Klokkenluidersplatform Publeaks gelanceerd, hoe legaal is dat?

publeaksPubleaks is een website waarop veilig en anoniem tips en documenten kunnen worden gelekt naar de media, las ik bij Nu.nl. Het initiatief, dat tot stand kwam in samenwerking met Stichting Publeaks, is bedoeld om klokkenluiders te beschermen, misstanden aan de kaak te stellen en onderzoeksjournalistiek te ondersteunen. Mensen kunnen anoniem documenten aanleveren waar aangesloten journalisten dan toegang tot kunnen krijgen om zo een onderbouwde publicatie te doen.

De website Publeaks biedt een omgeving om veilig en anoniem informatie te lekken naar de pers. “Pers” is juridisch een ongedefinieerd begrip, maar Publeaks vult dit in als een rechtspersoon met journalistieke taak in hun statuten plus een onderschrijving van de Code van Bordeaux, de standaard ethische code voor journalisten. Mijn blog is dus geen ‘pers’ maar Nu.nl wel. Wat verder niet erg is; sterker nog het is denk ik juist goed want zorgvuldig handelen is een van de belangrijkste aspecten van omgaan met lekken en klokkenluiders.

Het systeem van Publeaks zorgt er voor dat de afzender, locatie en andere gegevens van het versturen van documentatie niet te herleiden is. Daarmee is het dan feitelijk onmogelijk (althans dat is de bedoeling) dat de bron van een lek achterhaald wordt door iemand die met advocaten gaat smijten richting Publeaks. En gezien de doelstelling van die site zal dat zeker met enige regelmaat gaan gebeuren.

Of klokkenluiden legaal is, is al heel lang onderwerp van juridisch debat. Hoofdregel uit de wet is namelijk dat je geen bedrijfsgeheimen (of staatsgeheimen) mag onthullen, en in dat wetsartikel staat geen uitzondering voor “tenzij het heel belangrijk is”. Maar dat belang kan tóch een uitzondering op de hoofdregel vormen, namelijk omdat het klokkenluiden dan onder de vrijheid van meningsuiting gerechtvaardigd is. En dat grondrecht kán andere wetten, ook strafrecht, opzij zetten.

Heel snel zit je niet aan die uitzondering, zeker niet als werknemer. De Hoge Raad oordeelde vorig jaar dat een werknemer die een misstand aan de orde wil stellen, pas vertrouwelijke informatie naar buiten mogen brengen als er geen andere wegen meer zijn die voor de werkgever minder schadelijk zijn. Je móet dus intern klagen en pas als al je klachten tot niets leiden, hoe hard je het ook hebt geprobeerd, dan mag je eventueel naar buiten toe. Daarnaast moet er bij de publicatie ook een zwaarwegend algemeen belang gediend zijn. Een hoge grens dus.

Bij staatsgeheimen geldt ongeveer dezelfde regel maar dan nóg strenger. In mijn blog over Wikileaks noemde ik de EHRM-zaak Guja vs. Moldavië waarin een ambtenaar stukken lekte over corruptie bij het Openbaar Ministerie. Dat werd toegestaan want dat is een zeer ernstige misstand en er was geen effectief middel binnen de organisatie om daarover te klagen.

In mei vorig jaar werd een wetsvoorstel ingediend dat meer bescherming aan klokkenluiders moet bieden. De werkgever mag de werknemer niet benadelen wegens klokkenluiden, zo wordt daarin gesteld en in de wet wordt dan ook onder meer bepaald dat een werkgever een werknemer niet mag ontslaan wegens “de omstandigheid dat de werknemer te goeder trouw en naar behoren een melding heeft gedaan”. Dat zou een heel eind schelen, hoewel je natuurlijk blijft zitten met de nadelige positie van werknemers die geen dure procedures bij de rechter kunnen betalen als hun werkgever ze lekker tóch ontslaat (al dan niet met verzonnen alternatieve aanleiding).

Publeaks omzeilt deze hele discussie een heel eind door simpelweg de bron van het lek anoniem te houden. Een werkgever kan dus niet bij Publeaks onthulling afdwingen (nog even afgezien van of dat onder journalistieke bronbescherming wel zou mógen). Wél zou men de stichting zelf aansprakelijk kunnen houden voor de schade die het bedrijf lijdt door de publicatie van het gelekte geheim. Maar dat zal niet meevallen: aan de kaak stellen van misstanden is een kerntaak van de journalistiek en een rechter zal dus niet snel een dergelijke journalistieke publicatie onrechtmatig verklaren enkel omdat als bron gelekte documenten zijn gebruikt.

