De acht opmerkelijke privacy-kwesties van 2014
Het recht om vergeten te worden, de iCloud hack, de nieuwe digitale machine van het ministerie van Sociale Zaken en nog vijf opmerkelijke privacy-kwesties van dit jaar.
1. De NSA kan niet alles kraken
We beginnen met het goede nieuws: de NSA kan niet alles. Natuurlijk, niets is zeker in de wereld van de cybersecurity, maar de berichten van afgelopen weekend in Der Spiegel zijn toch geruststellend: de Amerikaanse digitale spionnen hebben grote moeite met het afluisteren van het Tor-netwerk en met versleutelde e-mailtjes en telefoontjes.
Tor, The Onion Router, verpakt je computer in zoveel schillen dat je IP-adres niet meer te achterhalen is en je dus anoniem kunt rondzwerven op het internet. En als je je e-mail versleutelt volgens de algoritmen van Pretty Good Privacy (PGP), dan veranderen je mailtjes in een letterchaos waar alleen de ontvanger nog chocola van kan maken.
De bedenker van deze asymmetrische encryptietruc, Phil Zimmerman, is ook de Z achter ZRTP, waarmee je telefoongesprekken kunt versleutelen. Dit dus tot frustratie van de NSA, blijkt uit het zaterdag geopenbaarde pakket documenten afkomstig van Edward Snowden.
Maar, zoals gezegd, niets is zeker in de wereld van internetzekerheid. De documenten stammen uit 2012, en we zijn nu twee jaar verder. Tor is niet helemaal waterdicht gebleken - er zijn kinderpornoliefhebbers en cybercriminelen gepakt die zich er schuil hielden. Daarnaast kan de NSA met gerichte malware altijd proberen in de computer of telefoon zelf mee te kijken. Maar het kost hoe dan ook veel meer moeite.
2. iCloud hack
Er is nogal wat gehackt, het afgelopen jaar. Het Amerikaanse bedrijfje Hold Security komt in augustus met een spectaculair bericht dat Russische criminelen meer dan een miljard loginaccounts bij elkaar hebben geraust, waarna onder meer KPN en UPC mailtjes aan getroffen klanten sturen: verander uw wachtwoord.
Dat betekent: verander uw wachtwoord op elke website waarop u ooit met uw e-mailadres bent ingelogd - want KPN en UPC hebben alleen maar te horen gekregen dat het betreffende e-mailadres voorkomt in de grote database van Hold, en verder niets.
Onduidelijk blijft wat de Russen nou precies hebben, en wat ze ermee hebben gedaan. Wel duidelijk is wat een andere hacker doet met de naaktfoto's van filmsterren die hij tegenkomt in de iCloud van Apple: die zet hij online. Hij heeft ze gevonden door simpelweg wachtwoorden te raden bij de e-mailadressen waarmee iPhone-bezitters toegang krijgen tot hun Apple-account.
Het blijkt mogelijk eindeloos wachtwoorden te gokken via de Zoek-mijn-iPhone-dienst, en zo ook bij alle bestanden te komen (die in de cloud worden gebackupt). Wie een simpel wachtwoord heeft is de klos. Moraal van alle verhaal: maak het ze toch wat moeilijker.
3. De big data van de banken
Zo enthousiast als ING het brengt, zo groot is de nachtmerrie waar het bedrijf vervolgens in belandt. Nee, de eerste weken van maart zijn geen pretje voor de bank. Het bedrijf kondigt een proef aan waarbij het andere organisaties inzicht wil geven in het betalingsgedrag van haar klanten. Want ING - en andere banken - weten een hoop. Wie we zijn, wat we kopen en bovendien ook waar we dat doen. En al die inzichten zijn weer een hoop geld waard.
Op basis van deze 'big data' kunnen bijvoorbeeld een energiemaatschappij, zorgverzekeraar of zelfs het tuincentrum reclames doelgerichter maken en meer verkopen. Kassa dus. Op wat discussie heeft het bedrijf wel gerekend, maar dat het onderwerp zo gevoelig zou liggen blijkt toch een verrassing.
Het bedrijf wordt online neergesabeld door woedende twitteraars. De Consumentenbond, het College Bescherming Persoonsgegevens en politici reageren eveneens kritisch. Een groot deel van de ING-klanten zou volgens Tros Radar overwegen over te stappen naar een andere bank.
