Technologie – Page 5 – Karin Spaink

Gegijzeld door je thermostaat

We sluiten steeds meer dingen aan op internet. Van de routeplanner in de auto tot de slimme thermostaat in huis die gedetailleerd bijhoudt – en, wat niet iedereen weet, dus ook precies aan het energiebedrijf doorgeeft – welk apparaat hoeveel stroom verbruikt, en wanneer dan wel.

Dat we de thermostaat op afstand kunnen bedienen, betekent dat het ding een internetverbinding heeft. Alleen daardoor kunnen we commanderen: ‘CV: ga nu aan, want binnen het uur kom ik thuis.’ De slimme koelkast die je boodschappenlijstje voor je bijhoudt en desgevraagd zelfstandig bij de supermarkt de frisdrank, de melk en de rosbief voor je bestelt? Ook die doet dat via zijn eigen internetconnectie.

Zulke verbindingen worden alleen maar frequenter. Tezamen heten ze: het internet of things. De foto’s uit je camera worden zomaar, zelfs zonder dat je ergens een kabeltje in prikt, naar je computer overgezet? Dat is dankzij the internet of things: je camera praat achter je rug om met je tablet of je laptop, en regelt alles voor je, zonder dat jijzelf nog enige moeite hoeft te doen.

Reuze handig.

Totdat je je realiseert dat vrijwel al die connecties volkomen onbeschermd zijn. Een paar maanden geleden bewezen Duitse hackers dat ze andermans slimme thermostaten eenvoudig op afstand konden overnemen. Ze konden die zelfs gijzelen, naar het voorbeeld van ransomware: ‘Tenzij je me nu xxx euro betaalt, laat ik alle bestanden op je computer verdwijnen / beheers ik nu het klimaat in je huis. Zal ik de temperatuur in je huis vastzetten op 15 graden? Of vind je 40 graden fijner? Zeg het maar – ik heb nu de rechten over de temperatuur in je huis, en jij niet meer.’

Internetjournalist Brian Krebs onderzoekt criminelen die mensen via internet geld afhandig trachten te maken. De afgelopen weken werd zijn website geteisterd door een heftige DDoS-attack, waarbij de aanvallers zoveel verkeer genereren dat de site eronder bezwijkt. De aanvallen bleken afkomstig te zijn van camera’s en videorecorders.

Niet dat de eigenaars van die apparaten zich tegen Brian Krebs hadden gekeerd. Nee: hun apparaten waren stiekem door criminelen gekaapt en werden door hen ingezet als een zombieleger. Ondertussen hadden de eigenaars van die camera’s, koelkasten, thermostaten en koelkasten geen idee dat zijzelf grandioos werden misbruikt om iemand die wilde vertellen over de risico’s waaraan zijzelf als gebruikers blootstonden, de mond te snoeren.

We moeten serieus gaan eisen dat elk bedrijf dat ons als consument ‘slim’ verbindt met internet, de boel zelf terdege op orde heeft. Leuk dat je koelkast kan praten met Albert Heijn of de Jumbo, maar hoe veilig is die verbinding?

Want zodra onze camera’s en koelkasten achter onze rug om kunnen worden misbruikt om critici over het internet of things de mond te snoeren, of onze eigen apparaten te gijzelen, is er iets fundamenteel mis.

Rupsje Nooitgenoeg

Kijk hem staan. Ietwat slobberig in het pak – de armen te iel voor de mouwen –, zijn helderblauwe ogen priemend, de mondhoeken misprijzend naar beneden, de vuisten gebald. Rob Bertholee, hoofd van de AIVD. Zijn grootste vijand: terreurorganisaties. Zijn op een na grootste vijand: ons aller privacy. Om de eerste vijand te verslaan, moeten wij burgers het tweede opgeven, vindt hij.

‘Ik vind privacy ook uiterst belangrijk,’ begint hij. Ja, wat moet hij anders: zeggen dat je privacy onzin vindt is voor een hoge ambtenaar onaanvaardbaar, het is immers een grondrecht? Maar verder moet hij er eigenlijk niets van hebben.

