Privacy op het wereldwijde web

www.Stasi.com

Juist fanatieke gebruikers maken zich géén zorgen over privacy op internet, terwijl de digibeten roepen om controles. ‘Geef me vijf minuten en ik weet hoe je eruitziet, waar je woont en of je getrouwd bent.’

OP DE AVOND van 2 februari 2008 verzamelde zich een woedende menigte voor een appartementencomplex in het Friese Drachten. De website 112 had gemeld dat Joran van der Sloot zich daar zou ophouden en het SBS-televisieprogramma Hart van Nederland had het bericht overgenomen. Het was een onzinverhaal, maar de meute kwam niet tot bedaren voordat een volstrekt onschuldige bewoner ernstig was bedreigd en de eigenaar van het pand een particuliere beveiligingsdienst had ingeschakeld om verdere ongelukken te voorkomen.
Sinds het World Wide Web en de mobiele telefonie en fotografie integraal deel van ons bestaan uitmaken, regent het grote en kleine incidenten van deze aard. Een bijkomend nadeel is dat misverstanden die door de ‘snelle’ media worden verspreid slechts buitengewoon traag of helemaal niet meer uit de wereld kunnen worden geholpen. Dat ervoer cabaretier Pieter Bouwman, wiens Amsterdamse woning in 2007 in brand vloog. Bij het onderzoek van de gebluste woning trof de politie naar eigen zeggen 'kinderporno’ op zijn laptop aan. Het bericht vond binnen twee dagen zijn weg naar talloze websites door toedoen van mensen die ofwel een hekel aan Bouwmans theateropvatting hadden, ofwel graag hun morele verhevenheid boven de Amsterdamse grachtengordel wilden etaleren. Met als gevolg dat de cabaretier dag en nacht werd lastiggevallen door wraaklustige onbekenden en bovendien door een deel van zijn vrienden en collega’s werd uitgekotst. De beschuldiging is inmiddels ingetrokken en de zaak geseponeerd, maar dat gegeven wordt niet op de vernoemde sites vermeld.
Het zijn zomaar twee voorbeelden van imagobeschadiging waarbij het internet dient als vliegwiel voor onjuiste berichtgeving. En dat lot kan elke internetgebruiker treffen. Wie eenmaal met naam en toenaam op het web voorkomt, kan volledig buiten zijn eigen schuld in zijn privacy worden aangetast of straffeloos in verband worden gebracht met misdaad, bedrog en andere onoirbare praktijken. Het plaatsen van een opmerkelijke illustratie in zijn Hyves- of Facebook-profiel kan iemand al zijn baan of sollicitatie kosten. Kwaadwillige journalisten en internetcriminelen, maar ook rancuneuze vrienden en buren hebben vrij spel bij het uitspitten van iemands privé-leven. Zo plaatste een scholier uit Westmaas nietsvermoedend een foto van een oudejaarsvuur op zijn Superdudes-profiel. Tot zijn verbijstering werd hij vervolgens op de website GeenStijl beschuldigd van brandstichting en met zijn naam, foto en andere persoonlijke gegevens als 'de vandaal van Westmaas’ aan de schandpaal genageld. Rectificatie bleef uit, ook toen de Raad voor de Journalistiek oordeelde dat de privacy van de jongen volkomen onterecht was aangetast.
'Privacy is dood, wen er maar aan’, schijnt topman Scott McNealy van Sun MicroSystems al meer dan tien jaar geleden te hebben uitgeroepen. Hij doelde in de eerste plaats op bedrijven die individuele of geaggregeerde gegevens van internetgebruikers verzamelen. Zoekopdrachten, websitebezoek en internetaankopen van computergebruikers worden routinematig opgeslagen en gecombineerd met IP-gegevens, mobiele-telefooncoördinaten, gegevens van creditcards, kortingspassen enzovoort. Met die gegevens bouwen zoekmachines, adverteerders en privé-snuffelaars profielen van gebruikers op. In veel gevallen zijn die profielen gemakkelijk te herleiden tot de individuele gebruiker. Uiteraard kunnen kwaadwillige derden daarvan ook gebruik maken. Of ze stellen zelf zo'n profiel samen. Het web is, in de treffende woorden van de voormalige Limburgse rechercheur en huidige internetbeveiligingsexpert Wilfred van Roij, een 'voor iedereen toegankelijk Stasi-archief’ geworden.
