Citaat: “Bij Crypto AG kochten overheden, van Saddam Hussein tot het Vaticaan, apparaten om communicatie te beveiligen. Het bleek dat de NSA en de Duitse inlichtingendienst BND een overeenkomst hadden gesloten met Crypto AG, zodat de crypto-apparaten door deze diensten in het geheim, werd aangepast. Daardoor was het voor deze inlichtingendiensten mogelijk om communicatie van klanten van Crypto AG af te luisteren.

“De NSA is ook in de VS nauw betrokken bij marktontwikkelingen, en dwingt software-ontwikkelaars om cryptoproducten te ontwikkelen met een achterdeur. Softwareproducenten krijgen geen exportvergunning voor hun product als niet voldaan wordt aan de voorwaarden van de NSA.”

Welk jaar schrijven we? Nou, zeg eens… Augustus 1998, een column van XS4ALL-medeoprichter Felipe Rodriquez voor de website Planet Multimedia, die ik destijds maakte.

Ik hoop ook het artikel nog te vinden over een achterdeur voor de NSA op Windows 95. Nog erger: al in 1981 schreef Fred Kappetijn, de latere directeur nieuwe media van Perscombinatie, voor Elseviers Weekblad over de verplichting opgelegd door de NSA aan alle cryptobedrijven om versleuteling zwak te houden. Zo niet, dan moesten ze kopieën van sleutels inleveren. 1981!

Ook NRC Handelsblad was rond de eeuwwisseling in Nederland alert met de publicatie van het Echelon-rapport en artikelen over kwesties inzake privacy en beveiliging. De geschiedenis was bekend. Intussen is de spionagetechnologie enorm verbeterd, maar de principes (alles pakken) en de strategie (alle verbindingen) niet.
Het is dat De Wereld Draait Door vakantie houdt, anders zouden we daar vanavond van opgewonden standjes het ‘hot news’ van afgelopen weekend vernemen: de prachtige onthulling van Der Spiegel over de infiltraties van de NSA met behulp van achterdeurtjes op hardware en encryptie.

Snowden is terecht voor menigeen de man van het jaar – wat een moed! Maar hij is het ook bij gebrek aan aandacht voor spionage door journalisten afgelopen decennia.

De NSA en zijn Britse partner GCHQ luisteren EU-commissarissen af, en bespioneren olie- en defensiebedrijven. Zelfs kopstukken van vriend Israël worden bespioneerd; even slikken, maar voor de spionagekenner geen nieuws. Spionnen zijn nogal promiscue; iedereen doet het met iedereen. Over de Russen en Chinezen horen we niets. Doen die dan niets? Toch vast wel?

Recent kwamen ook Rob Bertholee en Pieter Bindt, de chefs van de AIVD en MIVD, in de Tweede Kamer uitleggen wat ze doen. In de verslagen viel het woord ‘metadata’ als grote gruwel. De NOS : AIVD: vergaren metadata mag altijd. De NRC schreef: Gebruik metadata onder vuur. (Gepikte versie door Privacy.nl.)

Dit kwam tegelijkertijd met een prachtig stuk over de kracht van metadata op De Correspondent. Die kracht was bekend bij datadeskundigen, en ook de reden voor het zware protest tegen de bewaarplicht van telecomdata in 2008 en 2009.

Wat levert het op ?
Nog steeds niet beantwoord is de vraag: wat is de opbrengst van spionage, tegenover de kosten aan onder meer privacyrisico voor individuen, bedrijven en organisaties? Snowden suggereert vagelijk dat de balans zoek is, de NSA en AIVD nog vager dat ze onze levens redden.

Kosten en opbrengsten van privacy vormen juist het thema van mijn boek, dat ook de nieuwe richting voor privacy in het tijdperk van cloud en big data uiteenzet. Immers, onze zucht naar gratis digitaal gemak en pret betalen we met data, aan Google, Facebook en de NSA.

Meningen en het vorsen van feiten lopen in een vroeg stadium, al bij de selectie, door elkaar heen. En ineens vormen ‘metadata’ het thema. Bekijk eerst eens onze spionagewet WIV.

Vervolgens is de vraag: wat mag er wettelijk aan data worden verzameld en getapt? Uit dat boek maar even samengevat de Nederlandse wetten voor dat vergaren, voor justitie. Met dank aan Simon Hania (ook ex-XS4ALL) en voorlichters van EZ en I&M, die wekenlang in de weer waren om alles te verzamelen.

1. Verplichting voor het real-time aftapbaar zijn (artikel 13.1 van de Telecomwet): telefonie en internet via openbare vaste, mobiele en wifinetwerken moet toegankelijk zijn na een vordering van een rechtbank.

2. Levering identificerende gegevens (artikel 13.4 van de Telecomwet): telecomaanbieders moeten aan het CIOT (Centraal Informatiepunt Onderzoek Telecommunicatie) nummers, e-mail- en IP-adressen met bijbehorende naam en adresgegevens leveren en wijzigingen dagelijks doorgeven. Dit is een soort actueel telefoonboek met louter identificatie, geen inhoud of verkeersgegevens (metadata).

3. Dataretentie of Bewaarplicht (artikel 13.2a van de Telecomwet): telecomaanbieders moeten verkeersgegevens (metadata) van telefonie/sms (vast, mobiel) twaalf maanden vasthouden en die van internet zes maanden. Wie communiceert met wie, tijdstippen begin en einde gesprek en locatie van begin van het contact.
Voor internet geldt alleen de log-on en log-off in het netwerk. Ook gebruikte internetdiensten en eventueel telefoonnummers moeten bewaard worden.
Pas na een gerechtelijke vordering moeten providers data afstaan.

