De Grand Prix vindt plaats te midden van milieuprotesten in Zandvoort, 5 september. Politiemensen besturen drones van het Chinese bedrijf Da Jiang Innovations (DJI) © Pierre Crom / Getty Images

Naast het Amsterdamse Westerpark is de protestmars Unmute Us! een waar festival geworden. Hardstyle-fans staan te hakken en vogue-dansers maken hun poses; verderop woelt zelfs een moshpit. Karren met dj’s erop rijden langs met hun schare fans erachteraan, voor ieder een eigen dreun en dans.

Aan de rand van de hossende mensenmassa, afgezet met rood-wit lint, staat een politieagent geconcentreerd op een scherm te kijken dat met een tuigje op zijn buik hangt; zo’n negentig meter boven hem zweeft een ‘politiedrone’. De agent-piloot wijst op de getallen die langs de randen van het scherm staan: ‘Hier zie je alle informatie: de hoogte, de scherpte van het beeld, de zoomfunctie en de gps’, in de linkerbovenhoek staat het merk: dji.

De stoet van mensen en muziekwagens danst langzaam uit beeld en verplaatst zich langs het park in de richting van het centrum van de stad. De drone blijft hangen tot de laatste demonstranten uit beeld zijn. ‘We sturen de beelden direct door naar meldkamer van de politie’, zegt de dronepiloot, ‘maar ook de burgemeester kan op deze manier live meekijken. Als er wat misgaat, kunnen ze sneller in actie komen.’ Met een zoemend geluid landt de drone op zijn poten, de propellers komen langzaam tot stilstand. De agenten pakken hem in en haasten zich richting het eindpunt van de protestmars, om hem daar snel weer op te laten stijgen.

Alleen dit jaar al zette de Nederlandse politie ruim duizend keer een drone in, de vloot bestaat uit meer dan honderd exemplaren. Ze worden ingezet voor het bewaken van de openbare orde, maar bijvoorbeeld ook ter ondersteuning van opsporing. Zo vloog er op de avond van de aanslag op Peter R. de Vries een drone over de plaats delict. Tijdens de lockdown zweefde er een politiedrone met een megafoon boven de bollenvelden om dagjesmensen eraan te herinneren afstand te houden. Ook organisaties als Rijkswaterstaat en de NS gebruiken drones, bijvoorbeeld voor inspecties. Allemaal vliegen ze met toestellen van hetzelfde merk, het Chinese Da Jiang Innovations (dji).

dji is een miljardenbedrijf en marktleider op het gebied van commerciële drones. Hun apparaten zijn goedkoop, gebruiksvriendelijk en voor iedere hobbyist of professional bestuurbaar via een app op smartphone of tablet. Maar het bedrijf heeft ook een ander gezicht, blijkt uit onderzoek van Platform Investico voor Trouw, De Groene Amsterdammer en EenVandaag. Verschillende internationale onderzoeken lieten de afgelopen jaren datalekken en achterdeuren in de software van dji zien: de apps verzamelden bijvoorbeeld grote hoeveelheden persoonsgegevens en stuurden die naar Chinese servers. Daarnaast konden hackers live meekijken met de dronecamera. Als groot Chinees bedrijf is dji bovendien bij Chinese wet verplicht om data te delen met de Chinese overheid; in 2016 gaf het bedrijf al toe bereid te zijn dat te doen.

Opmerkelijk is dat het Nederlandse ministerie van Defensie het te riskant vindt om dji-drones te gebruiken voor operationeel optreden. Het risico dat de Chinese overheid inzage heeft in de data is te groot, zegt Defensie. Het Amerikaanse leger kwam in 2017 ook tot die conclusie. Desondanks koopt de politie alleen maar meer dji-drones in. Experts zeggen dat overheidsorganisaties voorzorgsmaatregelen moeten treffen om te voorkomen dat gevoelige data in de handen van de Chinese overheid terechtkomen. Toch stelt de politie dat ze ‘niet kan uitsluiten dat dronedata op Chinese servers belanden’.

De angst voor het weglekken van gevoelige data speelt niet alleen bij drones, maar ook bij andere technologie uit China. Des te schrijnender is dat China zelf veel van die technologie inzet om minderheden te onderdrukken. Zo houden dji-drones ook gevangen Oeigoeren in de gaten.

‘Ik was echt verbaasd over de hoeveelheid data die dji verzamelt’, zegt Tiphaine Romand-Latapie. Ze is cybersecurity-onderzoeker bij Synacktiv, een Frans bedrijf dat organisaties helpt met hun digitale beveiliging, maar ook op eigen houtje hard- en software onderzoekt op kwetsbaarheden. ‘dji heeft geen beste reputatie wat betreft dataveiligheid’, zegt ze, ‘dus hebben we vorig jaar onderzocht waar al die dronedata naartoe gaan.’

