Alarm, de overheid kan bij onze data!

Bekijk een willekeurige publicatie over onderwerpen als het gebruik van de cloud of het internet en er staan steevast reacties onder die roepen dat de cloud beslist onveilig is, omdat de overheid mee kan kijken. Ik erger me aan de kortzichtigheid van die reacties, want cloud computing heeft maar heel weinig te maken met de kwestie van de overheid en onze data. De reacties zijn gebaseerd op twee onjuiste aannames. De eerste is: ‘als je je IT niet in de cloud zet, maar in je eigen kelder, dan kan de overheid niet bij je informatie’. En de tweede: ‘als de overheid bij je informatie kan, dan liggen je bedrijfsgeheimen op straat’.

De overheid in onze gegevens
Laten we analyseren hoe het werkelijk zit. Te beginnen met de eerste aanname. Stel: we willen echt niet dat een overheid bij onze bedrijfsdata kan. Wat moeten we dan allemaal doen om dat te voorkomen?

Om te beginnen moeten we afzien van het gebruik van de cloud, dat klopt. Meer specifiek: we moeten onze bedrijfs-IT volledig afgeschermd houden, in eigen beheer. Dat betekent dat onze servers, back-updevices, in de eigen bedrijfsruimte moeten staan. Het huren van een server of zelfs het huren van serverruimte in een extern datacenter is geen optie. PC’s mogen alleen verbonden worden via een intern, bedraad netwerk. Dat betekent dat werknemers alleen op kantoor de bedrijfsgegevens kunnen benaderen. Een internetverbinding is op zich wel mogelijk. Maar omdat internetverkeer kan worden afgetapt, moet alle in- en uitgaande verkeer worden gescreend op bedrijfsdata.

Het versturen van mails buiten het bedrijf is riskant, want er kan altijd iets van een bedrijfsgeheim in staan. De mail van de eigen server kunnen we nog met dure apparatuur en software screenen, maar bij privémails vanuit huis kan dat niet. Mailen over het bedrijf vanuit huis moeten we dus verbieden. Faxen gaat ook niet, want Echelon kijkt mee. Bellen kan, maar we moeten ons bij elk telefoontje afvragen of er uit de bron, de bestemming en het tijdstip geen potentieel bedrijfsgeheim is af te leiden. Immers, de verkeersgegevens staan ter beschikking van de overheid. Een telefoontje ‘s avonds van de CEO of CFO naar een concurrent, bijvoorbeeld, is dan ook al riskant, want er kan sprake zijn van een overname.

Het beeld is duidelijk: voorkomen is ondoenlijk. Geen enkel modern bedrijf kan het zich anno 2013 nog permitteren om zijn werknemers van negen tot vijf achter een vaste desktop te plaatsen. En af te zien van internetcommunicatie, of alleen communicatiemiddelen gebruiken die de garantie bieden dat er nooit bedrijfsgeheimen over kunnen worden getransporteerd.

Bedrijfsgeheimen op straat
Laten we eens kijken naar de tweede aanname: de Amerikaanse overheid, maar mogelijk ook andere overheden, verkwanselen onze bedrijfsgeheimen. Wat doen die overheden allemaal met onze data? Het grote probleem is dat we dat niet precies weten. En omdat we dat niet weten, ontstaan de wildste speculaties – zoals de stelling dat de overheid onzorgvuldig met bedrijfsgeheimen omgaat.

De publicaties van Snowden gooien olie op het vuur. Maar ze scheppen ook duidelijkheid over de aard en diepte van de toegang, door in dit geval de Amerikaanse overheid. Om dit uit te diepen moeten we onderscheid maken tussen de verkeersgegevens, het verkeer zelf en de toegang tot bestanden. We kunnen vaststellen dat de informatie uit Snowdens papers, de kwestie van de NSA en de vragen over het gedrag van de Nederlandse overheid gaan over de transmissie van informatie, en niet over de directe toegang tot hardware, servers en files.

De Nederlandse overheid heeft op grond van de wet het recht op inzage van verkeersgegevens van onder andere mail en telefonie. Providers werken daaraan mee door deze data te bewaren en beschikbaar te stellen. De gegevens betreffen informatie als bron en afzender, tijdstip en tijdsduur en ip-adressen. Ambtenaren die belast zijn met handhaving en opsporing mogen die informatie inzien via het CIOT, de instantie die belast is met de uitvoering van deze verplichting. Het gaat dan dus alleen om de gegevens over transmissies, niet over de transmissies zelf.

