke wijze interpreteren en combineren.
De door mij geciteerde gegevens zijn slechts een onderdeel van de massale zoektocht in beschikbare gegevens.
En hoe die hoe dat "overdreven privacy activisme" de neiging heeft dictatoriale allures te krijgen is ook niet duidelijk. Privacy is geen banaal en nodeloos recht.
Zonder overleg en begrip zal in elk geval een opdeling van de maatschappij gebeuren in kasten, niet in 3, of 10 of 20 kasten, maar in honderden verschillende kasten, die ter plaatse uit de hoed van e.g. OSINT getoverd worden ten behoeve van, ja inderdaad, de machtigen en superrijken. Dit alles heeft niets te maken met een fobie voor het gegevens verzamelen.
Maar super groot, supersnel en super automatisch is daarom nog niet goed en bruikbaar.
j.a. karman 5
Roland HorvathDat het bundelen en koppelen zonder materiekennis zou kunnen is een bestuurlijk fabeltje. Van oudsher waren bestuurders verantwoordelijk voor beslissingen, dat veranderd wat mij betreft echt niet als daar een machine als hulp bij gebruikt. Neem het weerbericht, daar is zeer veel materiekennis bij de beschikbare gegevens ingezet. Dan nog zijn de resultaten niet onfeilbaar. Het omgaan met onzekerheden is een vereiste bij beslissingen hoe je ze ook bereikt.
Privacy naar een dictatoriaal gebeuren ontstaat door:
- het toezicht op commerciële bedrijven via de GDPR bij de AP te beleggen
- toezicht op handhavingsorganisaties van de overheid bij de AP te beleggen
- toezicht op verwerkingen onder andere door overheid (algoritme register) bij de AP te beleggen
- de AP laat zich sterk beïnvloeden door activistische privacy organisaties
Hier zie je een ongecontroleerde macht ontstaan die gevaarlijk kan worden wegens gebrek aan toezicht een gebrek aan scheiding der machten.
De opinie dat de overheid de bedreiging is komt via deze centrale privacy macht door en kan zeer nare vormen aannemen. De fobie van het gegevens verzamelen als is het doel correct is al ver doorgeschoten.
De superrijken en elite profiteren van die angst en de beperking van handhaving.
https://www.businessinsider.nl/belastingdienst-tekort-mensen-handmatige-controle-belastingaangifte/
Roland Horvath 7
j.a. karmanArthur Venis 3
j.a. karmanAlles in onze wereld is geld waard, en van data is al langer bekend dat de waarde ervan enorm is. De vraag die beantwoord moet worden is wat nou precies de waarde van die data behelst. Is dat omdat bedrijven of overheden de klanten (bevolking) precies in de gaten kunnen houden, en hun gedrag kunnen sturen zodat daarmee de zakken gevuld kunnen worden of mensen zich gedragen zoals een overheid dat graag ziet?
Maar wanneer we met een overheid te maken hebben die zelf de maatschappelijke impact van AI/ML niet ziet, of wil of kan zien, dan wordt regulering wel een dingetje.
Als techneut interesseert mij de technologie achter AI/ML, maar eigenlijk is mijn interesse naar de impact op ons leven nog veel groter. Vermoedelijk omdat het erop lijkt dat daar te weinig aandacht voor is. Hoe is dat tij te keren? Of concluderen we over een decennium dat we in 2023 iets hadden moeten stoppen dat in 2033 tot grote problemen leidt?
j.a. karman 5
Arthur VenisJe smartphone dan wel welk apparaat ook is veel krachtiger en tegelijkertijd fysiek kleiner dan eind jaren 70.
De gebruikte wiskunde is van voor die tijd.
Je stelt de goede vraag warbij je de context even vergeet. De starre regeltjes van een bestuurder beslisser zonder ai/ml zijn net zo gevaarlijk als met ai/ml
Arthur Venis 3
j.a. karmanj.a. karman 5
Arthur VenisArthur Venis 3
j.a. karmanMijn reactie ging niet zozeer over de technologische inhoud van de materie, als wel de maatschappelijke uitwerking ervan. Als je goed gelezen had (sic) had je dat begrepen. Het ging mij erom dat ik veel zie dat, omdat het algoritmes zijn (toverwoord) en die door software implementaties worden uitgevoerd, velen denken dat het dan wel goed moet zijn. Dat het in de praktijk zo niet uitpakt kan eenieder al ervaren wanneer je een willekeurig bedrijf iets vraagt en als antwoord krijgt: dat kan het systeem niet aan. Ofwel, ik kan er niets aan doen; computer says no.