Drones bestaan in allerlei soorten en maten. Amerikaanse Reaper-drones zijn bijvoorbeeld onbemande gevechtsvliegtuigen volgehangen met raketten. dji-drones zijn een stuk vreedzamer: in essentie zijn het kleine onbemande helikopters met een camera eronder. Maar tijdens het vliegen verzamelt zo’n drone niet alleen camerabeelden, de computer slaat ook allerlei data als de vlieghoogte en gps-coördinaten op. De drone wordt bovendien bestuurd via een app die op een telefoon, tablet, of controller van dji staat, legt Romand-Latapie uit. ‘De kwetsbaarheid zit dus niet alleen bij de drone zelf, maar vooral bij de app die hem bestuurt: alle data gaan daar doorheen.’ dji heeft twee verschillende apps: eentje voor recreatieve en eentje voor professionele gebruikers. Van allebei onderzochten Romand-Latapie en haar team hoe ze in elkaar zitten, en welke verbindingen ze maken met de buitenwereld.

Daarbij viel op dat de dji-app voor recreatieve gebruikers – de zogeheten dji GO-app – grote hoeveelheden data verzamelde en naar servers van Chinese bedrijven stuurde. ‘Dat ging van de helderheid van het telefoonscherm tot het serienummer van de sim-kaart en dat van alle andere telefoons in hetzelfde wifi-netwerk.’ Dat geldt dus voor iedere hobbyist die een drone in de winkel koopt. ‘Als gebruiker heb je geen idee dat die persoonlijke gegevens worden verzameld, en dji heeft die ook helemaal niet nodig om een drone goed te laten vliegen.’

‘Zowat elk jaar is er wel weer een nieuw bericht over datalekken bij DJI’

En dat was niet de enige achterdeur die de cybersecurity-experts vonden. Zowel de recreatieve als de professionele app bevatte een mechanisme dat allerlei andere software op de telefoon kan installeren zonder dat de gebruiker het doorheeft. ‘Dat is echt gevaarlijk, dji krijgt zo in potentie toegang tot alles op dat toestel’, zegt Romand-Latapie.

Bovendien was die mogelijkheid in de app bewust aan het zicht onttrokken: de onderzoekers moesten zich eerst door een doolhof van digitale versleuteling worstelen voordat ze de achterdeurtjes konden zien. ‘Dat maakt het extra verdacht’, zegt Romand-Latapie. ‘In theorie zouden dit ontwerpfouten kunnen zijn, maar waarom dan zoveel moeite doen om ze te verbergen?’ Synacktiv vond geen bewijs dat dji de achterdeurtjes ook heeft gebruikt, zegt ze. Maar waarom zou je een doolhof aanleggen, als je geen weet hebt van de deur die erachter zit?

Een ander cybersecurity-bedrijf verifieerde de resultaten van de Franse onderzoekers en kwam tot dezelfde conclusie. Volgens dji ging het om ‘typische softwareproblemen’, het bedrijf noemde de bevindingen van Synacktiv later ‘misleidend en overdreven’. Romand-Latapie schudt haar hoofd: ‘De functies die we vonden werden wel prompt verwijderd. En zelfs als het een ontwerpfout is, dan is het niet de eerste fout. Zowat elk jaar is er wel weer een nieuw bericht over datalekken bij dji.’

Beeld van een DJI-drone in West-China, 2019. Volgens deskundigen gaat het om een gevangenentransport van Oeigoeren

Al in 2017 kreeg de Amerikaanse cybersecurity-onderzoeker Kevin Finisterre toegang tot de servers van dji en hij vond daar onversleutelde vluchtgegevens en identiteitsbewijzen van gebruikers. Bovendien vond ook hij een functie in de dji-app om software te kunnen installeren zonder de toestemming van de gebruiker, vergelijkbaar met de ontdekking van de Franse onderzoekers. ‘Als het bedrijf ervoor kiest om dat te gebruiken, kunnen ze de gebruiker daarmee langdurig monitoren’, zegt hij.

In 2018 vonden onderzoekers van het Amerikaans-Israëlische IT-beveiligingsbedrijf Check Point dat de cloud van dji gemakkelijk te hacken was. ‘Hackers konden via het dji-platform de accounts van gebruikers kapen en live meekijken met de dronecamera’s. En bovendien konden we allerlei gevoelige gegevens inzien, van creditcarddata tot de opnamen die de drones bij eerdere vluchten hadden gemaakt’, zegt Oded Vanunu, die het onderzoek leidde. Het risico was hier niet zozeer dat dji toegang had tot al die gegevens, legt hij uit, maar dat iemand van buiten daarbij zou kunnen. ‘Bijvoorbeeld hackers die weer voor een andere overheid werken.’ Een aantal maanden nadat de onderzoekers de kwetsbaarheid aan dji meldden, loste het bedrijf de problemen op.

