My lecture was titled ‘Privacy is the cornerstone of personal safety’; it’s about counterterrorism surveillance, general data collection, the lack of data hygiene and medical hacks. You can download the slides here (PDF, 1.4 MB).

Heb je een nominatie? Die kun je hier indienen: bedrijven – overheidsinstanties – personen. Wees specifiek en motiveer je toelichting zo goed mogelijk! Een nominatie als ‘De overheid, want die suckt’ zal het niet heel ver schoppen…

Wil je eerst meer weten over eerdere winnaars? Dat kan. Het uitgebreide juryrapport van de BBA 2010 staat hier (pdf). Of bekijk de uitslagen en foto-impressies van de eerdere Big Brother Awards uitreikingen: 2010, 2009, 2007, 2005, 2004, 2003 of 2002.

De jury bestaat dit jaar uit:

• Antoinette Hertsenberg, eindredacteur en presentator van het consumentenprogramma Radar. Zij werd in 2009 door Villamedia uitgeroepen tot journalist van het jaar.
• Nico van Eijk, hoogleraar Informatierecht, voorzitter van de Vereniging voor Media- en Communicatierecht (VMC), en lid van de Raad van Toezicht van de Nederlandse Publieke Omroep (NPO).
• Typhoon aka Glenn de Randamie (rapper). Hij won in 2004 De Grote Prijs, de meest begeerde talentenprijs van Nederland, en houdt zich ook in zijn werk vaak bezig met privacy.
• Edo Roos Lindgreen, partner bij KPMG en mede-oprichter van het Amsterdam Platform for Privacy Research).
• Karin Spaink, schrijfster en columnist; voorzitter van de jury.

Dit is de achtste en laatste keer dat ik jury-voorzitter ben. Dus maak er iets moois van en lever allemaal een prachtige nominatie in!

Als minister van Justitie kwam Donner zo vaak aanzetten met wetsvoorstellen en maatregelen die burgerrechten schonden, dat Bits of Freedom op haar website speciaal voor hem een nieuwe categorie instelde: Donnerabilia. Bij de jaarlijkse Big Brother Awards, de poedelprijs voor privacyschenders, sleepte Donner steevast zoveel nominaties en prijzen in de wacht dat de jury uiteindelijk besloot de man een oeuvreprijs toe te kennen.

En die man moet voortaan onze rechtstaat bewaken?

Een serie Kamermoties aan zijn laars lappend stemde Donner in 2006 in met de Europese Bewaarplicht: van alle Europese burgers zou precies worden bijgehouden met wie ze mailen, chatten en bellen, en vanaf welke locaties ze dat doen. In een aantal Europese landen is de bewaarplicht inmiddels ongrondwettig verklaard. Onder Donner werd tevens het CIOT gestart, een centrum dat van alle Nederlanders dagelijks gegevens over hun e-mailadres, hun telefoonnummer en IP-adres indexeert. Het CIOT werd een graaibak waarin politiediensten ongecontroleerd, vaak tegen alle regels in, konden rondneuzen.

En die man wordt nu de onderkoning van Nederland?

In mei van dit jaar hield Donner, nota bene op een conferentie ter gelegenheid van de Dag voor de Persvrijheid, een toespraak waarin hij de Wet Openbaarheid Bestuur op de korrel nam. Volgens Donner misbruikten journalisten de Wob om politici en beleidsmakers lastig te vallen. Liever zag hij dat voortaan alleen nog daadwerkelijke besluiten onder de Wob zouden vallen; alle onderliggende documenten en het proces van besluitvorming zouden geheim moeten kunnen blijven. Ook vond Donner dat journalisten vaker op voorlichters moesten vertrouwen. Al dat Wobben was namelijk enorm hinderlijk.

En die man moet een waakhond gaan besturen?

