Moet de overheid zerodays wel of niet gebruiken in de handhavings- en inlichtingendiensten?

| AE 12832 | Regulering | 7 reacties

qimono / Pixabay

Op Twitter las ik deze inhaker op een NRC-column van jurist Vincent de Haan over gebruik van zero-days. “Zonder 0days wordt onze overheid nog machtelozer online dan ze nu al zijn en dat kunnen we ons niet veroorloven. Als de overheid niet digitaal kan optreden loopt onze privacy en veiligheid een groot gevaar”, aldus Ronald Prins daar. Daar stelde De Haan dus tegenover “Met behulp van [zerodays] houden autoritaire regimes journalisten, activisten en advocaten in de gaten. … Maar we moeten ons realiseren dat de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is.”

Een zeroday is security-jargon voor een kwetsbaarheid waarvan misbruik te maken is, maar die nog niet bekend is bij de maker van de software of dienst. (De etymologie is wat vaag maar lijkt afkomstig uit de warez scene waar het ging over de zeer prestigieuze actie om gekraakte software dezelfde dag als het origineel te publiceren. Het heeft dus niet perse te maken met dat de bug zero days geleden ontdekt of gemeld is of iets dergelijks.)

Wie een dergelijke kwetsbaarheid heeft, kan bij de betreffende software inbreken en bijvoorbeeld gegevens aftappen, eigen software (zoals spyware) installeren of wat je maar zou willen doen. Dat is voor criminelen aantrekkelijk maar ook voor opsporings- en inlichtingendiensten die op die manier interessante personen kunnen volgen. Of dus journalisten kunnen volgen en dan arresteren wanneer deze al te irritant worden. Zoals bij de Pegasus-software, waar deze heisa mee begon.

Het punt is dan dat overheden niet perse zelf kwetsbaarheden gaan ontdekken, maar deze ook op de vrije markt gaan inkopen. En vooral, dat die overheden vervolgens de makers niet informeren maar het gat lekker laten bestaan:

Het Pegasusschandaal is immers precies waarvoor gevreesd werd bij de invoering van de hackbevoegdheid: onschuldige mensen worden gehackt met kwetsbaarheden die bij de overheid reeds bekend waren, maar die voor het gemak van het boevenvangen niet gedicht zijn.
Prins stelt daar tegenover dat “Als duidelijk is dat 0days misbruikt worden door criminelen of andere staten moeten ze onmiddellijk gemeld worden. In het algemeen geldt dat software altijd meerdere kwetsbaarheden zal hebben. Het melden van niet gebruikte 0days maakt een product niet significant veiliger”. Dat is natuurlijk waar, maar waar het om gaat is of het ethisch is dat de overheid weet van grote kwetsbaarheden en die dan voor zich houdt omdat ze die nodig heeft voor de inlichtingen- en veiligheidsdiensten.

Natuurlijk kun je dan zeggen, als die dit nodig hebben dan is dat in het landsbelang. Maar het is nooit zo dat een dergelijk gat alléén bekend is bij de AIVD, zeker niet als het op de vrije markt is ingekocht. Want reken maar dat zo’n bedrijf diezelfde informatie verkoopt aan wie dan ook, dus de criminelen hebben dit snel genoeg te pakken. Is het dan niet juist je maatschappelijke plicht als overheid om deze lekken zo snel mogelijk dicht te krijgen?

Arnoud

Vrouw staat vaker voor dichte deur bij gemeenteportaal dan man

| AE 12744 | Innovatie | 51 reacties

Vrijwel standaard hebben alleen mannen bij gemeenten toegang tot belangrijke privégegevens over hun huishoudens, las ik bij de Stentor. Dat blijkt uit onderzoek van de krant. Steeds vaker schuiven gemeentes burgers naar online portalen voor persoonlijke informatie, belastingaanslagen (hond, huis), heffingen (riool, reiniging) en betalingsafspraken. Detail: slechts een persoon per huishouden (de belastingplichtige) krijgt toegang en dat de gemeente bepaalt wie dat is. Die keuze is onder meer gebaseerd op ‘veronderstelde betalingscapaciteit, doelmatigheid en doeltreffendheid van heffing en invordering’. Vandaar: de man.

Oké, dat was flauw. Afgezien van Staphorst (serieus) maakt geen gemeente de bewuste keuze om de man in een huishouden als enige de toegang tot de gezamenlijke belastinginformatie en dergelijke te geven. Er is gekozen voor toegang door één persoon, en daarbij wordt per gemeente een voorkeursvolgorde ingesteld. Voorheen stond “de man” daarbij als een van de criteria, maar dat is al even weg (behalve dus in Staphorst):