Vanunu komt dit soort kwetsbaarheden wel vaker tegen, zegt hij, ook in andere sectoren. Maar dronedata kunnen veel gevoeliger zijn dan bijvoorbeeld iemands browsergeschiedenis. ‘Kwaadwillenden kunnen hiermee inzicht krijgen in vitale processen in een land.’ dji maakt kwalitatief goede drones, benadrukt hij. Maar als overheidsorganisaties als de Nederlandse politie deze drones operationeel willen inzetten, moeten ze ingrijpende voorzorgsmaatregelen treffen. Allereerst moeten ze eigen servers hebben waarop dit soort data wordt opgeslagen. En om zeker te weten dat er geen data weglekken, moeten ze eigenlijk hun eigen besturingsapp ontwikkelen, zodat je niet afhankelijk bent van dji-software. Dat doen politiekorpsen in andere landen ook.’

De Nederlandse politie doet dat niet. Ondanks herhaalde verzoeken tot een gesprek is de politie niet bereid om de afwegingen voor het gebruik van dji aan ons toe te lichten. De lange lijst schriftelijke vragen wordt op de valreep met korte antwoorden teruggestuurd. Allereerst zegt de politie geen drones te gebruiken voor ‘afgeschermde operaties’: ‘Soms zetten we om die reden een helikopter in.’

De politie gebruikt daarnaast dus geen eigen apps, maar de software van dji. Bovendien zegt ze ook gebruik te maken van de GO-app: in die app, dezelfde als van iedere huis-tuin-en-keuken-hobbyist, vonden de onderzoekers de grootste datalekken. De politie kan dan ook ‘niet uitsluiten dat data op Chinese servers belanden. We zijn ons bewust van dit risico.’ Versleuteling van de beelden moet ervoor zorgen dat die data niet verder weglekken.

dji laat in een schriftelijke reactie weten dat al hun producten veilig zijn, ook hoeven gebruikers volgens dji geen data te delen, ook niet met dji zelf. Over kritische onderzoekers die iets anders vinden, zegt dji: ‘Hun conclusies zijn simpelweg onwaar.’ dji wijst op verschillende onderzoeken die stellen dat de dronedata wel veilig zijn en zegt de uitdaging om ‘bugs’ op te sporen ‘openhartig’ te zijn aangegaan. Het bedrijf doet geen uitlatingen over de afspraken met de Nederlandse politie. Overheden kunnen volgens dji overigens gebruik maken van een speciale overheidsdrone, waarbij de data éxtra beveiligd zouden zijn. De Nederlandse politie gebruikt deze overheidseditie niet.

De politie kan ‘niet uitsluiten dat data op Chinese servers belanden’

Via een woordvoerder zegt de politie te hebben kennisgenomen van de verschillende internationale onderzoeken naar kwetsbaarheden van de dji-drones, maar vaart liever op haar eigen expertise: ‘Tot nu toe hebben wij geen datalek vastgesteld.’ Alleen als de politie inderdaad zelf een lek vindt, zegt ze het contract met dji te kunnen ontbinden. De politie vliegt al sinds 2016 met dji, dit jaar begon een gegevens-effectbeoordeling om de risico’s in kaart te brengen. Zolang die nog in behandeling is, kan de politie er verder niets over zeggen.

‘Bescherming van persoonsgegevens is al langer een probleem bij de politie’, zegt Rejo Zenger van Bits of Freedom, een stichting die opkomt voor digitale burgerrechten. Zo publiceert de politie beelden van bodycams herleidbaar tot slachtoffers. Ook werd onlangs duidelijk dat camera’s voor kentekenregistratie gebruikt werden voor gezichtsherkenning. ‘Dat hadden ze van mijlenver moeten zien aankomen, maar de politie is toch iedere keer weer verbaasd als het misgaat. De politie experimenteert graag met nieuwe technologie, maar ziet de problemen pas als ze erop gewezen worden.’

Het ministerie van Defensie gebruikt in ieder geval geen dji-drones voor operationeel optreden, laat een woordvoerder weten: ‘De data zijn vaak niet afgeschermd, en staan meestal op servers in China. De eigenaren kunnen worden verplicht om data te leveren aan de Chinese overheid.’ Ook de Amerikaanse overheid neemt het zekere voor het onzekere en houdt sinds 2020 de dronevloot van dji aan de grond. De Japanse regering heeft vergelijkbare plannen.

