Home

Zeg uw privacy maar gedag

Groningen, woensdag 30 september 2009

De overheid verzamelt zoveel mogelijk gegevens. Er is nauwelijks iemand die protesteert. Toch is uw privacy straks in handen van veel verschillende partijen.

- Klachten over biometrisch paspoort
- Vingerafdruk in paspoort
- 'Vingerafdruk voor het grijpen'
- Privacy zieke werknemer niet beschermd
- Je vinger voor het grijpen
- 'Aansprakelijkheid EPD onduidelijk'

De opsporingsambtenaar

De opsporingsambtenaar kan voor zijn onderzoek straks gebruikmaken van een enorme bak met gegevens van elke Nederlander. Een mengelmoes van vingerafdrukken, ons zoekgedrag op internet, gemaakte tram- en busritjes, medische gegevens (als het EPD, het Elektronisch Patiënten Dossier, er komt), en adres- en inkomensgegevens.

Grote kans dat de rechercheur straks makkelijker op het spoor komt van iemand die een misdaad heeft gepleegd. Dat argument wordt vaak gebruikt. Maar de kans om als Nederlander onschuldig opgepakt te worden, wordt hierdoor óók steeds groter, zegt Jan Friso Groote. Hij is hoogleraar informatica aan de Technische Universiteit Eindhoven en betrokken bij veel IT-projecten van de overheid.
 

Stel, er is een moord gepleegd en de rechercheur vindt een paar vingerafdrukken op de plaats delict. Hij vergelijkt zo’n vingerafdruk met afdrukken in de centrale database, die sinds de invoering van het nieuwe paspoort van deze week in de maak is. Als je een aantal slechte vingerafdrukken hebt gevonden, vind je tussen zestien miljoen Nederlanders zo een stuk of vier mensen wier vingerafdrukken ‘matchen’.

Want in tegenstelling tot wat vaak wordt gedacht, zijn vingerafdrukken niet volstrekt uniek. Er is nooit volledige zekerheid, zegt rechtspsycholoog Peter van Koppen. Enigszins kort door de bocht, maar toch: grote kans dus, dat je als argeloze burger onterecht in het beklaagdenbankje terechtkomt.

Inlichtingendienst AIVD en de officier van justitie hebben straks toegang tot de vingerafdrukkenverzameling, dat is al besloten. Nee, nu nog niet voor opsporingsdoeleinden. Maar een wetswijziging ligt op de loer als de terreurdreiging maar íets omhoog gaat.

‘De gegevens worden onvermijdelijk op een gegeven moment door de recherche gebruikt voor opsporing’, denkt Peter Knoppers, onderzoeker aan de TU Delft, en betrokken bij de antistemmachine-lobby. ‘Je kunt er natuurlijk op wachten dat de beperkingen voor justitie wegvallen’, vreest hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen.

 

Wat geldt voor de vingerafdrukken, geldt ook voor de OV-chipkaart. De vervoersbedrijven slaan alle tram- en metroritjes zeven jaar lang op in een database. Voor commerciële doeleinden. Maar waarom zou de opsporingsambtenaar straks niet de gegevens op kunnen vragen van alle reizigers die zich op het tijdstip van een misdrijf in een tram bevonden? Het Openbaar Ministerie probeerde dit jaar al in Rotterdam om pasfoto’s van chipkaarten op te vragen, maar werd op de vingers getikt door de rechtbank. Het is duidelijk hoe het OM over privacy denkt, want het ging in hoger beroep en de zaak ligt nu bij de Hoge Raad.

De hacker

Met dezelfde moeite kan de hacker steeds meer data stelen. ‘Als gegevens verspreid liggen, levert één inbraak niet veel op. Maar als je het centraal opslaat, kan het in één keer’, zegt ‘ethisch hacker’ Walter Bergers van Madison Gurkha, dat bedrijven helpt om hun computersystemen te beveiligen. Hij wijst op de hack bij Heartland Payments Systems in de Verenigde Staten, waar dit jaar in één klap 130 miljoen creditcardgegevens werden gestolen.

Hackers likken hun vingers af bij de toenemende hoeveelheid persoonsinformatie op plekken als het OV-chipkaartregister.
 