In de model-beleidsregels van de VNG voor het aanwijzen van een belastingplichtige is de gemene deler in de volgorde van kiezen nu zo: degene die het meeste eigendom heeft, een natuurlijk persoon boven een niet-natuurlijk persoon en de oudste ingeschrevene op het adres.
U mag nu even alle samenwonenden in uw omgeving langs deze lat leggen: wedden dat bij 80% of meer daarvan de man hier uit komt? In de meeste relaties is het huis of van de man of gezamenlijk en is de man ouder dan de vrouw. Een mooi voorbeeld van onbewuste bias zoals we die ook in de AI kennen: niemand bedóelt dat de man als enige die gegevens moet kunnen beheren, het komt alleen er zo uit (meestal) en omdat niemand heeft nagedacht dat dat onwenselijk is, is er dus geen procedure om dit eerlijker te maken:
Ook al ben je geboren en getogen in deze gemeente, en al 33 jaar getrouwd met dezelfde partner, woon je al die tijd samen in een huis dat gemeenschappelijk eigendom is en betaal je keurig op tijd de rekeningen, als jij de uitverkorene niet bent, is het systeem niet aardig tegen je en meldt het doodleuk: de ingelogde gebruiker is niet bekend.
Wat is dan wel de reden? Het lijkt een IT-keuze te zijn geweest, maar er zit iets juridisch achter. Beschikkingen zoals een aanslag onroerendezaakbelasting moeten op naam gesteld worden, je kunt niet aan “de familie Ten Brink” een aanslag richten want juridisch bestaat niet. Juridisch gezien hebben we op de Terwekselsestraat 1 de burgers Wim en Kornelia Ten Brink wonen, die een gedeelde huishouding hebben. Aan twee personen dezelfde aanslag uitreiken leidt tot gedoe zoals dubbele betalingen (of erger nog: burgers die gaan klagen dat ze twee keer moeten betalen). Daarom is zo veronderstel ik het IT-systeem ontworpen met een keuze welke van de twee burgers aangeslagen wordt.

Ja, ik zou ook denken dat enkel kíjken naar de status van een en ander geen probleem moet zijn. Je weet via de BRP of mensen gehuwd/GP zijn, en dan kun je ze (na inloggen met DigiD) toegang geven tot de informatie waartoe ze gerechtigd zijn. Je zou dan zelfs iets kunnen bouwen waarbij de eerste van het stel die de aanslag ‘pakt’ als enige ermee verder mag, of een algemene keuze inbouwen “wie van u gaat de financiën doen”. Maar dat is complex en vereist vele, vele koppelingen en dubbelchecks. Weinig dingen zo vervelend als dergelijke IT-projecten. Dus ik snap wel dat gemeenten kiezen voor de iets simpeler oplossing van zelf iemand aanwijzen.

Arnoud

Gemeenten zouden op grote schaal burgers bespieden op sociale media

| AE 12672 | Regulering | 10 reacties

Nederlandse gemeenten zouden op grote schaal meekijken met burgers op sociale media, zo las ik bij Nu.nl (op gezag van dit rapport). Controversieel is dat de gemeente onder meer nepaccounts gebruikt, terwijl dit niet zou zijn toegestaan. “Een methode die alleen politie en inlichtingendiensten onder strikte voorwaarden mogen inzetten”, aldus de nieuwssite. En dat terwijl 95 procent van de ondervraagde ambtenaren zegt dat hun gemeente aan online monitoring van burgers doet, en 54% dat er geen beleid op is. Hoe zit dat juridisch?

Het klopt dat politie en inlichtingendiensten alleen onder strikte voorwaarden undercoveroperaties mogen uitvoeren. En ja, met dat grote woord omschrijven we ook het aanmaken van nepaccounts om mensen online te volgen terwijl ze zich onbespied waren. Waarmee niet gezegd is dat ieder account van een agent automatisch een undercoveroperatie is: met een Instagram-account rondkijken naar “toegankelijk voor alle ingelogde gebruikers”-content is bijvoorbeeld geheel legaal. Het gaat om dingen als vrienden worden met mensen, in besloten groepen toegelaten worden of in privéconversaties dingen vernemen van mensen.

Die strenge regels zijn er omdat in het strafrecht de belangen groot zijn, en de zorgen over machtsmisbruik ook. Bij gemeentes is er de complicatie dat dit geen strafrecht is maar bestuursrecht, en daar zijn de regels vaak net even anders. Er is bij mijn weten in de Algemene Wet Bestuursrecht geen verbod op het undercover vergaren van inlichtingen. Helaas staat er ook niet expliciet dat het wél mag, behalve dan de generieke zin dat de opsporingsambtenaar bevoegd is “elke plaats te betreden met uitzondering van een woning zonder toestemming van de bewoner.” Ook moet iedereen meewerken en inlichtingen geven.

Het rapport wijst echter op een veel directer conflict: zo’n elektronisch volgen en monitoren is een vorm van elektronisch verwerken van persoonsgegevens die onder de AVG valt. En sterker nog, die verboden is onder de AVG omdat het door een overheidsorgaan gebeurt. Er is immers geen specifieke wettelijke regeling die het toelaat, zodat de grondslag onder de AVG ontbreekt. (De grondslag van het legitiem belang mag een overheidsorgaan niet gebruiken bij uitoefening van haar openbare taak.)