De Chinese overheid zal niet per se geïnteresseerd zijn in drone-informatie over coronaprotesten, zegt Patrick Bolder die voor onderzoeksinstituut The Hague Centre for Strategic Studies militaire toepassingen van drones onderzoekt. ‘Maar alles is mogelijk op het gebied van cyber, en de Chinezen zijn daar goed in. Daar moeten we niet naïef over zijn.’ Ook Rijkswaterstaat gebruikt bijvoorbeeld deze drones om de Deltawerken mee te inspecteren. ‘Nederland is heel erg afhankelijk van de waterwegen’, zegt Bolder. ‘Je wil niet dat een potentiële tegenstander als China precies weet welke sluis of brug ze bijvoorbeeld via een cyberaanval uit moeten schakelen om de scheepvaart te blokkeren.’

‘Ik ken geen gevallen waarin China informatie verzamelde om kritieke infrastructuur in andere landen kapot te maken’, zegt Frans-Paul van der Putten, coördinator van het China Centre van onderzoeksinstituut Clingendael. ‘Maar je weet niet welke waarde zulke kennis in de toekomst heeft.’ Vooralsnog doet China volgens Van der Putten vooral aan industriële spionage, om zo een concurrentievoordeel te krijgen ten opzichte van het Westen.

Zo berichtte de Volkskrant eerder dit jaar dat het Chinese telecombedrijf Huawei vrije toegang had tot de telefoongesprekken van alle klanten van kpn Mobiel. Het bedrijf ontkent alle aantijgingen van spionage, maar wordt door de Nederlandse overheid definitief geweerd ‘uit de kern van het telecomnetwerk’. In februari van dit jaar uitten veiligheidsdeskundigen in Het Financieele Dagblad zorgen over de scanapparatuur die op Schiphol en in de Rotterdamse haven wordt gebruikt voor de controle van containers en bagage. De scanners zijn geproduceerd door het Chinese staatsbedrijf Nuctech, dat volgens deskundigen data deelt met de Chinese overheid.

Het ontbreekt aan duidelijke, overheidsbrede, criteria om te beslissen om wel of geen Chinese technologie in te kopen, constateert Van der Putten. In 2019 schreef het ministerie van Buitenlandse Zaken in de notitie ‘Nederland-China, een nieuwe balans’ dat Chinese economische activiteiten een risico kunnen vormen voor de nationale veiligheid, maar veel specifieker wordt het niet. Maar kun je eigenlijk wel van organisaties als de politie of Rijkswaterstaat vragen om zulk soort afwegingen te maken? Hoe moet de afdeling Inkoop van de politie de voordelen van het gebruik van dji afwegen tegen de risico’s voor de nationale veiligheid? ‘Dat geldt niet alleen voor drones’, zegt Van der Putten, ‘maar voor allerlei soorten technologie die data verzamelt.’

In 2019 lekken dronebeelden uit van grote groepen geboeide, geblinddoekte mensen die geknield op de grond zitten, omringd door bewakers. De beelden zijn gemaakt in de West-Chinese provincie Xinjiang, volgens deskundigen gaat het om een gevangenentransport van Oeigoeren of andere moslimminderheden. De Chinese overheid heeft in Xinjiang een ongeëvenaard surveillancesysteem opgezet. Naar schatting een miljoen Oeigoeren zitten opgesloten in concentratiekampen om ze te ‘heropvoeden’. Voormalige gevangenen vertellen verhalen over systematische verkrachtingen en gedwongen sterilisaties. In de linkerbovenhoek van de gelekte dronebeelden staat een logo: dji.

De Amerikaanse overheid zette dji eind 2020 op een zwarte lijst vanwege medeplichtigheid aan het onderdrukken van de Oeigoeren. Amerikaanse bedrijven mogen geen componenten meer verkopen aan dji. Op de vraag hoe de politie de mogelijke bijdrage aan de onderdrukking van minderheden in West-China heeft meegenomen in de overweging om dji aan te schaffen, is het antwoord kort: ‘Niet’.

Het is kenmerkend voor de spagaat waarin westerse overheden zitten. Lang was het Westen blij met China als de ‘fabriek van de wereld’. Maar ondertussen financiert zij met het kopen van Chinese surveillancetechnologie ook de schending van mensenrechten. dji is niet het enige bedrijf waarbij dit dilemma speelt. Zo bleek eerder dit jaar het Europees Parlement vol te hangen met camera’s en temperatuurmeters van het Chinese bedrijf Hikvision, dat ook de bewakingscamera’s levert voor de West-Chinese strafkampen. En telecombedrijf Huawei zou volgens The Washington Post gezichtsherkenningssoftware hebben getest die bij een Oeigoers uitziend gezicht een automatisch alarm naar de Chinese veiligheidsdiensten stuurde.

‘We weten nog steeds niet wat we willen met China’, zegt Clingendael-onderzoeker Van der Putten. ‘Is het een concurrent, een tegenstander, of zelfs een vijand? De Nederlandse overheid heeft daar geen duidelijk idee over. En de EU eigenlijk ook niet.’