Nadat de Tweede Kamer besloot dat weigerambtenaren niet langer konden aanblijven, draalde het kabinet om dat besluit uit te voeren. (Sindsdien hebben we dus niet alleen weigerambtenaren, maar ook een weigerkabinet.) Minister Donner – die toen al had gesolliciteerd bij de Raad van State – verzocht op 19 november namens de regering diezelfde Raad van State om een advies over de kwestie. Zodoende presideert Donner straks over het advies dat hij aanvroeg om een Kamermotie te traineren en onder een democratisch genomen besluit uit te komen.

Die man moet straks het recht toetsen.

Waarom zulk beleid kortzichtig is en makkelijk tot politiek wapen kan verworden, legde ik al eerder uit in een column voor Het Parool. En wat is eigenlijk iemands ‘echte’ naam? De naam die in je paspoort staat? Dan komt elke Johannes die zich sinds jaar en dag Jan of Johan noemt, elke Geertruida die voor iedereen Gerda heet, onder vuur te liggen. En hoe moet het met getrouwde, gescheiden en hertrouwde vrouwen? Heet Jacqueline Kennedy volgens Facebook Jackie Kennedy, Jacqueline Lee Bouvier of Jacqueline Onassis?

De maatregel treft – buiten mensen die hun echte naam om veiligheids- of politieke redenen liever niet willen prijsgeven – vooral artiesten. Lang niet elke musicus, zanger, schrijver, tekenaar of columnist opereert immers onder ‘eigen’ naam. Denk aan Bernlef, Prince, Zak, Yrrah, Bibeb, Junkie XL, Anna Enquist, Gummbah, Kronkel, Opheffer, A.F.Th., Andreas Burnier, Marjolijn Februari, Drs. P., Arjan Ederveen, Elton John, Kader Abdollah, Freddy Mercury, Blixa Bargeld, Erwin Olaf, Marilyn Monroe. Gerard Reve is dood, maar had-ie volgens Facebook Gerard Reve moeten heten, Gerard van het Reve, Gerard van ‘t Reve of Gerard Kornelis van het Reve?

In Nederland sloot Facebook recent een serie mensen af die daar onder hun publieke pseudoniem actief waren, oftewel juist onder de naam waarmee ze het meest bekend zijn. Het betrof – of dat toevallig was of niet laat ik aan uw verbeelding over – een duidelijk omschreven groep Facebookers: mannen die geregeld in travestie optreden en dat als politiek statement gebruiken. Exit Jennifer Hopelezz, exit Pamela Andersom.

Sommige van hen werken al bijna twintig jaar onder hun artiestennaam en hebben in die hoedanigheid een serieuze carrière opgebouwd, zoals Dolly Bellefleur. Vanzelfsprekend gebruiken zij op Facebook daarom hun artiestennaam wanneer ze over hun werk en activiteiten vertellen. (Soms hebben ze daarnaast onder hun oorspronkelijke naam een ander account, bedoeld voor contact met vrienden.)

Afgelopen week werd zodoende ook Dolly Bellefleur afgesloten. Ze kreeg pas na veel gedonder haar account terug en dat alleen op voorwaarde dat ze voortaan haar artiestennaam aan haar persoonlijke naam koppelde. Sindsdien heet Dolly op Facebook verplicht ‘Ruud Douma (Dolly Bellefleur)’. Een gewrochte en onhandige oplossing, die twee pijnlijke consequenties heeft. Enerzijds ondermijnt-ie ‘Dolly Bellefleur’ als zelfstandige entiteit en daarmee haar impact als performer. Bij alles wat Dolly voortaan op Facebook zegt of doet, wordt ze gereduceerd tot een rol, tot een ‘fictief’ persona, waarmee haar politieke dimensie onderuit wordt gehaald. Anderzijds kan Ruud Douma zich nu nooit meer persoonlijk op Facebook manifesteren: Facebook heeft hem – op straffe van verbanning – verplicht zijn privéleven volledig gelijk te stellen aan zijn werk.

Facebook wordt steeds minder leuk. Maar er is één troost: naarmate Facebook strenger wordt in wie we er mogen zijn en wat we er kunnen zeggen, wordt het minder aantrekkelijk om daar even te gaan buurten. Ik doe steeds minder met Facebook…

(Foto: Dolly Bellefleur, door Erwin Olaf.]