Er blijken ook gemeentes te zijn die de data bij een extern bedrijf inkopen. Ik lees dan de bekende idioterie dat “dit niet onder de privacywet valt omdat het om openbare gegevens gaat” of dat zo’n bedrijf een legitiem belang kan claimen bij haar bronnenonderzoek. Dat is gek maar doet voor de gemeente niet af dat zij voor verwerking van zulke gegevens een wettelijke grondslag nodig heeft.

Tot mijn (positieve) verbazing sluit het rapport dan zo af:

Binnen gemeenten wordt gemonitord om redenen die volstrekt begrijpelijk zijn, gelet op de juridische positie van de burgemeester en de maatschappelijke positie van de gemeente. Veel van de juridische eisen lijken in de praktijk nageleefd. Dat is niet vanwege kennis van een concreet juridisch kader. Want maar 21% van de medewerkers vindt het juridisch kader duidelijk. Toch lijken intuïtief of op basis van ethische overwegingen veel zaken goed te gaan. Zo worden er volgens respondenten in beperkte mate dossiers bijgehouden, zijn medewerkers terughoudend in het ‘doorklikken’ op profielen en geven ze aan dat ze voor online monitoring nooit (40%) of beperkt gebruikmaken van privéaccounts (38%) en nooit (67%) of beperkt gebruikmaken van nepaccounts (13%).
De zorg is wel dat gemeente denken “We hebben de mensen, we hebben de middelen, het lijkt te werken, en dus gebruiken we het.” Slechts één op de zes gemeenten betrekt de functionaris gegevensbescherming bijvoorbeeld bij monitoring. Dat kan dus grote problemen opleveren, inclusief schadeclaims door mensen die onterecht bekeken of gevolgd zijn. (Nog los van de praktische problemen zoals nepaccounts, of mensen die ‘grappig’ doen door bijvoorbeeld nepdrugs of zogenaamd de nieuwe auto te laten zien.)

Dit moet dus beter: een wettelijke regeling lijkt me zeker een goed idee. Mij is niet helemaal duidelijk waarom het rapport zegt dat dit niet in de APV mag maar een wet in formele zin vereist (een wet aangenomen door het parlement), volgens mij eist de AVG alleen dat er een wéttelijke regeling is en de APV is materieelrechtelijk gewoon een wet. Maar het is natuurlijk in ieder geval de beste route als de rijksoverheid de kaders stelt waarbinnen gemeenten mogen opereren, lijkt me.

Arnoud

 

Raad van State: Tweede Kamer hoeft broncode van debat-app niet openbaar te maken

| AE 12600 | Informatiemaatschappij | 1 reactie

De Tweede Kamer hoeft de broncode van de Debat Direct-app definitief niet openbaar te maken, meldde Tweakers donderdag. Dit is de einduitspraak in die zaak van laatst, waarin een IT’er al sinds 2018 probeert toegang te krijgen tot de broncode van de Debat Direct app van het parlement. De Raad van State oordeelt nu dat dit… Lees verder

Ombudsman over probleem etnisch profileren: draai bewijslast om

| AE 12589 | Informatiemaatschappij, Regulering | 81 reacties

De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren, las ik bij deze onafhankelijke instantie. De meest opmerkelijke uitkomst, volgens RTL, is het idee van de bewijslast omdraaien bij etnisch profileren. De burger mag verwachten, aldus het rapport, dat de overheid kan uitleggen op basis waarvan hij geselecteerd is en in… Lees verder

Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

| AE 12155 | Informatiemaatschappij | 21 reacties

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke… Lees verder

Keurig betaald met de parkeer-app en toch een bekeuring

| AE 12132 | Privacy | 30 reacties

Twee jaar geleden parkeerde rechtenhoogleraar Corien Prins haar auto in de Utrechtsestraat in het centrum van Tilburg, zo opende NRC een juridisch artikel. Ze betaalde met haar parkeer-app, die aangaf dat ze daar een uur mocht staan. Maar dat bleek niet te kloppen en ze kreeg een boete. Ja mevrouwtje, zo gaat het verhaal dan,… Lees verder

Politiek wil waakhond op algoritmes, maar ik heb liever een keurmerk voor de trainingsdata

| AE 11336 | Innovatie | 14 reacties

De Nederlandse politieke partijen D66 en CDA roepen het kabinet dinsdag in een motie op toezichthouder op te zetten die het gebruik van algoritmes bij de overheid in de gaten houdt. Dat las ik bij Tweakers maandag. De macht van algoritmes is een steeds grotere angst aan het worden: ze zijn niet transparant, ze kunnen… Lees verder

Overheidssites scheppen verwarring met cookies van Google Analytics

| AE 11206 | Privacy | 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren,… Lees verder

Rechter oordeelt dat Trump op Twitter geen gebruikers mag blokkeren

| AE 10610 | Informatiemaatschappij | 40 reacties

President Donald Trump mag op Twitter geen gebruikers blokkeren, omdat dit in strijd is met de Amerikaanse grondwet. Dat meldde Nu.nl vorige week. “Op die manier wordt de vrijheid van meningsuiting daadwerkelijk, hoewel bescheiden, ingeperkt. Meer is er niet nodig om de grondwet te schenden.” aldus de rechtbank. Wanneer de overheid immers de burger toegang… Lees verder