4. Datalevering voor opsporing (Wetboek strafvordering en Wet op de inlichtingen- en veiligheidsdiensten): elke partij met gegevens kan van rechtswege verplicht worden die te leveren voor strafrechtelijk onderzoek. Banken, supermarkten, Google, Facebook, webwinkels en creditcardbedrijven.
Voor telecomaanbieders gelden extra artikelen voor wat ze moeten kunnen leveren, ook data rechtstreeks aan een officier van justitie of rechercheur.

5. ‘Bevriezingsbevel’: idem als 4, maar plicht om data over een nog komende periode te bewaren.

Niet alle jurken in Slotervaart
Hoe zit het nu met het wel en niet voldoen aan verplichtingen? Geen van deze opties betreft een ‘sleepnet’ ofwel verzameling van ‘iedereen als potentiële verdachte’. Echter, bij 3 (bewaarplicht) gaat het wel die kant uit. Alle bel- en maildata zijn beschikbaar.

De NSA vergaart wel hele datastromen, zowel de verkeersgegevens als inhoud, en overtreedt volgens de ene Amerikaanse rechter een grens, terwijl de ander het nodig vindt.
Of ‘onze diensten’ dat ook doen, of van de informatie van de NSA gebruikmaken, is ongewis. Ze gaan jihadforums in, gelukkig maar. Echter, ze mogen niet alle kaalkoppen van Vak S van Feijenoord, getatoeëerde heren uit de Nieuwstraat in Kerkrade of jurken in Slotervaart analyseren. Al is de verleiding nog zo groot.
Maar toen mijn partner rijksambtenaar werd, kwam ik ineens in beeld in haar gesprek met de AIVD. Dat leek me een grotere bedreiging dan alles wat van de NSA is geopenbaard. Of niet?
(En oppassen voor paranoia: ik vrees dat de Amerikaanse internet- en telecombedrijven waarover ik veelvuldig schreef in hun vriendschap met de NSA ook weleens wat mail van mij ontvingen.)

Geen tapkampioen
Fabels helpen niet, alleen feiten. Een paar dan, na genoemde wetten:

1. Nederland is absoluut niet het land met de meeste taps, zoals columnisten uitentreuren blijven beweren, gevoed door privacylobbyisten die nog nooit in Iran of China zijn geweest. Wel tappen Nederlandse dienders relatief veel, omdat het een makkelijke methode is.
2. Buiten kijf staat dat de NSA-methoden onacceptabel zijn, maar Snowden onthulde wel veel methoden maar geen data zelf. Doorschieten in verontwaardiging is zinloos, VN-resoluties zijn dat trouwens ook. En echt, de AIVD mag alles op Facebook dat openbaar is onderzoeken. Net als u en ik.
3. In de WIV is uitwisseling van data geregeld tussen AIVD/MIVD met buitenlandse diensten, zoals de NSA. Ook is de uitwisseling geregeld tussen politie en geheime diensten, dus in theorie ook tussen uw buurtagent en de NSA.
4. De reikwijdte van cloud computing betekent dat de AIVD de data ‘op de Zuidpool’ opslaat. Maar ook eenvoudig inzage in elkaars data met de NSA kan regelen, zonder data zelf te hoeven uitwisselen. Als voorwaarde natuurlijk: als de NSA en het ‘yes-we-can’-regime dat nodig vinden.
En met (cloud-)internet zoekt het water het laagste punt. Nu stroomt alles naar de NSA. Als die morgen te veel wordt beknot (wat niet zal gebeuren gezien de Amerikaanse economische belangen), dan is er wel een obscure staat te vinden waarheen de VS de kuen dataverzameling verplaatsen.

Eigen dossier opgevraagd
Euvel is momenteel wel, en dat is relevant bij Snowden en Greenwald: we weten niets van prijs, opbrengsten en vooral risico’s van al die handige digitale methoden. Bertholee en Bindt uitten zich uiteraard in vaagtaal in de Tweede Kamer. En namen nog een borrel na afloop. Er ligt een uitstekende evaluatie, maar het blijft papier.

Wil u het begrijpen? Kijk een half uurtje naar de wolken. Maak vervolgens wat u lief is nooit digitaal. En zet ook uw mobiel uit. Ik heb trouwens geen smartphone, net zomin als baas Bertholee van de AIVD.

Soms krijg ik het verwijt dat ik inlichtingendiensten verdedig. Dat is niet zo, maar ze zijn soms wel nuttig. Net als journalistiek. Voor beiden zijn feiten en beeldvorming relevant.
En voor journalisten wat historische kennis: geheime diensten hielden zich nimmer aan de wet, of ze maken hun eigen wetten: zie Rodriquez boven. Sinds mijn jaren in Oost-Europa, waar niet alleen de Nederlandse penoze en de Mossad goede zaken deden, koester ik geen illusies meer. Het (analoge!) BVD/AIVD-dossier dat ik recent kreeg en gevolgd worden in Oost-Europa waren redenen genoeg om al jaren de waarschuwingen van Appelbaum (ook nu!) en nu Greenwald/Snowden c.s. te volgen. Het is niet pluis, verre van nieuw, maar dankzij de hype is het terugvechten is begonnen…