Juist wanneer onze gegevens zo onmisbaar zijn voor hun bedrijfsvoering, voor onze identificatie en voor het correct uitvoeren en verwerken van onze transacties, verdienen die een hoge graad van bescherming. Desondanks gaan veel websites en applicaties gebukt onder elementaire fouten. Derden kunnen daardoor makkelijk met onze gegevens aan de haal gaan. Privacyschendingen, fraude, identiteitsdiefstal en valse verdenkingen zijn het gevolg.

Zo bleek vorige maand dat je bij de Belastingdienst met een willekeurig DigiD op andermans naam een toeslag voor huur-, zorg- of kinderbijslag kon aanvragen, diens rekeningnummer in het jouwe kon veranderen en die toeslag kon wegsluizen. De Belastingdienst is zo naar schatting voor ruim een miljoen opgelicht; honderden – mogelijk duizenden – mensen zijn ofwel hun toeslag misgelopen, ofwel valselijk als fraudeurs aangemerkt.

SQL-injects en cross-site scripting (XSS) klinken ingewikkeld, maar elke skriptkiddie kan het, waardoor de achterdeur van veel site wagenwijd openstaan. Via deze weg en kun je volledige databases uitlezen of iemands inlogsessie overnemen. Door precies zo’n fout kon ik een paar jaar geleden alle 1,2 miljoen patiëntendossiers van een groot ziekenhuis bekijken, ja zelfs veranderen. Dat zulke basisfouten nog steeds bij de vleet worden gemaakt, is verontrustend.

Webwereld is het zat. Het blad heeft oktober prominent uitgeroepen tot lekmaand en wil elke dag een datalek publiceren. Alles in het nette, uiteraard: het blad zal eerst de falende instanties waarschuwen, opdat men daar de boel kan repareren. Pas dan wordt het lek daadwerkelijk gepubliceerd.

Behalve een hopelijk leerzaam lesje voor overheid, bedrijven en instellingen, is het initiatief ook een slim charme-offensief van hackers. Ze tonen er hun goede wil mee aan, laten zien dat zij vaak meer kaas hebben gegeten van beveiliging dan allerlei dure ontwikkelaars, en onderstrepen de noodzaak voor zowel een meldplicht van datalekken als bescherming van de melders ervan. (Nog vorige week deed de provincie Noord-Holland aangifte tegen iemand die braaf een lek in hun site meldde.)

Uit vrees voor ‘maatschappelijke ophef’ hebben de gemeentes zich al schrap gezet voor de resultaten van deze lekmaand. Eindelijk! Nu de ziekenhuizen, de huisartsen, de apothekers, de datingsites, de zorgcentra, de jeugdzorg, de scholen, de Belastingdienst, de politiesystemen, de ambulances, de verzekeraars, de notarissen, de advocaten en al die anderen nog.

Geweld op straat is bij uitstek irrationeel: geen aanvaller of hooligan die eerst zijn pakkans berekent voordat-ie los gaat. Dieven zijn wél calculerend, maar geven hun stiel heus niet op vanwege camera’s. Ze zetten een muts of capuchon op, of verleggen hun werkterrein. (De stijging van gewelddadige overvallen in woonhuizen houdt rechtstreeks verband met de betere beveiliging van drukke straten, banken en winkels.)

Cameratoezicht heeft pluspunten. Wanneer mensen weten dat ergens bewakingscamera’s zijn, voelen ze zich vaak veiliger. En soms – hoewel minder vaak dan we denken – vergemakkelijken camerabeelden de opsporing. De vraag is wel of een illusie plus gering rendement de inzet van zoveel geld en menskracht legitimeert.

Dat prangt des te meer omdat cameratoezicht principiële nadelen heeft. Ons beeld van misdaad verschuift erdoor naar lijfelijke criminaliteit, naar spektakelmisdaad. Fraude, oplichting, omkoping, chantage, belastingontduiking – kortom: witteboordencriminaliteit – vang je niet met camera’s; zulke misdaden raken letterlijk uit ons zicht.

