In Amerika laait de discussie op over de gevaren van het digi-gegluur. Geen wonder, juist in de VS neemt het aantal gevallen van Internet-misbruik hand over hand toe. Filmsterren en andere beroemdheden vinden hun geheime adressen en telefoonnummers terug op een obscure website. Actrice Pamela -Bay Watch- Anderson zag zelfs een uit haar huis gestolen sex-video van haar en haar man terug op het net.
Ook onbekende, oppassende burgers zijn het slachtoffer en ontdekken dat belastinggegevens en alle informatie over een echtscheiding te koop wordt aangeboden. Creditcard gegevens, pincodes, oude bekeuringen, strafrechtelijke veroordelingen, medische dossiers en psychiatrische rapporten: Niks is veilig voor de tentakels van het web.
Handige ondernemers leveren voor een prikje gegevens over elke Amerikaan. Bijna alles wat we doen en laten, is her en der in computerbestanden opgeslagen. En zo gauw iets digitaal is gearchiveerd kan het – doorgaans ongemerkt – gepikt worden. In de VS blijken zelfs de zwaar bewaakte computers van het leger niet bestand tegen handige hackers. Laat staan dat computers van de sociale dienst, de belastingdienst of creditcard-maatschappij die garantie kunnen bieden. Overheid, politie en vooral de burger hebben dus het nakijken. Internet-inbrekers en hun goedbetaalde handlangers, die vaak voortkomen uit de politie en ambtenarij, laten nauwelijks sporen na. Misbruik wordt dus zelden gestraft. Een wegwijzer in de wirwar van web-spionage in Amerika.
Misbruik op het werk
Steeds meer Amerikaanse bedrijven kennen geen pardon. In het geniep rondsurfen op verboden uithoeken van het web is strafbaar en kan zelfs leiden tot ontslag. De eerste slachtoffers zijn al gevallen. Het maandblad PC World portretteerde een anonieme ex-werknemer die dit overkwam. ‘Robert’ – vader van vier kinderen, vijftien jaar getrouwd – was verslaafd aan sex-sites. Ondanks een waarschuwing van zijn baas kon hij de verleiding niet weerstaan. Robert geeft zijn fout toe en betuigt spijt. Maar te laat. "Ik ben bang dat we geen keus hebben. Je ligt eruit", had zijn chef tegen hem gezegd. Robert is verbitterd. Hij vermoedt dat de strenge straf bedoeld is als waarschuwing voor alle anderen die een illegaal uitstapje overwegen naar ‘adult oriented material’.
‘Elisa’ tikte de niets-vermoedende researcher van de Universiteit van Washington in Seattle in. Zijn computer ging op zoek en kwam met een kolossaal aantal ‘hits’. Maar voor het merendeel was het niet wat hij zocht. De Aids-onderzoeker in kwestie zocht gegevens over een laboratorium-techniek met de naam ‘Enzym Linked Immuno Sorbent Assay’, afgekort Elisa. Maar alle Elisa’s die hij als ‘search’-resultaat op zijn scherm kreeg hadden heel andere diensten aan te bieden dan een methode om virussen in een wetenschappelijk laboratorium te testen. De onderzoeker meldde zijn onbedoelde digitale uitglijder bij zijn baas die er hartelijk om moest lachen en er verder geen aanstoot aan nam. Het was geen opzet en de universiteit van Seattle controleert het surfgedrag van zijn medewerkers niet.
Porno, gokken en kopiëren
Maar uit onderzoek in de VS blijkt dat 30 procent van de werkgevers het surfgedrag van medewerkers wèl in de gaten houdt. Bij grotere bedrijven en overheidsinstellingen wordt veel vaker gecontroleerd dan bij kleinere. Daarbij gaat het overigens niet alleen om Internet-porno maar ook om gokken, ‘chatboxes’, winkelen en het illegaal kopiëren van software. De mate van controle door de werkgever varieert. Driekwart van de nieuwsgierige bazen maakt lijstjes van de bezochte websites. Andere bazen kijken alleen naar het soort files dat medewerkers ‘downloaden’ en weer anderen zijn alleen geïnteresseerd in de inhoud van verstuurde en ontvangen e-mail. Bij overtredingen zijn de meeste werkgevers (nog) geneigd over hun hart te strijken. Minder dan een derde van de ondervraagde werkgevers straft overtreders daadwerkelijk.