Gebruik van data en software om in die data te graven op een manier die geen mens kan, kan enerzijds een zegen zijn, maar anderzijds leiden tot een (maatschappelijke) hel.
Dus ja, het is "gewoon" technologie, software, zoals ik die elke dag maak en gebruik. Maar het is meer dan sec technologie. En dat, mijnheer Karman, was mijn punt.
j.a. karman 5
Arthur VenisOr operatinal research is wat ouder.
A Wald was de inititaor naar de moderne tijd ondanks de afkeer bij Fischer. Bayes is van een andere tijd. Bayes van nog verder terug.
Als je goed gelezen had heb ik gezegd dat de algoritmes helemaal niet nieuw of bijzonder zijn. Dat wordt veel te vaak door onwetenden beweerd. De onzekerheden met waarschijnlijkheden is een belangrijke factor. In de huiige VUCA wereld zoekt dd gewone burger naar absolute makkelijke zekerheden. Daar gaat het mis.
Dat van de computer "says no" zeer eenvoudige gelijkwaardig aan "het is niet wat we hier doen".
Mensen zijn goed in het afschuiven van eigen verantwoordelijkheid. Dat veranderd niet met of zonder technologie
Je hebt dat punt volledig gemist.
Arthur Venis 3
j.a. karmanHet dedain spat ervan af. Klaar mee.
j.a. karman 5
Arthur VenisDie mis ik an uw kant.
Arthur Venis 3
j.a. karmanj.a. karman 5
Arthur VenisHet ongemakkelijke genoegen om veel meer gezien te hebben dan je zo op het eerste gezicht denkt.
Bedenk even dat ik niet alles zomaar in de openbaarheid breng. Op zijn best is er een hint in de richting.
Arthur Venis 3
j.a. karmanJeroen Pronk
Dit soort artikelen helpt om bewust gebruik van internet te stimuleren. Dank daarvoor. Ik kende Maletego nog niet. Interessant om zelf te kijken wat er bekend is over je digitale voetafdruk. Om iets (😁) van controle te hebben over de informatie bij databrokers gebruik ik -de betaalde dienst- van Ingogni om continue ‘data removal requests’ richting de brokers te sturen. Na 10 maanden zijn mijn gegevens bij 72 van de 122 databrokers verwijderd, bij 50 lopen de aanvragen nog…
Esther Van der Hei
Jeroen PronkS Jupa
Jeroen PronkDe inhoud van deze bijdrage is verwijderd.
Hannie Groen 5
John Janssen 4
Hannie GroenHerman Stapelbroek 1
John JanssenEsther Van der Hei
Dus dan inderdaad zonder smartphone zien te leven en ouderwets naar de winkel met cash geld 🙂
j.a. karman 5
- de beschreven werkzaamheden van veiligheidsdiensten zijn wel degelijk wettelijk
- het onwerkbaar proberen te maken van handhaving en veiligheidsdiensten is een vreemde ondermijnende activiteit. Dat heeft een nare smaak met de stasi insteek, die is namelijk ooit zo ingezet (jaren 30).
- OSINT is wat iedereen kan zien, niet het bedachte sleepnet met taps. Als je daar een probleem in ziet is elke vorm van toezicht problematisch.
Dat brengt me terug naar het privacy activisme dat steeds verdere groteske vormen aanneemt met machtsconcentratie. Wonderlijk dat dat niet herkend wordt, het zou een goed FTM onderzoek verdienen wie er met welke belangen een rol in speelt.
Jos Wagenmakers
j.a. karmanDe gevolgen van dit soort systemen zien we in China en Rusland, en in sommige situaties zelfs in de VS.
j.a. karman 5
Jos WagenmakersHet is zijn compleet complotideeen dat:
- verzamelen data alleen mag als de schuld bij dd rechter aangetoond is.
- verzamelen van gegevens betekent dat de persoon schuldig is.
Veel vooringenomenheid komt door dat niet te doen. Het resultaat is iets wat op gokverslaving lijkt. De eigen wens moet uit de data getoond worden
Peter den Ouden
j.a. karman 5
Peter den OudenYhomas 1