Al dat monitoren van ieders gedrag in de publieke ruimte erodeert voorts onze notie van privacy. Stilletjes zijn we gaan geloven dat jezelf in de openbaarheid begeven voldoende reden is om van hogerhand bekeken, gevolgd en getoetst te moeten worden. We zijn gaan geloven dat je onschuldigen collectief mag volgen teneinde potentiële verdachten te vinden.

De kijkers – de instanties die ons gadeslaan – worden daarentegen juist anoniemer. We weten niet wie ons allemaal volgen, noch waarom; we weten niet hoe ons gedrag wordt geïnterpreteerd, noch op grond waarvan. De kijker hoeft nooit verantwoording af te leggen. De bekekene wél, en kan dat alleen doen door zich permanent te laten bekijken.
Ons leven wordt een panopticum. Steeds vaker vragen we ons af: ‘Gedraag ik me wel normaal?’ en zijn bang uit de massa gevist te worden.

De anonieme kijker die ons in de gaten houdt, is bovendien niet neutraal. ‘Verdachte’ bevolkingsgroepen worden vaker bekeken. Op ‘normaal uitziende’ mensen wordt amper gelet. Maar wist u dat vrouwen van nature verdacht zijn? In Korea moeten vrouwen tien maal vaker dan mannen door de bodyscan. De bewakers van Amsterdam CS bespieden met hun camera’s bij voorkeur vrouwen te en volgden graag decolletés.

Inderdaad, vrouwen zijn zelden terrorist. Maar een seksbom is toch ook een bom?

Terecht schrijven de hackers dat ‘elementaire beveiligingsprincipes’ structureel niet worden toegepast en dat er sprake is van ‘blind vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars.’

Hackers die zulke fouten ontdekken, durven ze vaak niet te melden. Al snel belanden ze dan zelf in de beklaagdenbank, temeer daar sommige instanties alleen al het verrichten van zulk onderzoek als strafbaar beschouwen.

De Tweede Kamer reageerde plezierig snel en adequaat. Binnen een paar dagen vond viervijfde van de Kamer dat hackers die te goeder trouw beveiligingslekken willen aantonen en die openheid nastreven, dezelfde bescherming verdienen als klokkenluiders. Een stap vooruit!

Maar klokkenluiders zijn in Nederland erg slecht af (denk aan de bouwfraude), dus uiteindelijk schiet je er niet veel mee op. Daarnaast kun je pas dataklokkenluider worden nadat de fouten zijn doorgevoerd. Liever wil je voorkomen dat de elementaire ontwerp- en beveiligingsfouten waarmee de overheid nu steeds kampt, het überhaupt tot beleid en praktijk kunnen schoppen.

Ook daar is iets op te bedenken. Waarom laat de overheid – landelijk, provinciaal, gemeentelijk – haar ICT-projecten niet voortaan structureel doorlichten door hackers? Te denken valt aan een gefaseerde test: eenmaal na afloop van de ontwerpfase, voordat de bouw begint, en eenmaal pal voor de oplevering. Via de eerste test kunnen ontwerpfouten vroeg worden gesignaleerd, met de tweede kunnen uitvoeringsfouten worden onderschept voordat ze live gaan.

Mogelijk lopen ICT-projecten zodoende vertraging op, maar ze worden er robuuster en veiliger van. En het hoeft de overheid niks extra te kosten: in de aanbestedingsregels kan zij vastleggen dat herstel van de ontwerp- en implementatiefouten die hackers in zulke testen aantreffen, voor rekening van de ingehuurde projectpartner komt.

Geheid dat de overheidspartners – grote softwarebedrijven – tegenstribbelen: bedrijfsgeheimen, et cetera. Maar hackers zijn juist zo goed omdat zij hun kennis vanzelfsprekend delen. Het is de hoogste tijd dat de overheid die kennis benut, en zich laat helpen door hackers.