Misschien wordt het tijd voor een soort internationale 'internetgrondwet’ waarin het recht op privacy is vastgelegd, al is het de vraag of de handhaving daarvan zelfs maar minimaal kan worden afgedwongen. Jeff Jarvis, docent journalistiek in New York en auteur van de bestseller What Would Google Do?, pleitte op het recente innovatiefestival PICNIC in de Amsterdamse Westergasfabriek als eerste voor zo'n grondwet. Helaas is zijn initiatief vooral geboren uit de wens om het internet te beschermen tegen overheden en onnodige regelgeving, niet om individuele gebruikers te beschermen tegen elkaar. Jarvis omarmt het chaotische, in zekere zin wetteloze karakter van de virtuele ruimte: 'Het internet is een rommeltje, net als het leven zelf.’ Maar hij gelooft ook in het vermogen tot zelfregulering van de 'internetsamenleving’. Hij denkt meer aan een soort 'Bill of Rights’, een verzameling regels voor het internetverkeer die door de deelnemers zelf worden uitgewerkt en gehandhaafd, niet door overheden of bedrijven. Daarin moeten onder meer het recht op vrije meningsuiting, het recht van vergadering en het recht op vrije informatiegaring worden vastgelegd. Over het recht op privacy laat Jarvis zich ook na mijn aandringen niet uit. Is dat volgens hem dan geen grondrecht?
Voorlopig kunnen we beter vertrouwen op de rechten die we ontlenen aan onze echte, papieren grondwetten, ook al vinden we daarbij menige blijmoedige webgoeroe op onze weg. Jarvis bijvoorbeeld verzet zich hevig tegen de strenge Duitse privacywetgeving die een voorbeeldwerking heeft voor andere overheden, althans binnen Europa. Het Constitutionele Hof in Karlsruhe legde er in 1983 de basis voor door een 'recht op informationele zelfbeschikking’ vast te stellen. Jarvis noemt dat arrest 'krankzinnig’. Hij vindt het onacceptabel dat de Duitse wetgever bijvoorbeeld het portretrecht ook op internet van toepassing acht, met als gevolg dat Google Street View gezichten onherkenbaar moet maken en zelfs gebouwen op verzoek van de eigenaar moet vervagen, het zogenaamde Verpixelungsrecht. 'Stadsgezichten zijn van iedereen’, meent Jarvis: 'Als je Google het recht ontzegt om ze af te beelden, dan ontneem je ook journalisten en het grote publiek het recht om ze te zien.’ Wat Jarvis betreft is overigens elke burger journalist. De meerwaarde van professionele journalisten bestaat volgens hem slechts in het 'aanharken’ van de dagelijkse informatiechaos zodat hun afnemers meer inzicht krijgen in hoe de wereld in elkaar steekt.

DE LITERATUUR over het vraagstuk laat een opvallende tweedeling zien. Frequente, doorgaans professionele internetgebruikers hebben veel vertrouwen in het zelfregulerend vermogen van het web. Incidentele gebruikers en digibeten roepen eerder om controles, verboden en andere strenge maatregelen. Het is een begrijpelijke scheiding der geesten. Frequente gebruikers zijn doorgaans web-wise terwijl incidentele gebruikers eerder slachtoffer worden van virussen, phishing, laster en andere inbreuken op hun virtuele privacy. De laatsten hebben geen oog voor de vele voordelen die de vrije informatie-uitwisseling op het web biedt, terwijl de eersten er vaak hun brood mee verdienen en er ook hun persoonlijk leven omheen bouwen. De tegenstanders hebben een punt als ze zeggen dat de regelgeving niet moet worden aangepast aan het niveau van de allerdomste gebruikers. Per slot van rekening is het zowel onzinnig als onrechtvaardig om, zoals sommige Duitse politici willen, sites als Facebook, Amazon.com of Google Street View effectief te willen sluiten, louter en alleen omdat er misbruik van wordt gemaakt. Maar dan moeten we er wel beter mee leren omgaan, bijvoorbeeld door eenvoudige, voor iedereen begrijpelijke privacyprotocollen in te voeren. En die dan ook af te dwingen, desnoods met hulp van de lange arm van de wet.