Hebben jullie nog tips voor werknemers of andere tipgevers die écht anoniem willen blijven? Is Publeaks echt wel veilig genoeg?

Arnoud

32 reacties

  1. De NSA/AIVD monitort toch alle traffic naar de website en er is op dit moment al aangetoond dat de torrent source point te herleiden is als je een klein percentage van de tor exit gates beheerd, wat de NSA volgens mij allang doet…

    1. Zoals Marcel al aangeeft: het hangt er vanaf hoeveel resources men aan het vinden van het lek wil besteden. Ik verwacht dat de NSA in staat is om uit verkeersanalyse en haar observaties van het Tor netwerk redelijk vaak (50-90%) in staat is om het bron-IP van iemand te achterhalen die met een website contact zoekt. Ik raad iemand die via publeaks wil lekken aan om dat via een open Wifi netwerk te doen (café, station, trein); voor paranoia-niveau bescherming: koop een tablet of goedkope laptop specifiek voor het lekken (contant betalen, na gebruik weggooien.) Wanneer het gaat om bedrijfsgeheimen waarbij de NSA geen interesse heeft om het lek op te sporen kun je iets voorzichtiger zijn. Het is wel altijd goed om zelf al zoveel mogelijk metadata te verwijderen uit documenten voor je ze uploadt.

    2. Ik snap niet dat mensen TOR nog steeds duiden als een “anonimiteits”middel. Daar is TOR namelijk ook helemaal niet voor bedoeld (zie hun eigen website). De bedoeling van TOR is puur en alleen om websites te bezoeken waarvan je eigen overheid die probeert te onderdrukken (voor wat voor reden dan ook). Ze gaan daarmee een stuk verder dan Proxy’s. Daarmee zijn alle lekken van privacy over TOR dus ook meteen non-nieuws, want dat proberen ze ook helemaal niet te bereiken bij het TOR-project.

      Als je anoniem wil blijven, zul je dus TOR moeten combineren met een echt privacy middel.

  2. Afhankelijk van de bereidwilligheid en hoeveelheid recources men er tegenaan wil gooien, is een digitaal spoor mijns inziens altijd te achterhalen. Ook bij internet-cafes hangen camera’s en worden logs bijgehouden. Old-school analoog dan maar? Een generieke USB-stick (zonder vingerafdrukken) met de informatie via de post versturen?

    1. Volgens mij heeft een USB stick zelfs een “hardwarematig” serienummer en is dus de shop te achterhalen die hem verkocht heeft, en dan is het natuurlijk weer via camera of transactie log te achterhalen wie hem gekocht heeft…

  3. Waar ik bang voor ben is dat er misbruik van gemaakt gaat worden. Electronische documenten zijn immers prima te vervalsen dus met een beetje fantasie is wel het een en ander aan documentatie te bedenken waarmee een onschuldige concurrent aan de schandpaal wordt genageld. Een nep-email van Steve Jobs, bijvoorbeeld, waarin hij meldt dat de Apple-fabrieken in China niemand ouder dan 16 jaar mogen aannemen, omdat hij graag kleine kindertjes aan werk helpt. Of dat Nike in hun schoenenfabrieken gebruik maken van veroordeelde gevangenen die 10 uur per dag, 6 dagen per week schoenen moeten maken in ruil voor 25 eurocent per week, plus twee sloffen sigaretten om mee te handelen in de bajes. Ik noem maar wat nep-berichten maar op zo’n ‘leaks’ website zou een journalist het als waar over kunnen nemen en zo een bedrijf een forse reputatieschade bezorgen. En als je denkt dat dit niet snel zal gebeuren, vergeet niet voe vaak De Speld wordt overgenomen door andere media, zeker in het begin toen nog niet bekend was dat het allemaal nep was.

    De vraag is dan ook in hoeverre de nep-klokkenluider vervolgd kan worden voor dit soort nepberichten.

    En wie zouden er belang bij hebben? Grote multinationals die de concurrent willen beschadigen maar ook zo’n beetje iedere natie op deze planeet die de reputatie van een andere natie wil beschadigen. Een ‘leak’ over hedendaagse slavenhandel on Marocco met goedkeuring van het koninklijke hof daar zou mogelijk zo wereldwijd verspreid kunnen worden zonder dat er bewijs voor is. Idem met de geruchtenstroom over de gifgas-aanvallen in Syrie, waarbij dit soort sites het idee kunnen geven dat groepering X of overheid Y achter die aanval zat. Straks krijgen we nog te horen dat een geheime Iraanse eenheid Syrie heeft geinfiltreerd met gifgas-wapens om zo het conflict aan te wakkeren. Met enkele nepberichten op ‘leaks’ site zou het zomaar geloofwaardig kunnen worden…