Toch zit de angst er bij veel werknemers goed in. Het gevaar schuilt bijvoorbeeld in het snel groeiende aantal websites dat de werkelijke bedoelingen goed weet te verbloemen. Uit de korte beschrijving die de zoekmachine geeft, valt lang niet altijd af te leiden wat er precies te voorschijn komt zo gauw de site daadwerkelijk wordt aangeklikt. Een medewerker kan achteraf zeggen dat het ‘per ongeluk’ was gegaan maar een kwaadwillende werkgever kan na een of meer ‘vergissingen’ tot actie overgaan. En in een land waarin ontslag-bescherming weinig voorstelt, kan dat voor de betreffende medewerker akelig uitpakken. Richard Power van het Computer Security Institute zegt dat ‘Robert’ geen uitzondering meer is. "Mensen worden hiervoor aan de lopende band ontslagen".
Volgens Power is openheid van de werkgever tegenover zijn medewerkers van groot belang. "De meest economische en effectieve manier om dit probleem aan te pakken is heel eenvoudig. Zorg ervoor dat de gebruikers weten dat je als werkgever kunt zien waar ze op het Internet geweest zijn en dat het gevolgen kan hebben – tot en met ontslag. Zorg ook dat ze hieraan regelmatig herinnerd worden".
Sexuele intimidatie
In Amerika kan een werkgever niet onbeperkt en zeker niet zonder waarschuwing vooraf bijvoorbeeld de telefoongesprekken van medewerkers afluisteren. De vraag is hoe digitaal afluisteren door rechters beoordeeld zal worden. Er is nog weinig jurisprudentie over, maar het ziet ernaar uit dat in dit geval werknemers in beginsel ‘het nadeel van de twijfel’ krijgen. De kantoor-PC en alles wat daarmee wordt verzameld en verzonden is eigendom van de werkgever en valt dus onder zijn verantwoordelijkheid. Overtreding van bedrijfsregels is dus strafbaar. Slachtoffers van dergelijke straffen deden tot nu tegenover rechters met weinig succes een beroep op het recht op bescherming van de privacy.
Voor werkgevers zijn er diverse belangen in het geding. Onnodig websurfen leidt tot improductieve werkuren en dus financieel nadeel voor de werkgever. Het computernetwerk van een bedrijf kan er door verstopt raken. Mensen die iets zakelijks willen opzoeken moeten wachten. Ook daardoor lijdt de werkgever schade. En speciaal in Amerika komt daar nog iets bij: ‘sexual harassment’. Vroeger was er de billenknijper die door de baas vermanend werd toegesproken. Intussen is het begrip ‘sexuele intimidatie’ in de VS drastisch opgerekt. Nu is een vrouw-onvriendelijke omgeving (sexuele toespelingen, bloot-foto’s op de werkplek) al voldoende voor processen waarbij schadeclaims van miljoenen dollars geen uitzondering vormen. En de werkgever is verantwoordelijk.
De werknemer die zich in strijd met de bedrijfsregels op verboden digitaal terrein begeeft is strafbaar. Maar de werkgever ook, omdat hij, zo luidt de juridische redenering, heeft nagelaten dit aanstootgevend gedrag te verhinderen. Controleren is dus het devies voor de werkgever. Dan moet die werkgever er vervolgens wel voor zorgen deze controle ook daadwerkelijk uit te voeren. Een bedrijf dat een voorgenomen controle niet of onvoldoende uitvoert, is extra kwetsbaar voor schadeclaims wegens nalatigheid in verband met genoemde sexuele intimidatie.
Het schenden van de privacy neemt op het werk dus onrustbarende vormen aan. Organisaties die zich druk maken over burgerrechten halen er zelfs de Amerikaanse grondwet bij om aan te tonen dat dit niet mag en dat de overheid er krachtig tegen moet optreden. Daar kan tegenin gebracht worden dat je niet op je werk zit om privé-zaken te behartigen of voor eigen genoegen op het net rond te surfen.
Digitale spionagebranche
Die beperking van privacy geldt natuurlijk niet in de privé-sfeer. En daar is de digitale ‘inbreuk’ minstens even gevaarlijk en treft vaak onwetende, onschuldige burgers. Het willens en wetens schenden van de particuliere levenssfeer is zelfs uitgegroeid tot een heuse digitale, openlijk opererende spionagebranche. Kan een individu dan niets doen tegen dit elektronische gegluur? Niet veel. De techniek is er en slimmerikken slaan graag een slaatje uit het verkopen van vertrouwelijke gegevens. En de overheid loopt met regelgeving hopeloos achter. Als er al regels en wetten te bedenken zijn die misbruik van deze razendsnelle technische ontwikkelingen kan keren.