Bertholee deelt het volk fijntjes mee, toevallig precies in de week waarin het boek van Maurits Martijn en Dimitri Tokmetzis over alle privacy-vermalende beleidsmaatregelen die overheid en bedrijfsleven het afgelopen decennium hebben genomen, insloeg als een bom, dat privacy-voorvechters hartstikke gevaarlijk zijn. ‘Zouden mensen die privacy als hoogste doel hebben dat net zo enthousiast nastreven als zij slachtoffers zijn van een aanslag? Als zij weten dat zij hebben toegestaan dat zoiets gebeurt?’

Hoe vals van Bertholee: alsof er aanslagen plaatsvinden omdat er teveel privacy is. Alle terroristische aanslagen zijn uitgevoerd door mensen die al bekend waren bij de AIVD of hun internationale collega’s. Die verdachten verloren de veiligheidsdiensten echter uit het oog door een overmaat aan bureaucratie, door gebrekkige onderlinge samenwerking en door de door henzelf gecreëerde overmaat aan signalen – immers: hoe meer triggers, hoe meer loze meldingen, en hoe meer nutteloos werk. De AIVD kan simpelweg niet uit de voeten met de grote hoeveelheid door henzelf geplante vlaggetjes.

Bertholee wijdt er geen woord aan, ook al is dat probleem inmiddels in zowat alle westerse landen breed uitgemeten. Hij pleit voor meer bevoegdheden en minder privacy, en zet nu zelfs de mensen die het luttele beetje privé verdedigen dat ons rest in de schandhoek: voor hem zijn al wie dat grondrecht te berde brengen, weinig meer dan handlangers en medeschuldigen aan terreur.

Sinds 9/11 zijn onze grondrechten drastisch ingeperkt, jaar op jaar. Maar de AIVD is Rupsje Nooitgenoeg: er kan altijd gerust nóg een beetje van onze privacy worden afgebikt, vinden ze.

Bertholee vecht nu het recht op encryptie van berichten aan. De ellende van het opgeven van dat recht betekent dat iedereen daardoor akelig kwetsbaar wordt voor hackers, en voor bank- of identiteitsfraude. Wat heb je er in hemelsnaam aan om een eventuele terrorist te kunnen onderscheppen wanneer dat betekent dat het reilen en zeilen van de hele bevolking op werkelijk alle dagelijkse fronten aanzienlijk kwetsbaarder wordt?

Meneer Bertholee: voer al uw persoonlijke transacties een maandje uit op een onbeschermd netwerk, zonder enige encryptie. Daarna praten we verder over wat veiligheid behelst.

Schijnveilig

Er is een hoogst curieuze veiling gaande: een groep hackers, de ShadowBrokers, slijt publiekelijk een roedel zogeheten zero-day exploits aan de hoogstbiedende. Zero-day exploits zijn beveiligingsgaten die nog niet zijn gepubliceerd en waar de betrokken software- of hardware-fabrikant geen weet van heeft, zodat ze geen verweer tegen de bewuste kwetsbaarheid hebben kunnen ontwerpen.

Het effect? Iedereen die zulke hardware of software gebruikt, kan worden gehackt door deskundigen – of door groepjes die zulke exploits verzamelen en heimelijk aan elkaar doorgeven – met mogelijk grote gevolgen. De fabrikant heeft niet door dat zijn product lek is, de klant weet niet dat zijn gegevens geoogst kunnen worden door kwaadwillenden. Beiden denken hun zaakjes op orde te hebben, maar verkeren in schijnveiligheid.

We weten al langer dat de NSA, de Amerikaanse afluisterdienst, dergelijke zero-day exploits verzamelt. De NSA zet zelfs deskundigen in om die als eerste op te sporen, teneinde ze later naar eigen goeddunken te gebruiken tegen mogelijk verdachte organisaties.

De NSA is terdege bekritiseerd om deze praktijk. Door gevonden exploits niet te publiceren, zoals serieuze veiligheidsexperts doen, maar ze te eigen bate geheim te houden, verzwakken ze uiteindelijk ieders veiligheid. Want welke zekerheid hebben we dat andere, minder nette clubjes, diezelfde exploits niet ook hebben gevonden? Vergroot het onze veiligheid wanneer de NSA denkt dat zij als enige dergelijke exploits heeft gevonden en die secuur kan beheren? Is het niet beter om zulke exploits bekend te maken, opdat ieders algemene veiligheid wordt verbeterd?