De afluisteraars vermomden zich via certificaten als the real thing. Zulke certificaten worden door erkende autoriteiten opgesteld en dienen als bewijs van echtheid. Maar het Nederlandse DigiNotar deelde sinds begin juli honderden valse certificaten uit, aangemaakt door –vermoedelijk Iraanse – hackers. DigiNotar bemerkte de hack pas weken later, trok een serie valse certificaten in, maar waarschuwde niemand. Meer valse certificaten werden gevonden en weer ingetrokken.

Terwijl DigiNotar de zaak stilhield, gingen de hacks gewoon door. Op 4 augustus lukte het om een vals certificaat op grote schaal in Iran te verspreiden. In de weken erna vroegen 300.000 Iraanse computers bij DigiNotar na of dat wel een écht Google-certificaat was. ‘Ja hoor,’ antwoorden de computers van DigiNotar 300.000 keer. Waardoor die computers stuk voor stuk werden gecompromitteerd en wekenlang konden worden afgeluisterd.

DigiNotar viel door de mand, is nu extern doorgelicht en blijkt een onthutsende klungelaar. Simpele wachtwoorden, geen virusscanner, geen goede logs, geen updates, amper controles: een grabbelton van beginnersfouten.

Meest pijnlijk is dat DigiNotar niemand op de hoogte stelde van de hack en zelf bleef doorklungelen, met mogelijk zeer ernstige gevolgen voor de mensen achter die 300.000 Iraanse computers. Mensen die juist extra hun best deden om zichzelf te beschermen, door alleen versleutelde sites te gebruiken. Het is misdadige nalatigheid.

Ook Nederland is beschadigd. DigiNotar verzorgde veel certificaten voor de overheid: websites van ministeries, de Belastingdienst, 3500 gemeentelokketten. Duizenden certificaten moeten worden vervangen, wat vooral bij de gemeentes veel gedoe oplevert. En computers met oude certificaten zijn niet meer te vertrouwen.

De Belastingdienst trok gisteren de enige logische conclusie: we kunnen nu ook het DigiD – de elektronische identificatie van burgers – ‘even niet meer vertrouwen’. De gegevens van burgers die de afgelopen weken hun DigiD-hebben gebruikt, zijn mogelijk afgetapt; een vrijbrief voor identiteitsfraude. (Tip: verander over een paar dagen allemaal het wachtwoord voor je DigiD!)

Laten ons hier alsjeblieft van leren. Het is hoog tijd om serieus na te denken over databeveiliging, over verplichte melding van hacks en van datalekken; over veilige en beschermde communicatie.

Facebook propageert een vergelijkbaar beleid. Oprichter Mark Zuckerberg vindt dat meerdere online identiteiten hebben ‘een teken van tekortschietende integriteit is’. Hun marketing directeur zei vorige maand zelfs dat ‘anonimiteit op internet zou moeten verdwijnen’. Ook in de politiek klinken zulke geluiden.

Het argument? Anonimiteit zorgt voor ruwere omgangsvormen. Wanneer we mensen dwingen onder hun eigen naam te posten, zullen ze zich beter gedragen. Ze zijn dan immers herkenbaar, traceerbaar en aanspreekbaar.

Wie dat gelooft, overschat ‘echtheid’. Ook onder hun eigen naam – zelfs rechtstreeks in elkaars gezicht – zeggen mensen geregeld de vreselijkste dingen. (Kijk maar naar politici.) Een verplichting om online je echte naam te gebruiken, maakt een mens niet vanzelf beleefder, de onderlinge omgang niet zomaar beschaafder.

Bovendien: wat heb je eraan als iemand zich online presenteert als Piet Jansen? Al is die naam waarheidsgetrouw, onderscheidend is-ie niet. Mag je ook geen andere naam kiezen wanneer er op Google+ al een Piet Jansen rondloopt? Ook niet wanneer die Piet Jansen opvattingen ventileert waarmee jij pertinent niet geassocieerd wilt worden?