Er zijn in de VS bedrijfjes die voor een lidmaatschap van pakweg 60 dollar per jaar burgers de mogelijkheid bieden om inzage te krijgen in al hun eigen persoonlijke dossiers. Wat staat er over mij geregistreerd bij de Social Security (vergelijkbaar met de Nederlandse Sociale Verzekeringsbank)? Wat voor reputatie heb ik als het gaat om kredietwaardigheid en het afbetalen van schulden? En wat is er aan gegevens centraal opgeslagen over mijn gezondheid?
Een bedrijf als Privacyguard belooft zijn leden al deze informatie en voegt er een belangrijke belofte aan toe. De service houdt namelijk ook in dat wordt bijgehouden wie er allemaal gegevens uit deze centrale registraties opvragen. "Je bent weer de baas over je eigen gegevens", belooft het bedrijf. Wie niet tevreden is over de verleende diensten krijgt zijn geld terug. Dat klinkt mooi maar is in de praktijk een belofte die waarschijnlijk niet veel voorstelt. Hoe kom je er als lid van Privacyguard immers achter of hun informatie volledig is? Wie garandeert dat illegaal gebruik van gegevensbestanden wordt gesignaleerd?
Bovendien treft misbruik via Internet en andere computerbestanden veel meer Amerikanen dan de selecte groep burgers die er 60 dollar per jaar voor over hebben om de diensten van Privacyguard in te huren. Het gaat immers vooral om de gevallen waarin individuen gescreend worden, zonder dat ze het weten of kunnen vermoeden.
Medisch dossier: 400 dollar
De New York Times beschreef onlangs tot in detail hoe olie-gigant Texaco misbruik maakt van digi-informatie. Op 8 oktober 1992 kwam er na een ontploffing giftig gas vrij van de Texaco-raffinaderij in Wilmington, Californië. Het vuur brandde drie dagen achter elkaar. Tot mijlen in de omtrek was de lucht zwanger van giftige dampen. Niet minder dan 14.000 burgers dienden een aanklacht in tegen Texaco wegens geleden schade aan de gezondheid. Texaco huurde een privé-detectivebureau in om de zaak te onderzoeken. Maar in de opdracht stond niet dat het bureau er achter moest zien te komen ‘hoe de ontploffing had kunnen ontstaan’, maar ‘wat er aan schadelijke informatie boven tafel te halen was over de burgers die van Texaco een schadevergoeding eisten’.
Dankzij Internet en een aantal handige website-eigenaren was de taak van die detectives niet geweldig ingewikkeld. Ze tikten op hun PC’s de sites aan van louche bedrijfjes als Digdirt Inc., Spy-4-U en Privacy-4-Sale. Namen die weinig te raden laten over de bedoelingen van deze Internet-ondernemers: systematisch de privacy schenden van niets-vermoedende burgers.
De ouderwetse detective die urenlang met opgeslagen jaskraag om een hoekje staat te loeren, heeft plaats gemaakt voor een Internet-spion die vanuit een comfortabel kantoor over de ene na de andere burger files via Internet laat binnenlopen. De New York Times noemde in de Texaco-zaak het voorbeeld van de 23-jarige Rosanna Rivera van wie de detectives een vijf pagina lang rapport samenstelden zonder dat ze ergens van wist. Alles wisten ze van haar: adressen waar ze ooit gewoond had, telefoonnummers van (vroegere) buren, ex-werkgevers, haar uitkeringsgeschiedenis, gegevens over niet-betaalde bekeuringen en de namen en adressen van de vaders van haar diverse kinderen.
Vooral de niet-betaalde bekeuringen waren een kolfje naar de hand van de detectives. Rosanna ontving dreigementen dat ze daarvoor wel eens gearresteerd kon worden. Dat dreigement kon worden ingetrokken als zij bereid was belastende informatie te verstrekken over de advocaten die werkzaam waren in de zaak tegen Texaco.
Bevolkt met oud-agenten
Het is te eenvoudig om waar te zijn. Dergelijke gegevens zijn inderdaad gewoon te koop via Internet: 69 dollar voor een geheim telefoonnummer, 55 dollar voor bankgegevens, 75 dollar voor inkomensgegevens, 80 dollar voor een lijst van alle interlokale gesprekken en 200 dollar voor informatie over aandelenbezit. Een bedrijf als Advanced Research Inc. vraagt 400 dollar voor de medische geschiedenis van een ’target’. Bedrijven als DBT-Online bieden zelfs een lidmaatschap aan voor nieuwsgierige detectives, verzekeringsmaatschappijen en journalisten.