De NSA denkt: als wij zulke lekken niet bekend maken, kunnen alleen wij ze heimelijk inzetten.

Deze veiling maakt korte metten met dat idee. De ShadowBrokers hebben ergens in 2013 digitaal ingebroken bij de NSA en zijn er vandoor gegaan met het hele toenmalige pakket aan zero-day exploits. En die verkopen ze nu aan de hoogste bieder. Aan de hand van het lokkertje dat de ShadowBrokers vorige week publiceerden om bieders over de streep te halen, hebben diverse beveiligingsexperts inmiddels bevestigd dat de verkopers een set authentieke zero-day exploits in handen hebben, en dat die inderdaad van de NSA afkomstig moet zijn.

Je wil er niet aan denken dat ISIS, of een andere terreurorganisatie, straks de hoogste bieder blijkt te zijn, en dan dat akelige pakket aan exploits in handen krijgt.

Wat te doen?

De slimste optie: de NSA gedraagt zich per direct als een verantwoordelijk beveiliger, meldt alle ooit gevonden beveiligingslekken alsnog bij de betreffende fabrikanten, wacht tot die een patch hebben uitgebracht, en publiceert dan het lek. Dat ondermijnt de veiling van ShadowBrokers finaal en maakt iedereen op slag veiliger.

Maar de kans dat de NSA voor die optie kiest, is klein. Om ons te beveiligen, hebben ze liever dat wij kwetsbaar blijven.

Nog meer controle is een heilloze weg

Na al die aanslagen lijkt het duidelijk: voor de veiligheid dienen we meer vrijheid in te leveren. Meer controle op ieders gedrag, uitlatingen en ideeën; meer dataverzamelingen en die onderling beter koppelen; meer bewaking, meer mensen eruit pikken. Streng optreden jegens iedereen die van het gemiddelde afwijkt.

Alleen doen we dat al vijftien jaar lang, en het helpt geen sikkepit. Het verzamelen en kruisen van data leidt er hooguit toe dat de macht van de overheid toeneemt, dat individuele burgers kwetsbaarder worden, en de kans op pijnlijke fouten toeneemt. (Digitale systemen zijn weinig vergevingsgezind, ook als de vergissing hun makelij is.)

Ik vermoed dat meer surveillance er juist voor zorgt dat burgers passiever worden. Je meldt iets dat je zorgen baart niet bij de politie, omdat ‘het systeem’ dat toch zelf wel zal signaleren? Veiligheid wordt iets dat de overheid voor ons regelt, iets wat we passief ondergaan; en niet langer iets dat we met ons allen beheren en vormgeven.

Uit tal van rapporten blijkt dat al die controle niets uithaalt tegen aanslagen: geen enkele is erdoor voorkomen. Erger: bijna iedereen die de laatste jaren betrokken geweest is bij een grote aanslag, stond al op de radar van de politie. Massasurveillance levert simpelweg te weinig op.

We creëren intussen een klimaat waarin mensen anderen gaan verdenken zuiver vanwege hun kleur, hun religie of hun kledij. Waarin alle moslims moeten boeten voor de extremistische groeperingen die hun religie perverteren – en die overigens onder moslims meer slachtoffers hebben gemaakt dan onder aanhangers van welke andere overtuiging ook. Waarin zelfs mensen die op de vlucht zijn geslagen voor datzelfde extremisme door steeds meer Europeanen worden gewantrouwd.

Laten we het in hemelsnaam eens anders proberen. Burgerrechten versterken, in plaats van die verdacht te maken. Zorgen dat de politie in de wijk staat, voor iedereen toegankelijk en aanspreekbaar is. De aandacht verleggen naar rechercheren, naar netwerken opbouwen, naar ontvankelijk zijn voor signalen.