Interviews met landelijke media waarin het bedrijf aangeeft dat het om een opt-in zou gaan - de klant moet zelf actief aangeven interesse te hebben persoonlijke aanbiedingen - kunnen de gemoederen ook niet bedaren.
In een open brief aan ruim 4 miljoen klanten bindt ING uiteindelijk in. Het belooft eerst in gesprek te gaan met klanten, toezichthouders en privacy-organisaties over de verdere invulling van de proef. De ING mag dan de eerste Nederlandse bank heten die zulke verregaande plannen presenteert, ook andere financiële instellingen kijken met interesse naar al die data.
Dat mag ook, vinden de banken. In de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen is namelijk opgenomen dat op basis van iemands bij- en afschrijvingen een financieel product - bijvoorbeeld een spaarrekening - met reclame mag worden aangeboden.
Dat dit onderwerp toch gevoelig ligt, blijkt slechts een aantal maanden later. ABN Amro verstuurt een uitnodiging aan een kersverse vader om bij een bankfiliaal in de Prenatal langs te komen om een speciale kinderrekening te openen. Hoe de bank wist van de pasgeborene? Simpel: dat ziet het aan de kinderbijslag die wordt gestort. ABN laat snel weten dat betaalgegevens niet met de babyspeciaalzaak zijn gedeeld. Bovendien zouden klanten de actie hebben gewaardeerd.
4. Alle studenten en onderzoekers aan de Gmail
De googleficering van de Nederlandse universiteiten en hogescholen gaat een nieuwe fase in. De Rijksuniversiteit Groningen dwingt zijn wetenschappers dit jaar tot het gebruik van Gmail, de gratis e-maildienst van Google. Dit ondanks bezwaren van onderzoekers die bang zijn dat hun berichten bij de Amerikaanse dataverzamelaar niet in veilige handen zijn.
Veel studenten in Nederland zitten ook al aan een academische Google-account vast - achter een adres @student.uva.nl schuilt gewoon @gmail.com. De gratis e-mail is onderdeel van een overgang op Google Apps for Education, een softwaredienst waarmee makkelijk agenda's kunnen worden beheerd en documenten kunnen worden gedeeld.
Google zegt dat de uit de universitaire mails wel (automatisch) worden gelezen, maar dat de informatie op geen enkele manier zal worden gebruikt voor gerichte advertenties en profilering. De mails worden alleen gescand voor spellingcontrole en ter bescherming tegen spam. Wat is dan het verdienmodel van Google? Er is geen verdienmodel, zegt Google. Het is een geste. Een gratis product. Dan weten we wie het echte product is.
5. De bewaarplicht blijft behouden
Het zijn household names in privacydiscussies: de bewaarplicht en Ivo Opstelten. Volg die twee en je weet waar het heen gaat, met de privacy. Na jaren van discussie zet het Hof van Justitie van de Europese Unie in april een streep door de wettelijk opgelegde verplichting aan telecomproviders om de bel- en mailgegevens van hun klanten op te slaan.
De richtlijn is een 'bijzonder ernstige inmenging in de fundamentele rechten op eerbiediging van het privéleven', aldus het Hof in april. En dat nadeel weegt niet op tegen het voordeel - het bestrijden van criminaliteit. Dus dient de richtlijn, de basis voor de wet in alle lidstaten, 'met terugwerkende kracht' te worden vernietigd.
Maar dan moet je net Ivo Opstelten hebben, in Nederland verantwoordelijk voor dit dossier. Na maanden te hebben nagedacht, komt hij in november tot het oordeel dat de bewaarplicht best kan blijven bestaan. Als je maar met wat extra voorzorgsmaatregelen neemt. Daarmee krijgt de maatregel, die al in 2002 door het College Bescherming Persoonsgegevens 'onevenredig en ontoelaatbaar' werd genoemd, een zoveelste nieuwe kans.
Privacy-organisaties, advocaten, de journalistenclub NVJ en internetprovider Bit spannen een kort geding aan, dat in 2015 zal dienen. Nu zien of de rechter ook vindt dat de bewaarplicht onbeperkt houdbaar is.
6. Alles wordt gekoppeld
Het ministerie van Sociale Zaken bouwt een nieuwe digitale machine om fraude tegen te gaan: het Systeem Risico Indicatie. Zo'n beetje alles wat de overheid van zijn burgers weet kan erin worden gegooid, om te zoeken naar verbanden die een alarm laten afgaan.