    1. Een goede journalist gaat niet op een bron af, maar probeert de informatie te verifiëren; zeker als het gaat om berichten die van een anonieme tipgever afkomstig zijn. Dat betekent dat het een lasteraar een behoorlijke hoop werk vergt om een goed verhaal in elkaar te sleutelen dat past bij publiek bekende feiten. Ik ken weinig mensen die onbetaald boven het niveau van een goede 1 april grap willen uitstijgen. En als je mensen gaat betalen en dat wordt bekend dan gaat jouw naam er aan.

      1. Klopt. Het is ook niet iets dat kleinere organisaties zouden willen doen. Maar een land zoals Syrie of Iran zou er wel de middelen voor hebben om de USA, Frankrijk of de Britten in een kwaad daglicht te plaatsen met vele net-berichten. Idem voor China, Rusland en zelfs de USA.

          1. Ja, er waren genoek mensen sceptisch, maar er waren er velen die het wel wilden geloven en het gebruikten als excuus om aan de invasie van Irak mee te doen. Maar ook de gifgas-aanval in Syrie waar momenteel allerlei geruchten over gaan. Zou Assad deze werkelijk zelf hebben ingezet? Hebben rebellen dit gas gebruikt om zo de USA te bewegen om mee te helpen met Assad te verdrijven? Heeft een generaal van Assad misschien zelf besloten dat een paar gifgas-bommen wel zou werken en dat Assad er niets van af wist? Zou de USA een undercover eenheid naar Syrie hebben gestuurd om deze gifgas-aanval uit te voeren en zo een reden krijgen om mee te doen aan deze oorlog? (Doe dan de aandacht wegtrekt bij de binnenlandse politieke problemen en de NSA kwesties.) Misschien heeft Hezbollah wel wat gifgas-granaten gekregen en wilden ze deze eerst uittesten op de Syrische rebellen voordat ze deze op Israel gaan afschieten? Is het een plot van China om de Amerikanen in nog meer geldverslindende oorlogen te betrekken, na de grootspraak van Obama over een rode lijn? Er zijn genoeg verhalen te bedenken over dat soort zaken en die veroorzaken twijfel over de bestaande bewijslast. En zonder hard bewijs kan de VN maar bar weinig doen over de situatie in Syrie.

          1. Mee eens, maar publicatie op een leaks site versterken dat soort geruchten nu eenmaal. Iedereen had al een vermoeden dat de USA het Internet bespioneerde maar de documenten die Snowden openbaar maakt tonen aan hoe ver men daarbij wel niet ging en zorgt daarnaast voor een enorme geruchtenstroom van berichten waar eigenlijk de waarheid niet van te bepalen is. Want we weten nog steeds niet hoe ver de NSA uiteindelijk is gegaan en nog steeds gaat. We weten alleen wat meer over wat ze doen en opeens is het halve Internet paranoide…

  4. Document(en) die je gaat ‘lekken’ uitprinten en deze opnieuw inscannen en met opensource PDF printer omzetten naar PDF. Sla ze niet op in je userdirectory maar direct onder een driveletter, voor het geval er ergens een locatie van het bestand wordt meegegeven. Maak een connectie met een veilige VPN aanbieder (eentje die niets logt) en leg vervolgens een verbinding via TOR (gebruik de laatste client!) met publeaks. Knappe jongen die jou dan nog als bron kan achterhalen. Gebruik in documenten nooit taal die je eventueel zou kunnen identificeren, doe nooit uitspraken die je regelmatig in het bijzijn van collega’s ook doet. Spreek met niemand over je lek, behalve degene die je echt kunt vertrouwen. Hoe ernstiger het onderwerp hoe minder mensen je kunt vertrouwen.

    1. Met de hoeveelheid internetverkeer die de NSA kan bekijken neem ik aan dat zij met een verkeersanalyse kunnen zien dat jij aan de andere kant van de VPN zit. (Ik neem ook aan dat de Amerikaanse overheid een overzicht van mijn elektronische en creditcard betalingen heeft.) Vandaar dat ik een (gratis of cash) openbaar Wifi netwerk aanraad; met een fake- of weggooi ethernet ID voor je computer. Andere adviezen zijn goed.