Wat we verdacht moeten maken, is elke vorm van radicalisering en het vergoelijken ervan. Of het nu gaat om ‘vaderlandslievende’ mannen die menen een eigen knokploeg te moeten starten om ‘onze’ vrouwen te beschermen, of om Erdoganfans die hetzes starten tegen Nederlandse Turken en hun bedrijven omdat ze Gülen-aanhangers zouden zijn; om mannen die Ebru Umar bespugen, of mensen die alle moslims het land uit willen hebben. Voor zulk extremisme zou hier geen plaats moeten zijn.

Laat ons geld pompen in onderwijs en de burgerzin versterken. We moeten banden smeden en versterken, niet ons terug trekken op onze eilandjes en ons eigen vermeende gelijk.

Nu terrorisme een franchise-onderneming is geworden in plaats van een plan dat van bovenaf wordt aangestuurd, kan veiligheid alleen bestaan als we daar zelf deel van uitmaken.

Flitscontracten

Onder het motto dat computers zakelijker en sneller werken dan mensen, is een bitcoinbank opgericht die financiële contracten automatisch uitvoert. Bitcoin is virtueel geld dat zonder toezicht, tussenkomst of ingrijpen van bovenaf door gebruikers onderling wordt uitgewisseld. Transacties worden door álle gebruikers gezamenlijk, en dus volkomen decentraal, versleuteld bijgehouden.

Ethereum begon een eigen variant van bitcoin. Hun extraatje: Ethereum kan anonieme contracten volautomatisch uitvoeren zodra aan bepaalde condities is voldaan. Bijvoorbeeld: zoveel dagen nadat een veiling is gestart, wordt het eigendomsrecht van het geveilde goed automatisch overgedragen aan de hoogste bieder en vallen diens geboden ‘ethers’ de verkoper toe. Of: elke keer dat de computerdatum gelijk is aan de geboortedag van je kind, krijgt de jarige X ethers overgemaakt.

Ook banken leek het een aantrekkelijk concept: anoniem en geautomatiseerd transacties uitzetten en uitvoeren klonk ze als flitshandel 3.0 in de oren. (Misschien dachten ze zelfs: jottem, weer een fijne offshore-optie erbij.) Elf banken, waaronder de ING, stapten in Ethereum.

Een nadeel van de constructie: de contracten worden afgesloten binnen mini-organisatietjes die als het ware bovenop Ethereum worden gebouwd. Een van de grootste Ethereum-organisatie is de DAO: een investeerdersclub die ruim 150 miljoen dollar aan ‘ethers’ inbracht en beheerde, en die samen bepaalde wat ze met dat geld zouden doen. De DAO wilde optreden als een soort van crowd-funded durfkapitaalfonds.

Dat Ethereum met semi-onafhankelijke organisaties werkt, ondergraaft het decentrale karakter ervan. Beslissingen moeten ineens in consensus worden genomen, de code achter de regels en contracten kan lokale loopholes hebben, enzovoorts.

Dat is precies wat er eind vorige week gebeurde. Een slecht geschreven contract stelde iemand in staat om 3,4 miljoen ethers – wat op dat moment gelijk stond aan bijna 80 miljoen dollar, de helft van het volledige kapitaal van de DOA – naar zijn eigen DAO-dochteronderneming over te schrijven. Hopla, weg was het geld. Het resultaat? De waarde van de ether kelderde met een derde, ook voor deelnemers die niet bij de DOA zaten.

‘Diefstal’ en ‘hack’ riep de bedenker van Ethereum, en hij zint thans op listen om een alle recente transacties teniet te doen om de malafide overdracht ongedaan te maken. Maar dat kost hem het vertrouwen in Ethereum zelf: wanneer transacties die volgens de gestelde regels zijn verlopen achteraf alsnog kunnen worden geannuleerd, is het systeem zelf niet betrouwbaar.

Gisteren maakte de vermoedelijke dader bekend dat zijn transactie geheel aan de regels voldoet, en zodoende binnen het systeem van Ethereum volkomen legaal is. Niks diefstal, niks hack.

Hij had gewoon fijn gebruik gemaakt van de lokale mazen.