Soms is het trouwens de overheid zelf die bestanden met kenteken-registraties of Social Security-gegevens verkoopt. Een probleem is dat het bijhouden van die bestanden steeds vaker wordt uitbesteed aan particuliere bedrijven, waardoor controle steeds lastiger wordt. Zo ontstaat – deels onbedoeld – een samenwerking tussen een verkopende overheid, handige Internet-bedrijven en detective-bureaus (vaak bevolkt met oud-agenten) die elkaar de bal toespelen. Een ‘old-boys network’ waarin de grenzen tussen wat wel en niet mag veelvuldig en met opzet worden overschreden.
Privé-detective Jason Rowe, die vaak burgers in zaken tegen grote bedrijven vertegenwoordigt, zegt: "Alles wat je wilt weten is te koop. Het gaat erom hoeveel risico je wilt nemen en hoe nauw je het neemt met de morele vragen hierover. De hoeveelheid informatie die met een druk op de knop beschikbaar is, heeft in de industrie van de privé-detectives een revolutie teweeg gebracht."
Klagende burgers aangepakt
Texaco is niet het enige voorbeeld van een bedrijf dat via deels illegaal verkregen computer-informatie klagende burgers probeert de dwarsbomen. Charles Hamel verzamelde aan het begin van de jaren negentig informatie over onverwachte corrosie aan de Trans-Alaska Pipeline. De eigenaren van die pijplijn waren ‘not amused’ en verzamelden gegevens over alle telefoongesprekken van Hamel om er achter te komen wie de informatie had doorgespeeld.
Een berucht voorbeeld is ook de supermarkt-keten Food Lion die negatief in het nieuws kwam door een ABC-reportage waaruit bleek dat het bedrijf het niet zo nauw nam met bijvoorbeeld de hygiëne in de slagerij. Food Lion was razend en huurde detectives in om naspeuringen te doen bij ex-werknemers en getuigen die als bron voor ABC hadden gefungeerd. Ook hier werden telefoongesprekken getraceerd en bovendien gegevens van creditcards boven tafel gehaald, aldus de New York Times.
Amerikaanse consumenten-organisaties dringen met steeds meer klem aan op wetgeving die alle schendingen van privacy aan banden legt. Hun belangrijkste bezwaar geldt de talrijke technieken om gegevens van Internet-gebruikers te registreren zonder dat de site-bezoekers dat in de gaten hebben. Er is natuurlijk de techniek van de ‘cookies’ waarbij een site-bezoek op de harde schijf genoteerd en bij een volgend bezoek herkend wordt. De eigenaar van de site kan zo een indruk krijgen van het surf-gedrag van zijn bezoekers. Vooral bij gecombineerd gebruik door een aantal sites kan dit waardevolle informatie opleveren voor marketingdoeleinden.
Browsers zijn bedoeld als middel om op Internet rond te reizen. Volgens Jamie Love van het Consumer Project on Technology is dat idee achterhaald. Love: "De browser is steeds minder ontworpen om te surfen en steeds méér voor commerciële doeleinden en om gebruikers in de gaten te houden." Love wijst erop dat het feit dat Microsoft en Netscape de software van hun brouwsers gratis ter beschikking stellen wel heel leuk lijkt voor de consument, maar het betekent tegelijk dat de inkomsten uit andere bron moeten komen. Marketing (al dan niet met medeweten van de gebruiker) wordt een steeds belangrijkere bron van inkomsten. Love: "Het zou beter zijn wanneer we voor de browsers zouden betalen. De eigenaren van de brouwsers zouden zich dan ook meer aantrekken van de belangen van de gebruikers."
Kern-eigenschap van Internet
Het Electronics Privacy Information Center – Epic – in Washington deed een onderzoek bij de honderd populairste websites. Het bleek dat er bij de meeste van deze sites geen duidelijke waarborg voor bescherming van privacy was. De gebruikers hebben geen idee hoe de informatie die ze verstrekken (bijvoorbeeld bij online shopping) wordt doorverkocht. Marc Rotenberg van Epic zegt: "Onze eerste aanbeveling is dat websites een heldere privacy-policy hanteren en deze duidelijk maken aan hun klanten. Websites moeten uitleggen hoe en waarom privé-gegevens worden verzameld en wat er verder mee wordt gedaan. Anonimiteit blijft de kern-eigenschap van Internet." Volgens Rotenberg moet een goede privacy-garantie wettelijk worden afgedwongen en is in de praktijk gebleken dat een regeling op basis van vrijwilligheid niet werkt.
