Alleen al vanwege PRISM geen EPD

Het afgelopen weekend domineerde het spionageschandaal het nieuws. De Amerikaanse overheid bespioneert iedereen die niet landgenoten of ingezetene van de VS is. Ons gedrag wordt per seconde geanalyseerd op een manier die noch wijzelf noch een geliefde ooit zou kunnen.

Dat dit mogelijk is, komt door de Patriot Act. Dat is Amerikaanse wetgeving die terreur moet tegengaan. Kennelijk vreest Obama u en mij meer dan zijn eigen ingezetenen. Dat de aanslagen in Boston, Oklahoma, Colorado en natuurlijk op 11 september 2001 door mensen van eigen bodem werden gepleegd, doet er kennelijk niet toe.

Als het verhaal van Obama klopt is niet duidelijk hoe hij een ingezetene wil scheiden van een niet-ingezetene. In de Verenigde Staten bestaat namelijk geen bevolkingsregister. Afgaande op de bron rond het spionageschandaal worden inderdaad ook profielen van landgenoten bijgehouden. Dus eigenlijk komt iedereen met maar een beetje digitaal leven wel in de systemen van de NSA voor.

Compleet beeld
PRISM geeft de Amerikanen een griezelig compleet beeld van uw en mijn leven. Want nu is duidelijk dat via Facebook, Google, Microsoft, Apple, Dropbox en diverse andere bedrijven gedetailleerde informatie wordt geleverd. Of het nu gaat om de flirtpartij, het zakelijk conflict, de documenten die gemeenteraadsleden vertrouwelijk op hun iPad krijgen, religieuze of politieke overtuiging of een voor de VS onacceptabel contact: alles maar dan ook alles wordt bewaard.

En dat is alleen nog maar de input uit het PRISM-programma. Via National Security Letters wordt informatie gevorderd en ook daarvan weten wij niet welke gegevens of databases ons betreffen. Hoe die informatie kan worden ingezet valt te zien in de video van de bron voor het PRISM-verhaal Edward Snowden uitlegt hoe het systeem werkt en gebruikt kan worden. De duiding doet griezelig veel aan Stasi-praktijken denken, maar betreft echt 2013 en niet 1983.

EPD
Maar waar de Stasi met de vingers niet zomaar aan onze medische dossiers kon komen, is dat voor de Amerikaanse overheid nog niet zo zeker. Het Elektronisch Patiëntendossier (EPD) wordt nog altijd aan elkaar geknoopt door het Amerikaanse bedrijf CSC. Dat bedrijf – overigens een oud-werkgever van me uit een grijs verleden ver voor de aanslagen van 2001 – zal gewoon moeten leveren als de NSA dat wil.

Maar misschien hoeven ze niet te leveren, want de onderneming blijkt wel hele fundamentele fouten te hebben gemaakt met beveiliging van andere gevoelige gegevens. Zo is de database met Deense rijbewijsgegevens gehackt, de database met Deense BSN-informatie, het IT-systeem van de Schengenzone en de e-mailaccounts pluswachtwoorden van 10.000 politieagenten en belastingmedewerkers.

Het boezemt geen vertrouwen in als een club zo met informatie van Europese burgers omgaat. Weer een voorbeeld waarom de huidige aanpak van het EPD geen gelukkige is. Mij lijkt een nerd van de The Pirate Bay minder bedreigend dan een Amerikaanse overheid die mijn gegevens langer dan ik leef bewaart. Maar met CSC krijg je kennelijk beide bedreigingen. Daarom wil ik niet in het EPD, maar die uitzondering zal ook wel weer in een PRISM-systeem worden opgeslagen.