We zetten de gegevens die in aanmerking komen voor verwerking nog maar een keer op een rijtje, omdat het zo'n mooi rijtje is: arbeidsgegevens, boetes en sancties, fiscale gegevens, gegevens roerende en onroerende goederen, handelsgegevens, huisvestingsgegevens, identificerende gegevens, inburgeringsgegevens, nalevingsgegevens, onderwijsgegevens, pensioengegevens, reïntegratiegegevens, schuldenlastgegevens, uitkerings-, toeslagen- en subsidiegegevens, vergunningen en ontheffingen, zorgverzekeringsgegevens.
Natuurlijk worden ook hierbij voorzorgsmaatregelen getroffen. Niet iedereen mag zomaar met de machine aan de slag; de minister moet er per project toestemming voor geven. De data worden versleuteld en geanonimiseerd. Er zij pas een stuk of twintig van dit soort projecten gedaan. En fraudebestrijding is een legitiem doel. Maar helaas weet niemand wat deze praktijken opleveren. Hoeveel onschuldigen er aanvankelijk in de netten blijven hangen, en hoeveel vissen er uiteindelijk worden gevangen: geen idee.
Hetzelfde geldt voor de kentekenregistraties die de Belastingdienst van de politie krijgt, om te zoeken naar privégebruik van lease-auto's. Hoeveel mensen verdacht zijn en hoeveel mensen uiteindelijk gevangen worden: er zijn geen cijfers van. De methode helpt, dat weet de Belastingdienst zeker. Dan is alles gerechtvaardigd.
7. Overnames in Silicon Valley
Na de overname van Whatsapp door Facebook in april laat Mark Zuckerberg geruststellende susgeluiden horen. De twee onderdelen blijven strikt van elkaar gescheiden. Gegevens worden niet gedeeld. Een half jaar later is de deal definitief rond, en kondigt Facebook blijmoedig nieuwe privacyvoorwaarden aan. Whatsapp wordt daarin keurig geïntegreerd.
Google doet iets vergelijkbaars, na de overname van thermostaatproducent Nest in januari. Kan Google straks zien wanneer ik thuis ben, vragen mensen zich af. Nee, de twee onderdelen blijven strikt gescheiden, sust Google geruststellend. Gegevens worden niet gedeeld. In juni is het zover: gegevens van Nest kunnen worden gedeeld met Google.
Goed, gebruikers wordt keurig om toestemming gevraagd, en, zegt Nest-oprichter Matt Rogers, en ook andere bedrijven krijgen toestemming tot de data van Nest (zodat bijvoorbeeld je fitnesspolsbandje van Jawbone aan Nest kan laten weten dat je thuis bent). Dat zegt hij ter verdediging. Een geruststellende gedachte. Het 'internet der dingen' begint voorzichtig vorm te krijgen.
8. Het recht om vergeten te worden
Typerend voor de privacy-kloof tussen Europa en de Verenigde Staten is het 'recht om vergeten te worden'. Als het Europese Hof van Justitie in mei duidelijk maakt dat mensen niet achtervolgd hoeven te blijven worden door irrelevante zaken uit hun verleden, en zoekmachines zoals Google daarom opdraagt zulke zoekresultaten te wissen, leidt dat tot grote ophef bij de Amerikanen. Schande! Censuur! En de vrijheid van meningsuiting dan?
Google, dat aanvankelijk meedoet in het koor van verontwaardiging, besluit daarna zich van zijn inschikkelijke kant te laten zien en organiseert een discussietoernee over dit thema langs een aantal Europese hoofdsteden. Want de interpretatie van de rechterlijke uitspraak is nog open. Grote vraag: wat zijn relevante zoekresultaten? Helaas zijn de discussies volledig georkestreerd, van debat is geen sprake. Tegelijkertijd voert Google op volle kracht een lobby om de nieuwsmedia aan zijn kant te krijgen - het recht om vergeten te worden zou neerkomen op geschiedvervalsing.
Dat de oorspronkelijke stukken in de kranten gewoon blijven bestaan, wordt voor het gemak vergeten: wat niet te Googlen is bestaat niet, in de Amerikaanse optiek. Intussen worden wel duizenden wisverzoeken gehonoreerd. Op google.nl is het verhaal van die mevrouw die ooit langere tijd ziek was en daardoor moeite had een baan te vinden niet meer te vinden.
Maar op google.com gewoon nog wel. Rechterlijke uitspraken zijn er om te omzeilen.