Terwijl er weinig tegen pseudoniemen pleit, pleit veel ervoor. Een nom de plume – een vaste, herkenbare schuilnaam – is vaak de enige uitweg voor wie onder een fout regime leeft, of voor wie klokkenluider wil zijn. Voor wie wil praten over verslaving, homoseksualiteit, ziekte, misbruik, of geloofsafvalligheid. Het is nuttig voor al wie werk en privé gescheiden wil houden, en voor wie niet wil dat Google alles wat hij of zij online doet of zegt, indexeert en aan elkaar knoopt. Pseudoniemen bieden bescherming en vrijheid.

Onverhoopt maakt juist het beleid om alleen ‘echte namen’ toe te staan, namen tot een politiek wapen. Gebruikers kunnen elkaar rapporteren bij Google+ wanneer zij menen dat iemand onder valse vlag opereert; zo’n account wordt dan tot nader order geschorst. Het gevolg? Creationisten en andere religieuze fundamentalisten rapporteren en masse aanhangers van de evolutietheorie: ‘Zij heet helemaal niet Liz Stephens, ze heet Elisabeth, en Stephens is haar meisjesnaam!’ Hup, account geschorst, tegenstander gewipt. Next!

Dat zowel Google als Facebook in persoonsgegevens en profielen handelen en daarom profijt hebben bij de afschaffing van pseudoniemen, zeggen ze er niet bij. Oh nee: ’t is heus alleen voor ons bestwil.

Daarbij maakt het niet uit of die gegevens zijn vrijgekomen door een hack of door slordig beheer. Zulke gegevens horen immers terdege beschermd te worden, en mocht die bescherming hebben gefaald, dan hebben de getroffen klanten op z’n minst het recht dat zo snel mogelijk te weten. Het zijn per slot van rekening hún gegevens die onbedoeld rondslingeren.

De huidige richtlijn – niet veel meer dan een notificatieplicht – helpt weinig: hij is te beperkt, te soepel en te laks. Alleen telecombedrijven vallen onder de richtlijn, ze hebben liefst een week om hun klanten te waarschuwen, en er zijn amper repercussies. Wie zich er enigszins in verdiept weet dat datalekken tegenwoordig aan de orde van de dag zijn, en dat ze behoorlijk ingrijpend kunnen zijn. Honderdduizenden patiëntendossiers hier. Tienduizenden creditcards daar. Een half miljoen accounts elders. Persoonsgegevens verliezen (of hacken) is een internationale sport geworden.

Vandaar dat Neelie Smit-Kroes – Steelie Neelie noemen de Engelsen haar – de bewuste Europese richtlijn wil herzien, waarvoor dank! Haar collega Viviane Reding haakte meteen fors in: ook online betaalsystemen, videogames, webwinkels en sociale media horen onder de richtlijn te vallen.

Terecht, want zulke gegevens zijn kostbaarder dan telecomgegevens. Chic is het niet, maar uiteindelijk kan het mij niet bar veel schelen wanneer KPN een bestand laat slingeren met mijn telefoonnummer erin. Maar als de ING of een one click to pay webwinkel mijn inloggegevens kwijtraakt, hoor ik dat echter juist graag. En wel per ommegaande!

Wat mist in de voorstellen is een boetebepaling. Bedrijven en instanties die slordig zijn met andermans gegevens, krijgen alleen een notificatieplicht opgelegd: ze moeten ons melden dat ze hebben gefaald. Nu kosten ook zulke meldingen geld – er is wel uitgerekend dat klanten informeren over een datalek al snel oploopt tot vijf euro per klant – maar dat helpt weinig.

Ik ben voor stevige boetes. Voor elk ontdekt datalek wordt een ferme boete in rekening gebracht, gebaseerd op hoe privé of misbruikbaar de gelekte gegevens zijn, vermenigvuldigd met het potentieel aantal getroffenen.

Alleen dan zullen bedrijven en instanties zich realiseren hoeveel onze gegevens werkelijk waard zijn. En hopelijk stelt die prijs grenzen aan hun tomeloze verzameldrift.