'Mensen willen hun privé-gegevens kennelijk met anderen delen, daar doe je nu eenmaal niks tegen’, zegt Samy Kamkar, een professionele 'hacker’ en beveiligingsexpert uit Los Angeles. Deze voormalige playboy wist in 2005 met behulp van een Java-code in één klap een miljoen vrienden aan zijn MySpace-account toe te voegen. De systeembeheerders moesten het hele MySpace-systeem lam leggen om zijn worm te kunnen deactiveren. Kamkar verdween voor korte tijd achter de tralies, maar zijn naam als enfant terrible in internetland was gevestigd. Onlangs trok hij wereldwijd aandacht met zijn ontwerp van een zombie-cookie, een stukje code dat zich nestelt in een lokaal computersysteem en zichzelf zo slim repliceert dat het door browsers niet uit te wissen valt. Intussen vergaart het cookie ongestoord informatie over de gebruiker en zendt die terug naar zijn maker.
Samy Kamkar: 'Zulke tracking van gebruikersinformatie is heel normaal. Er is ook niets op tegen als de gebruiker geen bezwaar maakt. Er ontstaat pas een probleem wanneer de gebruiker wel bezwaar maakt maar geen eenvoudige, niet-technische manier tot zijn beschikking heeft om het te voorkomen. Je zou websites moeten kunnen verplichten zo'n methode aan te bieden. Maar nog beter zou het zijn als alle browsers verplicht een non-tracking-knop hadden. Zulke veranderingen kun je wettelijk voorschrijven.’ Ook Kamkar hinkt echter op twee gedachten als het gaat om de uitvoering: 'Helaas loopt de wet altijd achter op de internetpraktijk. Maar hackers zijn altijd weer een stapje voor op de professionele uitbaters. Het zou daarom nóg beter zijn als de internetgemeenschap die veranderingen zelf afdwingt door de makers van websites te slim af te zijn. Zo is ook mijn zombie-cookie bedoeld; hopelijk zet het mensen aan tot denken en vervolgens tot handelen.’
Kamkars acties leggen doorgaans twee misstanden tegelijk bloot. Ten eerste blijkt de beveiliging van servers en browsers niet bestand tegen eenvoudige inbreuken. Ten tweede blijken social media (vaak in strijd met de wet) enorme databestanden van hun deelnemers aan te houden. Die combinatie is funest voor de privacy van de gebruiker. Zogenaamde snoops - dat zijn speurders die zich voordoen als adverteerders en marketeers - kunnen heel makkelijk gevoelige informatie over personen verzamelen, zo ontdekten onderzoekers van Microsoft India en het Duitse Max Planck Institut. Bij wijze van voorbeeld maakten zij zes accounts in social media aan, drie zogenaamd van 'mannen’ en drie van 'vrouwen’. Bij elk drietal vulden ze telkens één maal bij 'seksuele voorkeur’ hetzelfde geslacht in. En jawel, de 'homoseksuele’ accounthouders kregen prompt andere, specifiek op homo’s gerichte reclames op hun site te zien. 'Wie via zijn account doorklikt naar zo'n reclamesite wordt door adverteerders en andere webspeurders voor “gay” aangezien en zo te boek gesteld’, aldus het onderzoek. In een ideale wereld zou dat label geen consequenties moeten hebben voor iemands privé-leven of loopbaan. Helaas is die wereld nog ver weg. Homoseksuele leraren worden na ontdekking via hun social media-account ontslagen, homoseksuele stellen worden op grond van hun accounts opgepakt in landen waar hun geaardheid verboden is, en getrouwde homoseksuelen die in de kast zitten worden chantabel.