      1. Vergis je niet! De NSA heeft heel veel data verzameld, maar daarmee hebben ze nog geen informatie. Een fout die veel mensen snel maken is denken dat data en informatie hetzelfde is. De kans dat jouw misdaden opvallen in de enorme berg data die de NSA heeft is dezelfde kans die je hebt om een naald in een hooiberg te vinden. Dezelfde reden waarom vissen in scholen zwemmen, eigenlijk. Het is een enorm aantal en roofdieren gaan er graag op af, maar de kans dat je het slachtoffer wordt van een roofdier is in die grote school een stul kleiner dan in de open zee, waar je in je uppie misschien minder snel opvalt, maar je niet kunt verbergen achter een andere prooi…

        1. Super-computers zijn goed in het vinden van die naald. Als jouw vectors overeenkomen met die van andere criminelen, ben je zo te vinden. Men classificeert en clustert en analyseert er op los. Je hebt gelijk dat er een verschil is tussen rouwe data en informatie, maar dat verschil verdwijnt dus wel met algo’s.

          Echelon 1.0 werkte met keywords, dus met syntax. Als je het woord “antrax” meldde in je e-mails, dan werd dit uit de internet backbones gefilterd en op een hoop gegooid voor verdere analyse. Nu is men zover dat men ook de semantiek kan analyseren. Als je praat over “giftige stoffen in enveloppen” dan kan een algo dat clusteren in een ander cluster dan “giftige stoffen in de landbouw”.

          1. Het probleem blijft dat ze alleen vinden waar ze naar zoeken. Hoe meer informatie je uit gegevens haalt, hoe theoretisch gekleurder het wordt. Een verkeerde aanname of onvolledigheidje in de theorie, en de informatie is gewoon keihard fout. Ik denk dat het het gevaarlijkste is als ze het gelekte document zelf in handen krijgen dan hebben ze iets wat ze echt op jou kunnen pinnen (lek in platte tekst)

          2. “Antrax” is de titel van een boek van Terry Brooks. En als het een spelfout is kan “Amtrax” als “Anthrax” mee bedoeld worden. Her verschil tussen een giftige stof en een Amerikaanse spoorweg-organisatie is best groot. Er zal dus naar de rest van de communicatie gekeken moeten worden om te bepalen wat er precies bedoeld wordt. En dat is voor computers nog vrij lastig en tijdrovend zodat ze niet bij iedere ‘hit’ meteen even de rest van de context kunnen doorzoeken. Vergelijk het met een virusscanner die dagelijks 10 TB moet doorzoeken op een snelheid van 5400 RPM. Grote kans dat deze nig niet klaar is op het moment dat de volgende scan moet beginnen. Een ander probleem is dat terroristen en criminelen niet gaan discussieren over anthrax maar deze gevaarlijke stoffen een andere naam geven. C4 noemen ze dan Chihuahua en Anthax noemen ze hondenbrokjes. En als ze de chihuahua hondenbrokjes gaan voeren op Times Square in NY dan klinkt dat enorm onschuldig maar de realiteit is dan dat ze een bom willen laten ontploffen die een enorme hoeveelheid Anthax kan verspreiden in het centrum van Detroit. Want Times Square staat dan weer voor Detroit, om het dwaalspoor nog groter te maken. Geheime diensten zijn vooral benieuwd naar de lijsten van codewoorden en hun betekenissen en de kans is dus dat je gearresteerd wordt omdat je zit te chatten over hoe je je hond brokjes hebt gevoerd, terwijl deze discussie over Anthrax, explosieven en terrorisme gewoon genegeerd wordt want de discussie is te open…

    2. Stop een aantal euro’s in een enveloppe en stuur deze naar een VPN provider als Mullvad (wel eerst even een id genereren bij Mullvad via TOR of anders een gekaapt Wifi netwerk), en er is niemand buiten jezelf die weet wie er achter het ID zit. Aangezien VPN providers als Mullvad niet loggen is de kans dat de NSA, of whatever geheime dienst, jouw source IP kunnen traceren vrijwel uitgesloten. Wanneer je dan ook nog een via TOR het verdere internet opgaat dan is uitgesloten dat er nog een link naar jou te maken is. Er wordt in de media gedaan alsof de NSA een soort magische macht heeft om alles te kunnen zien en monitoren maar ook deze macht is maar beperkt. Technisch gezien lopen ze tegen dezelfde beperkingen aan als iedereen en dat is de techniek zelf en de financiën. Om al het netwerkverkeer te kunnen analyseren op inhoud zijn hun huidige ‘super computers’ nog niet krachtig genoeg en al dat spul kost een vermogen wat verantwoord moet worden. Niet alles is te koop en momenteel bestaat er geen stuk hardware dat in staat is om iets als AES 256 binnen een normaal mensenleven te hebben gekraakt. Of de NSA moet buitenaardse technologie gebruiken maar dat lijkt mij meer iets van Star Trek of zo. Maar misschien in een jaar of 10 is de techniek wel zo ver en dan zijn de meeste lekken wel weer achterhaalt.