Het recht niet te weten

DeepMind, het Googlebedrijf dat laatst de beste Go-speler van de wereld verrassend versloeg, heeft een nieuw project. Via het Britse NHS kreeg het toegang tot 1,6 miljoen patiëntgegevens van drie Londense ziekenhuizen, inclusief de dossiers tot vijf jaar terug. DeepMind krijgt alle (geanonimiseerde) gegevens: van abortussen tot hiv-controles, van psychiatrische aandoeningen tot besmettelijke ziektes, van controles wegens chronische ziektes tot ziekenhuisopnames.

Het onderzoek van DeepMind richt zich op het monitoren van patiënten met een nierziekte: de inzet is het ziekenhuispersoneel te helpen om deze patiënten beter te monitoren. Maar Google wil meer. Met hun nieuwe bedrijf Calico richten ze zich op onderzoek naar ouderdomsziekten, hun zijtak Google X is de complete genoomkaart van 175 vrijwilligers aan het ontleden en koppelt die aan ziektegeschiedenissen in de familie plus de analyse van allerlei lichaamsvloeistoffen, en Google zelf maakte in januari bekend dat ze vergevorderd zijn met een in een contactlens ingebouwde chip die het glucoseniveau van mensen met suikerziekte permanent monitort, opdat de hinderlijke vingerprik achterwege kan blijven.

Google is niet het enige bedrijf dat high tech, big data en machine learning inzet in de gezondheidszorg. Maar zonder twijfel het is wél de grootste, en de rijkste onderneming die dat doet. Daarnaast weet het bedrijf sowieso al meer van ons dan welke instantie ook: onze internetzoekgeschiedenis, onze locatie, waar we naartoe willen, onze e-mails, contacten, agenda’s, foto’s, woonomgeving, interesses, aankopen – Google weet meer van ieders dagelijks leven dan de gemiddelde geheime dienst, en heeft inmiddels op veel fronten een ferm monopolie in handen.

Daarom is het wellicht een minder aangenaam idee dat datzelfde bedrijf nu ook de beschikking krijgt over onze ziektegeschiedenissen. Dat die geanonimiseerd zijn, zegt weinig: meermalen is aangetoond dat je, aan de hand van iemands zoekgeschiedenis, precies kunt bepalen om wie het gaat. Met een gedetailleerd en tot vijf jaar geleden teruggaand medisch dossier moet dat óók mogelijk zijn.

Hans Galjaard, professor in de humane genetica, ontwikkelde jaren geleden het ‘recht om niet te weten’. Wat is het nut, betoogde hij, om iemand die op grond van zijn genen mogelijk een akelige ziekte kan krijgen, nu al met die informatie op te zadelen? Want die informatie beïnvloedt vervolgens iemands verdere levensloop, en hoe anderen – instanties inclusief – op hem of haar reageren. Dat terwijl er geen zekerheid is óf die ziekte wel tot uiting komt…

Google scherpt Galjaards vraagstuk akelig aan. Want zij dataminen niet op verzoek van de patiënt: hun gegevens gaan rechtstreeks naar medici, beleidsmakers, en mogelijk zelfs van verzekeraars. Zie daar maar eens tussen te komen, wanneer Google eenmaal een potentiële diagnose over je heeft geveld.

Damesoffer

Vandaag wint de kunstmatige intelligentie. AlphaGo, een project van het Brits-Amerikaanse bedrijf DeepMind, speelt vandaag in Seoul zijn vijfde en laatste partij Go in een match tegen de beste speler ter wereld, Lee Sedol. De stand tot nu toe: drie-een. Zelfs als Sedol vandaag wint, gaat de match naar AlphaGo.

Kenners zijn overrompeld. ‘Ik had niet verwacht dat hij zo’n perfecte partij zou spelen,’ zei Lee na zijn eerste verlies. Andere Go-experts roemen AlphaGo’s intuïtie, zijn verrassende zetten en zijn capaciteit om te leren.