Als er concrete aanwijzingen van strafbaar gedrag zijn, kan justitie een stapje verder gaan en een ‘tap’ bevelen. In dat geval wordt ook, vanaf dat moment, het verkeer van de betrokkenen inhoudelijk bekeken. Uit dat verkeer is dan de inhoud van de transmissie af te leiden. Een complicatie is nog dat dat verkeer versleuteld kan zijn. Ontsleutelen is mogelijk, maar kost rekenkracht en tijd. Over het gebruik van sleutels door de overheid is niet veel bekend. Aangenomen moet worden dat overheden ruime mogelijkheden hebben voor decryptie.

De laatste stap is het vorderen van informatie op de disks zelf. Dat gebeurt alleen in expliciete gevallen, en op bevel van een rechtercommissaris. Providers werken nooit mee aan ongerichte of niet onderbouwde verzoeken voor opleveren van data. Waarom zouden ze ook? Er is geen wettelijke basis voor en het zou het vertrouwen van hun klanten schaden. Maar dit komt in de praktijk dan ook niet voor.

Buitenland
Buiten Nederland is er meer aan de hand. Er zijn talloze aanwijzingen dat de Amerikaanse overheid op veel plekken in het internet het dataverkeer zelf tapt. Je kunt veilig aannemen dat andere overheden dat ook doen. Het ongericht tappen geeft volop informatie; uit de pakketten kan met slimme filtering en rekenkracht de payload en uiteindelijk de inhoud van gesprekken en transmissies worden afgeleid. De documenten van Snowden geven veel inzicht in die methoden.

Je moet er dus van uitgaan dat overheden delen van je communicatie kunnen inzien als je via het internet communiceert. Welke delen dat zijn, weet je niet precies bij voorbaat – dat hangt af van routering van je pakketten. En daar heb je als gebruiker weinig invloed op. Ook is het zo dat overheden elkaar op verzoek toegang geven tot verkeersgegevens en informatie. We weten niet precies om welke informatie het gaat – en op welke verzoeken wel en niet wordt gereageerd evenmin – maar er zijn ook hier geen aanwijzingen uit bijvoorbeeld de bronnen van Snowden dat de Amerikaanse overheid informatie van buitenlandse bedrijven ter beschikking stelt aan Amerikaanse ondernemingen.

Ik denk dus dat we moeten accepteren dat het inzien van internetverkeer door overheden een fact of life is, en op zich niets nieuws. Aftappen en meeluisteren is ook bij telefonie en satellietcommunicatie al tientallen jaren realiteit, met grootschalige tapvoorzieningen als Echelon. We vragen de overheid om handhaving, opsporing en bewaking van onze nationale veiligheid. Zonder die mogelijkheden is de overheid doof en blind, en de mogelijkheid om te tappen en mee te luisteren is een noodzakelijk kwaad.

Vertrouwen
Als we weten dat overheden structureel over delen van onze data kunnen beschikken, dan resteert de uiteindelijke vraag, en mijns inziens de bottomline-kwestie: vertrouwen we de overheid of, liever gezegd, overheden met onze data? Daarbij gaat het dus niet langer om de cloud of e-mails, maar om ons online gedrag als geheel. En niet alleen over bedrijfsgeheimen, maar vooral over onze persoonlijke integriteit. Als individu voelen we ons kwetsbaar en zijn we bang voor het trekken van onterechte conclusies op grond van ons online gedrag.

Het is niet meer ondenkbeeldig dat een individu op basis van zijn transmissies kan worden beschuldigd van een strafbaar feit in bijvoorbeeld een land met de sharia. Dat stelt niet bepaald gerust. In een goede democratie is dat met checks en een stevig acterend parlement geborgd. Ik vertrouw de Nederlandse overheid voldoende om me geen grote zorgen te maken over mijn privé- of bedrijfsgeheimen. Ik mail of facebook er niet minder om en ik constateer dat ook de meest verstokte privacyvoorvechters gewoon blijven bellen, mailen en twitteren. De opwinding valt dus wel mee.

Maar hoe zit dat met andere overheden? In de online wereld zullen we onvermijdelijk en steeds vaker worden geconfronteerd met de ethiek van overheden waar we geen enkele invloed op hebben. Die ook bij delen van onze data kunnen en waar we ons niet zo goed tegen kunnen wapenen.

De uitdaging
Misschien ligt daar uiteindelijk de uitdaging – het leren omgaan met de wetenschap dat er altijd iemand kan en zal meeluisteren. Van onze eigen overheid mogen we transparantie vragen en van het parlement toezicht en controle op toegang en gebruik van die data eisen. Maar, last but not least, zal onze overheid ons, als persoon en als bedrijf, stevige bescherming moeten bieden tegen de gevolgen van onzorgvuldig en oneigenlijk gebruik en interpretaties van onze data door andere overheden.