      1. De NSA heeft niet de nieuwste technieken nodig. Ze hebben alleen veel opslagruimte nodig voor alle verzamelde data waar ze dan filters overheen gooien om er informatie uit te halen. Het kan best zijn dat ze op iedere gigabyte data misschien 1 kilobyte informatie weten te behalen in een uur tijd. Maar ja, met de terabytes aan data die ze verzamelen per dag en het feit dat ze 24/7 kunnen doordraaien levert hen desondanks heel veel informatie op. Dit even verder filteren en klaar. Het is gewoon de wiskunde van de grote aantallen…

      2. Pieterpiet, een instantie die het ingaande en het uitgaande verkeer bij een VPN provider kan observeren kan uit het verkeerspatroon achterhalen welke uitgaande verbinding bij welke inkomende connectie hoort. Daarvoor hoeft hij niets te decrypten, alleen maar netwerkpakketjes te tellen en pakketgrootte bij te houden. De NSA kan daarbij besluiten om bepaalde hosts meer in de gaten te houden dan anderen; ik verwacht dat anonieme VPN providers als Mullvad en TOR nodes hoog op de lijst staan. Terroristen gebruiken dergelijke sites om hun sporen te wissen (volgens de NSA.)

  5. Kijk eens naar wat er met Bradley Manning is gebeurd. Zelfs als je primaire publicatiekanaal je anonimiteit beschermt, dan kan je nog gepakt worden via secundaire kanalen; bijvoorbeeld als je met andere mensen over het lekken praat.

    Ik denk trouwens dat we niet alleen het vergroten van bescherming van klokkenluiders nodig hebben, maar ook het verminderen van bedreiging. Die bedreiging komt voor een deel van wetgeving die bedrijfsgeheimen en staatsgeheimen beschermt. Ik denk dat die wetgeving aangepast moet worden: de norm moet zijn dat bedrijven, en zeker overheden, geen geheimen hebben voor het publiek.

    1. Hear!Hear!

      Treurig dat we al te vaak juist een omgekeerde reflex zien. Zie het gespin met de kosten van raads- en parlementaire vragen, zie de voorbereidingen om Wob-mogelijkheden te beperken. En dat dan nota bene door nep-liberalen die als het om privacy-kwesties gaat doorgaans opmerken dat rechtschapenen “toch niets te verbergen hebben?”…

  6. Wat ik een beetje aan de site mis is wat ze zelf aan beveiliging doen.

    Nergens is te vinden wat ze wel/niet loggen, en/of hoe ze hun eigen servers beveiligen. Zelfs al zou ik tor+https gebruiken, mijn user agent string kan al een hoop blootgeven als deze gelogd wordt (Opera+Linux+wat plugins).

    Verder staat op de homepage het NRC genoemd, maar bij het uploaden van documenten is deze niet aan te klikken ( http://storage8.static.itmages.com/i/13/0910/h13788271019748727_5d0a6f2394.png ).

    Edit: Wel nog deze pagina gevonden: https://www.publeaks.nl/juridisch.html Ik vind het maar een vage pagina. “Stichting Publeaks is geen eigenaar van technologie of software en heeft geen toegang tot het systeem.”, dan wil ik graag weten wie er wel toegang hebben tot het systeem… Ook vind ik dat men wel heel makkelijk alle verantwoordelijkheid daar van zich afschuift, in plaats van juist op te komen voor de lekker.

    Verder suggereert Wikileaks dat mensen dingen lekken per post, omdat dat het hoogste niveau van anonimiteit zou bieden. Zou leuk zijn als publeaks daar ook iets mee deed.

  7. Ga alles contant betalen (dan valt het niet op dat je 100 euro uitgeeft aan contante aankopen t.b.v je lekproject). Koop een treinkaartje naar groningen/maastricht (contant uiteraard) Koop in groningen enveloppen, pen, postzegels en USB stick (bij de Hema) Wacht twee maanden (dan zijn de beveiligingsvideo’s van de hema echt wel gewist) Zet data op usb-stick (of DVD,, whatever), stop in envelop, plak voldoende (zelfklevende!) postzegels (uiteraard met handschoenen, mondkapje en muts aan). Ga weer naar groningen en post je enveloppen in een brievenbus in de buurt van de hema.

    Succes met traceren, anders dan via de data op de stick/dvd zelf.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.