AlphaGo is gebouwd rond een nieuw type kunstmatige intelligentie. Oudere spelcomputers, zoals Deep Blue die in 1997 de befaamde match van schaakkampioen Gary Kasparov won, werkte met een rijk geheugen aan gespeelde partijen, een gigantische botte rekenkracht en een ingewikkelde boomstructuur. Op basis van die drie elementen kon Deep Blue uitrekenen wat de meest voordelige zet zou zijn. AlphaGo werkt met een neuraal netwerk, is zelflerend, en speelt voortdurend tegen oude versies van zichzelf teneinde zijn spel te verbeteren. Geheid dat AlphaGo de vierde partij, die hij van Sedol verloor, inmiddels grondig heeft geïncorporeerd in zijn systeem.

Dat het ding Go op zulk hoog niveau weet te spelen, is ongekend. De mogelijke zetten bij dat spel zijn absurd veel groter dan bij schaak; meer dan er atomen in het universum zijn, zoals liefhebbers van het spel graag zeggen. Met brute rekenkracht kom je er niet, evenmin als met een bibliotheek aan oude partijen in je chips. Intuïtie, inzicht en elegantie zijn belangrijker.

En dan tóch winnen van een mens – van de wereldkampioen maar liefst.

AlphaGo dankt zijn kunnen onder meer aan een belangrijk algoritme: de computer zet niet in op punten, maar op de partij als geheel. ‘Voor de keus gesteld tussen winnen met twintig punten en een slaagkans van tachtig procent, versus winnen met twee punten en negenennegentig procent kans, kiest AlphaGo voor het tweede scenario,’ meldt Wikipedia. Het programma is – in menselijke termen gesteld – bereid op korte termijn te lijden teneinde een hoger doel te bereiken. Anders geformuleerd: AlphaGo schuwt het damesoffer niet.

Demis Hassabis, de bedenker van AlphaGo, ziet grote kansen in het verschiet liggen voor zijn algoritmes waar het kunstmatige assistentie in complexe beslissingen betreft. Hij denkt aan medische kwesties (diagnoses stellen, bepalen welke behandelingen het meest belovend zijn, rekening houdend met alle opties én de conditie van de patiënt), en zelfs aan zoiets schier onhandelbaars als klimaatsverandering.

Voor het Terminatorscenario is Hassabis niet bevreesd, en ik geef hem gelijk. Een spelletje Go winnen, hoe knap dat ook is, is nog heel iets anders dan computers die de boel overnemen.

Misschien dat AlphaGo ons kan leren dat wijzelf, om de klimaatsverandering te stoppen, een damesoffer moeten brengen…?

Gewapende spullen

In een zaak vergelijkbaar met de San Bernardino rechtszaak, waar de FBI van Apple eist dat zij een gelockte iPhone van nieuwe software voorzien opdat de FBI op haar gemak kan proberen het mobieltje te hacken, heeft de overheid gisteren flink het lid op de neus gekregen. Het ging in deze zaak om de gelockte iPhone van een man die wegens drugshandel was opgepakt (hij heeft overigens bekend en is veroordeeld); ook daar weigerde Apple zijn medewerking.

Rechter James Orenstein veegde in New York de vloer aan met de argumenten van de staat. Apple heeft een wettelijk toegestaan product verkocht, en is zelf niet betrokken bij het misdrijf; Apple kan derhalve geen enkele vorm van medeplichtigheid worden aangewreven. Er is simpelweg geen wettelijke grond om medewerking van het bedrijf af te dwingen.

De rechter rekent het de staat voorts zwaar aan dat die de zaak liefst in het geheim wilden voeren, buiten het oog van pers en publiek om, en dat – anders dan ze steeds suggereren – deze zaak niet op zich staat. Er zijn al zeker 70 gevallen bekend waarin de DEA of de FBI van Apple eiste dat het bedrijf voor hen een iPhone van een verdachte zou unlocken.

Uit de stukken kon de rechter niets anders dan opmaken dat de staat aanstuurt op een algemene uitspraak die bedrijven oplegt dat zij altijd, zodra de FBI daarom vraagt, hun medewerking moeten verlenen om privéapparatuur van verdachten te ontsleutelen, of die anderszins voor de inlichtingendiensten toegankelijk te maken. Dat is een zodanig vergaande eis, vonniste de rechter, dat die pertinent niet ad hoc kan worden ingewilligd; daar is wetgeving door het Congres voor nodig. Zelfs dan is het nog de vraag of een daartoe ontworpen wet toetsing aan de grondwet zou doorstaan.