KAMKARS SUGGESTIE is hier en daar al in praktijk gebracht. Om het privacylek via cookies te stoppen, zijn er zoekmachines ontwikkeld die opzettelijk niet het IP-nummer en het zoekgedrag van de gebruiker opslaan. 'Telkens wanneer u een gewone zoekmachine gebruikt, worden uw IP-adres, uw zoekgegevens en uw cookies opgeslagen in een database’, staat te lezen op de welkomstsite van de alternatieve zoekmachine StartPage: 'De profielen die daaruit worden samengesteld, zijn goud waard voor marketeers. Maar ook voor overheidsfunctionarissen, hackers en criminelen. Vroeger of later zullen ze er gebruik van maken.’ En daarvoor hoeven ze niet eens in te breken in uw en mijn computer; we leveren op verzoek maar al te graag de sleutels tot onze virtuele geheimen in. Een treurig stemmend bewijs voor die stelling werd in 2007 geleverd door de koepelorganisatie voor informatieveiligheid InfoSecurity in Londen. Medewerkers van InfoSecurity deelden op straat repen chocola uit aan iedere passant die bereid was om zogenaamd 'ten behoeve van een onderzoekje’ zijn computerwachtwoord vrij te geven. Maar liefst 64 procent van de voorbijgangers hapte letterlijk en figuurlijk toe. Verder was 61 procent bereid ook nog zijn geboortedatum te verklappen.
'Meer dan die twee gegevens heb ik niet nodig om iemand helemaal binnenstebuiten te keren’, zegt Steven Rambam, een Amerikaanse privé-detective die volle zalen trekt met demonstraties van zijn techniek voor digitale informatiegaring. Het geringste aanknopingspunt van een persoon is voor Rambam genoeg om via internet diens doopceel te kunnen lichten: 'Bel me op en ik weet je nummer. Zodra ik dat weet, achterhaal ik met een druk op een computertoets je naam, adres, leeftijd, geslacht, uitstaande leningen, burgerservicenummer en strafblad. Geef me nog vijf minuten en ik weet zonder achter mijn bureau vandaan te komen hoe je eruitziet, of je getrouwd of gescheiden bent, of je homo, hetero of bi bent, zwart, blank of Aziatisch, arm of rijk, hoog of laag opgeleid, verzekerd of onverzekerd, ja, ik weet waarschijnlijk zelfs hoe je hond heet, waar je boodschappen doet en op welke partij je stemt.’
Rambam heeft zijn benadering 'digitale proctologie’ gedoopt. Hij kan, met andere woorden, virtueel in ons aller kont kijken zodra hij dat ene aanknopingspunt heeft. Tot zo ver niets nieuws, zullen experts op het gebied van privacy tegenwerpen: het is al lang bekend dat er in databases veel meer informatie over ons is opgeslagen dan we zelf weten. Wat Rambams demonstraties pas echt verontrustend maakt, is dat hij geen gebruik maakt van illegaal verkregen gegevens. Hij put louter uit legale particuliere bronnen, waaronder databases van bedrijven en websites van stichtingen, verenigingen, bloggers, social media en zelfs, ironisch genoeg, van privacybewakers. Als klap op de vuurpijl laat hij in zijn lezingen zien dat elke sukkel met een mobieltje, een internetaansluiting en een beetje vrije tijd in principe hetzelfde trucje kan als hij. Daarvoor zijn - alweer - geen inbraken, misleidende mails of andere vormen van virtuele flessentrekkerij nodig.
Het grootste gevaar voor de privacy is volgens Rambam namelijk de neiging van internetgebruikers om alles wat hen bezighoudt op het web te gooien. Zijn belangrijkste onderzoeksbron is niet voor niets MySpace. Steven Rambam: 'Vooral jonge mensen vertellen op sociale-mediawebsites dingen over zichzelf die ik vroeger nog niet met mijn beste vrienden zou hebben gedeeld. Zo kom ik er moeiteloos achter of iemand drugs gebruikt, wie zijn vrienden zijn, met wie hij de afgelopen week seks had of wat zijn diepste verlangens zijn. En het belachelijkste privacylek van allemaal is Twitter. Als iemand mij tien jaar geleden had verteld dat er speciale websites komen waarop mensen zelf om de vijftien minuten aangeven waar ze zijn en wat ze daar doen, dan had ik hem uitgelachen. Nu doen veertig miljoen mensen eraan mee! Onze privacy is ons niet afgenomen, we hebben hem zelf vrijwillig opgegeven. We zijn binnen een generatie het besef kwijtgeraakt wat privacy is en waartoe die dient.’