Aan de andere kant kunnen Internet-bedrijven op den duur door consumenten min of meer gedwongen worden om zorgvuldiger met privé-gegevens om te springen. Uit Amerikaans onderzoek blijkt dat meer dan 70 procent van de Internet-gebruikers zich zorgen maakt over gebrekkige bescherming van de privacy. Die zorg kan er toe leiden dat de groei van verkoop van producten via Internet wordt geremd. Volgens sommige prognoses groeit de online-verkoop in de VS van een paar honderd miljoen dollar per jaar nu, naar twaalf miljard in het jaar 2000. Maar die kolossale groei wordt vast niet gehaald als een meerderheid van de potentiële klanten liever geen privé-gegevens prijsgeeft of bewust valse gegevens invoert.
Amazon goed voorbeeld
Volgens Rotenberg zijn er overigens al voorbeelden van commerciële sites die de privacy wel goed beschermen. Amazon bijvoorbeeld, een van de grootste online boekverkopers in de VS, belooft klanten dat hun gegevens niet verder worden verkocht. Maar een Amazon-achtige bescherming ontbreekt bij veel andere sites. Sally Pasnik van het Center for Media Education maakt zich vooral zorgen over misbruik van het goede vertrouwen van kinderen die vaak heel makkelijk gegevens intikken. Vooral als er een aantrekkelijk cartoonfiguur als Mr Jelly Belly of Ronald McDonald als digitale tussenpersoon wordt ingezet. De sites bouwen allerlei incentives in om de kinderen ertoe aan te sporen hun naam, leeftijd, adres en bijvoorbeeld gegevens over broertjes, zusjes en ‘e-mail buddies’ op te geven. Als er dan onder de deelnemers een Discman of ander aardig cadeautje wordt verloot, is de verleiding al snel te groot. Sally Pasnik: "Kinderen vinden het enig om over zichzelf te praten. Het zijn ‘egomaniacs’. Onderzoek toont aan dat ze – veel meer dan volwassenen – geneigd zijn om online een registratie-formulier in te vullen. De privacy van jonge mensen wordt op die manier aangetast."
Hoe makkelijk het mis kan gaan met privacy-gegevens en hoe groot de onwetendheid is bij bijvoorbeeld de overheid, bleek eerder dit jaar in het schandaal rond de officiële website van de Social Security Administration (SSA). Elke burger kon op die site zijn eigen gegevens over inkomen, pensioen en eventuele invaliditeit controleren. De enige identificatie die online gevraagd werd, was – behalve het eigen SS-nummer – de achternaam van de moeder van de betrokkene, de geboorteplaats en -datum. Die wel heel gebrekkige privacy-bescherming zette de deur wijd open voor massaal misbruik. Intussen zijn de regels aangescherpt, maar niemand weet hoeveel misbruik er intussen van was gemaakt door commercieel geïnspireerde kwaadwillende Internet-gebruikers.
Bewustwording neemt toe
Volgens Esther Dyson van de Electronic Frontier Foundation neemt de bewustwording onder consumenten toe. Internet moet er ook in de eerste plaats voor die consumenten zijn (‘Let consumers govern the net’). De Klant moet Koning zijn. Ook in cyberspace. "Je mag zelf kiezen welke tandpasta je gebruikt en welke soort cornflakes je als ontbijt eet. Waarom zouden consumenten dan niet zelf mogen beslissen wat er met hun privé-gegevens gebeurt?"
Voorlopig heeft het overgrote deel van het Internet-publiek dus nog niet in de gaten hoe vaak ze ongemerkt bespioneerd worden. Carol Lane, schrijver van het boek ‘Naked in Cyberspace’ concludeert: "De meeste mensen zouden verbijsterd zij als ze wisten wat er allemaal over hen te vinden is. Binnen een paar uur kan ik zittend achter mijn computer en met niet meer in handen dan een naam en adres, uitvinden welk beroep iemand heeft, wat de namen en leeftijden zijn van partner en kinderen, wat voor auto iemand rijdt, wat de waarde is van het huis en hoeveel belasting de betrokkene betaalt. Echte privacy zoals we die altijd kenden, blijkt erg vergankelijk."
Charles Groenhuijsen is freelance medewerker van Computable
Slechte bedoelingen
Heeft de aantasting van de privacy altijd slechte bedoelingen? Nee natuurlijk niet:
Wat voor onschuldige burgers opgaat, geldt ook schuldigen: verdwijnen is dankzij cyber-technieken steeds moeilijker. Met alle goede en slechte gevolgen vandien.
Voor de ‘liefhebbers’ volgen hier een paar interessante sites:
http://www.pimall.com/digdirt
http://www.docusearch.com
http://www.nobleventures.com