De Newyorkse zaak biedt prachtige aanknopingspunten voor de San Bernardinozaak. Wat de FBI daar eist, gaat verder dan wat de DEA in deze zaak wilde. Om het mobieltje van de San Bernardino terroristen te ontsleutelen, zou Apple een nieuw besturingssysteem moeten schrijven, naar de specificaties van de FBI, en die via de achterdeur op de bewuste telefoon moeten uploaden. Dat mechanisme – waarbij een fabrikant malicieuze code schrijft en van haar eigen sleutel voorziet opdat zo’n telefoontje de ‘update’ zonder vragen accepteert, is een buitengewoon riskant pad.

In een opiniestuk voor de Washington Post legde Christopher Soghoian van burgerrechtenorganisatie ACLU gisteren uit wat dat pad behelst: dat alle technologiebedrijven kunnen worden verplicht op instigatie van veiligheidsdiensten gecompromitteerde updates naar klanten en gebruikers te sturen. En dan is niets meer veilig: elk mobieltje, elke browser, elke zelfsturende auto en slimme tv kan zomaar een verlengstuk van de overheid worden.

Dan wordt technologie een wapen van de staat tegen haar burgers.

Hardleers

In 2006 liet ik de veiligheid van de elektronische patiëntendossiers van twee ziekenhuizen testen. Bij een ziekenhuis waren de hackers binnen een paar uur binnen, zonder ingewikkelde strapatsen. De hackers gebruikten een alom bekende kwetsbaarheid, konden daarna overal bij en verhuisden op mijn verzoek grote hoeveelheden gegevens heen en weer, om te kijken of het ziekenhuissysteem dan tenminste doorhad dat er ineens wel erg veel data werd rondgesleurd. Nee hoor, niks.

Ik kon lijstjes oproepen van alle patiënten met ziekte X, of geboren in een specifiek jaar, of in behandeling bij dokter Y, of wonend in postcodegebied Z. Alle patiëntendossiers kon ik vrijelijk inzien, kopiëren, wissen, ja zelfs veranderen. Het ziekenhuis merkte niets.

Toen ik de directie belde met het schokkende nieuws en een afspraak tussen hen en de hackers arrangeerde om de oorzaken van hun gapende gat te bespreken, stuurden ze de systeembeheerder. De directie noch de Raad van Bestuur lieten zich zien. Niet hun pakkie-an, vonden ze.

Gisteren werd bekend dat vier Nederlandse ziekenhuizen betrokken waren bij twee nieuwe medisch datalekken. Twee ziekenhuizen hadden via een tussenpersoon de papieren dossiers van hun patiënten aan Belgische gevangenen verstrekt; de gevangenen moesten de dossiers gereedmaken om te scannen, opdat de dossiers gedigitaliseerd konden worden. Papier ordenen, nietjes eruit, dat werk. De dossiers van je patiënten aan veroordeelde criminelen geven – wie bedenkt er in hemelsnaam zoiets? Medische dossiers mogen uitsluitend worden verwerkt door mensen die een strenge geheimhoudingsplicht hebben.

Dezelfde tussenpersoon, het Belgische iGuana, was ook verantwoordelijk voor het tweede lek: de gegevens van 200.000 patiënten waren een maand lang voor iedereen zichtbaar via een volledig onbeschermde internetlink. Daaronder bevonden zich bijna 6000 datasets van twee Nederlandse ziekenhuizen (de rest betrof Belgische patiënten).

In het lijstje van de betrokken ziekenhuizen sprong één naam in het oog. Warempel, daar had je het ziekenhuis weer dat tien jaar geleden al zo onvergeeflijk slordig omsprong met de digitale dossiers van hun 1,2 miljoen patiënten. Ze zijn verrekte hardleers, daar.

We willen graag alles digitaliseren, maar het moet liefst niets kosten. Dus zetten we om redenen van kostenbesparing slordige tussenpersonen en vage onbevoegden in. En het is onze privacy die daaronder lijdt, óns medisch geheim dat al doende op grote schaal wordt geschonden.