‘Het is in hackerland algemeen bekend dat creditcardgegevens meer waard worden naarmate er meer persoonlijke gegevens van de eigenaar bekend zijn’, waarschuwt Jeroen van Beek, eveneens ethisch hacker. Identiteitsdiefstal is de misdaad van de toekomst. Hackers zullen hun gestolen creditcardnummers koppelen aan uw adres en geboortedatum, die ze weer uit een andere databank stelen.

Omdat de meeste hackers uit zijn op geld, zal chantage in de toekomst steeds belangrijker worden, voorspelt advocaat Ot van Daalen van Bits of Freedom, ‘waakhond voor digitale burgerrechten’. U bent vreemd gegaan en hebt een soa opgelopen? Dat staat gewoon in uw EPD. U heeft een affaire en spreekt wekelijks af bij de Vinkeveense plassen? Dankzij de signalen van uw mobiele telefoon is precies te zien dat u iedere dinsdag om zeven uur ‘s avonds uur een uur op de parkeerplaats staat. En dankzij de Wet bewaarplicht telecommunicatiegegevens moeten die locatiegegevens een jaar lang worden opgeslagen.

Dat alle databanken goed beveiligd zijn, wuiven Van Beek en Bergers weg. Beiden breken beroepsmatig in op computersystemen van bedrijven en de overheid. Beiden is het tot nog toe altijd gelukt. ‘Tot op de dag van vandaag vinden we altijd problemen in die systemen’, zegt een bezorgde Bergers.

Volgens Van Beek is het probleem dat de overheid geen eigen veiligheidsstandaarden hanteert bij dit soort grote projecten. ‘Dat laten ze over aan de markt. Want die weet zogenaamd wat veilig is.’

De marketeer

Nog een voorbeeld, van hoogleraar Bart Jacobs. ‘We krijgen de komende jaren zogenaamde slimme elektriciteitsmeters opgedrongen. Die geven elke vijftien minuten het verbruik door aan de centrale. Die kunnen dus zien wanneer je koelkast aanslaat, wanneer je licht aanhebt bijvoorbeeld. Als die koelkast nu vaker aanslaat, zou een constatering kunnen zijn dat hij wat oud aan het worden is. De energiemaatschappij stuurt dan een folder met nieuwe koelkasten van de fabrikant waar ze een contract mee heeft. Sommige mensen zien dat als service, ik voel me bedonderd. En dit scenario zoemt al langer rond in de energiewereld, ik heb het niet verzonnen.’

Of neem het Elektronisch Patiënten Dossier. Minister van Volksgezondheid Ab Klink wil graag dat er zo’n dossier komt, waarin de hele medische geschiedenis van een patiënt komt te staan. Gouden informatie voor verzekeraars, vindt huisarts David de Boer. ‘Neem borstkanker. Vrouwen met een bepaald gen hebben een enorm risico op borstkanker, en een sterk verhoogd risico op eierstokkanker. Farmaceutische bedrijven zijn natuurlijk erg happig op informatie over wie zo’n gen bezit. Hetzelfde geldt voor verzekeraars.’

En dat terwijl de vrouw in kwestie misschien nog helemaal niet ziek is, maar wel een hogere verzekeringspremie moet betalen bijvoorbeeld. Natuurlijk, het is een doemscenario. Maar het is al gelukt om in te breken in databanken van ziekenhuizen, en de zorgen over mogelijke beveiligingslekken zijn nog niet weggenomen.

Of de personeelsfunctionaris, die bij een sollicitatieprocedure aan de sollicitant vraagt hem even in zijn of haar EPD te laten kijken. Dat is oneigenlijk gebruik, maar weiger het maar eens.

‘We zijn’, zegt hoogleraar Bart Jacobs samenvattend, ‘databases aan het aanleggen waar de Stasi (de gevreesde veiligheidsdienst van de voormalige DDR, red.) jaloers op zou zijn. De OV-chipkaart, de paspoorten, het EPD, ga zo maar door. Die vingerafdrukkendatabase wordt een kentekenregister voor burgers. Aangelegd voor doel A, maar gebruikt voor doel B, C, D, en E. Het argument van publieke veiligheid wordt gebruikt, terwijl de individuele veiligheid er onder te lijden heeft. En waarom er zo weinig mensen tegen protesteren? Waarom onderzocht niemand de veiligheid van de cafés in Volendam, voordat ze afbrandden? Het moet eerst een keer heel erg mis gaan, vrees ik.’




Home