Ziekenhuizen zouden tegenwoordig een privacy-officer in dienst moeten hebben, iemand die verstand heeft van data-hygiëne en privacywetgeving; iemand die boven alle disciplines staat en die een veto kan uitspreken over brakke automatisering.

Tot die tijd zijn boetes de enige remedie, torenhoge hoge boetes. Pas dan gaan directies en zorgverzekeraars zich realiseren dat goedkoop vaak duurkoop is.

Een regen van lekken

[column van 29 december 015, met vertraging geplaatst]

Van 2007 tot 2010 heb ik een overzicht bijgehouden van Nederlandse datalekken: gevallen waarin allerlei persoonlijke gegevens van derden op straat belandden. Brakke websites die grote hoeveelheden persoonsgegevens prijsgaven, psychiatrische dossiers die bij het oud papier werden gedumpt, paspoortkopieën die bij een veilingkantoor onbeveiligd online stonden.

Dat waren de uitgelekte datalekken – niemand had enig idee hoe vaak zoiets nu werkelijk gebeurde, en hoe zo’n kwestie werd afgehandeld. Stelde zo’n bedrijf de gedupeerden op de hoogte dat hun gegevens waren gelekt? Troffen ze maatregelen om herhaling te voorkomen? Dachten ze überhaupt na over deugdelijke databescherming?

De digitale burgerrechtenorganisatie Bits of Freedom nam het stokje over, en hield tot 2013 een Zwartboek Datalekken bij. Belangrijker: ze werkten noest aan een Meldplicht Datalekken, een wet die bedrijven en instellingen verplicht om datalekken meteen na ontdekking bij het College Bescherming Persoonsgegevens te melden, aangevuld met de eis dat de gedupeerden zo snel mogelijk op de hoogte worden gesteld dat hun gegevens waren gelekt. In Europees verband werd een lobby opgezet voor zo’n wet.

Het ging niet zonder slag of stoot, maar sinds afgelopen zaterdag is die wet van kracht. Het is bepaald geen papieren tijger. Lekken moeten binnen 72 uur na ontdekking worden gemeld, de getroffenen moeten terdege van de lekkage op de hoogte worden gesteld, er dienen maatregelen worden genomen om herhaling te voorkomen. Wie een datalek niet meldt, kan op fikse boetes rekenen: de maximale boete is 820.000 euro, of 10% van de netto jaaromzet. Daarnaast kunnen overtredingen van de Wbp, de wet bescherming persoonsgegevens (onzorgvuldige bewerking, onrechtmatig gebruik, gegevens te lang bewaren, etc.) nu flink worden gestraft, met boetes tot maximaal 500.000 euro.

Het doel van de Meldplicht Datalekken is uiteraard niet om het CBP – per 1 januari omgedoopt tot de Autoriteit Persoonsgegevens, de AP – rijk te maken, hoewel dat met goed toezicht en wat digitale recherche vermoedelijk een peuleschil zal zijn. Het regent immers nog steeds lekken.

Het voornaamste doel van de hele exercitie is bedrijven, instellingen en overheidsinstanties te dwingen tot een beter databeheer. Onzorgvuldige opslag, achteloos weggooien, niet toegestane bewerkingen uitvoeren, ongerechtige koppelingen maken, slordige beschermingsprocedures hanteren: dergelijke nonchalance kan een bedrijf of instantie voortaan lelijk opbreken.

Het enige dat ik jammer vind, is dat de AP de ontvangen meldingen niet openbaar maakt. De boetes zullen ze te zijner tijd publiceren, meldingen blijven geheim. Als consument heb ik daar liever weet van: zo’n instantie heeft namelijk een goede les geleerd.

Tijd voor een Witboek waarin gedupeerde klanten en burgers hun ontvangen waarschuwingen over datalekken inventariseren?

[Noot: Jacob Kohnstamm, voorzitter van het CPB /AP, meldde een week na intreding van de wet Meldplicht Datalekken dat zijn organsiatie al 20 meldingen had ontvangen.]