‘Iedereen werkt voor de AIVD’

“Jij werkt toch voor de AIVD?” De vraag van een van de oprichters van Security.nl ging gepaard met een argwanende blik bij onze Security Expert Leon Kuunders. Hij wist van niks, geld had hij nooit ontvangen en nooit had hij een opdracht gehad. Toch bleek de vraagsteller gelijk te hebben.

Op het weblog van het Computable-topic Security is een discussie ontstaan over de informatie-inwindrang van de Nederlandse geheime dienst, de AIVD. De overheid wil alles weten over het (digitale) doen en laten van zijn inwoners. Onze Security Experts geven hun mening hierover, maar voor Leon Kuunders, senior consultant bij Trusted-ID, opende de openingsvraag zijn ogen. "Vandaag werd het me duidelijk: ja, ik werk voor de geheime dienst, net als iedereen in Nederland. Iedereen is informant en door al die dingen die je doet om te leven, levert iedereen informatie aan de AIVD."

Bernhard van der Feen
Product solution manager security
Microsoft

"Doordat we graag gebruik willen maken van een efficiënt telefoonnetwerk, gratis internet, handige features op de browser en zoveel andere zaken, verkopen wij onze persoonsinformatie. Verkopen? Ja, verkopen! Daar zit ook de bezoldiging in die Kuunders zocht, want dat levert ons wel degelijk iets op. Functionaliteit, gemak, efficiëntie, lol. Daar kies ik vaak zelf voor, net als iedereen. En de AIVD…, ja die put net zo hard uit deze bronnen. Ik vraag mij echter af waarover je je meer ongerust moet maken, de AIVD of andere partijen? Met deze bewustwording wordt keuzes maken inderdaad wat lastiger. Wil je je informatie verkopen? Wil ik wel of geen cookies, wil ik wel of niet bereikbaar zijn met mijn mobieltje, wil ik wel of niet mijn informatie delen via Hyves, wil ik wel of geen airmiles sparen…?"

Marco Barkmeijer
Northern & South Eastern Europe
Infoblox

"We moeten hier twee zaken onderscheiden: de beleidskant en de technische kant. Vandaag de dag zijn we technisch heel goed in staat dit soort informatie te beschermen. Dit kan in huis, maar ook extern wanneer gebruikt wordt gemaakt van software-as-a-service (SaaS) met het vastzetten van de juiste contracten. Vanuit de beleidskant moet hier sterk op gestuurd worden. Mogen werknemers de gegevens van het bedrijf op de populaire netwerksites plaatsen? Welke informatie mag wel van de persoon gepubliceerd worden, welke niet? Eerst beleid en dan doorvertalen naar de techniek, waarbij er zoals altijd vele wegen naar Rome leiden."

Leo Willems
Chief security officer
Tunix

"Het enge van de verzamelwoede van een overheid zit hem in de fouten die gemaakt worden met gecombineerde gegevens zonder daadwerkelijke verdenking (in het kort: profiling). Op mijn publieke Google Agenda staat dat ik 12 april een securityconferentie in Amsterdam bezoek. Maar op Hyves beken ik dat ik dan een geheime afspraak heb met mijn oosterse geliefde uit Londen. Ik reserveer voor die dag een treinticket naar Parijs om haar te ontmoeten. Ik geef je op een briefje dat je verdachte wordt, want de genoemde plaatsen en datums van een individu zijn in tegenspraak (THREAT). Door die gebeurtenissen te combineren komen de woorden 'security', 'geheime', 'oosters' en 'Londen' boven drijven (THREAT!) en natuurlijk is deze combinatie voldoende om ook een treinrit verdacht te maken (ALERT!). Nee, ik ben niet bang dat een AIVD-agent mijn gangen nagaat, maar wel dat ze die agent ontslaan en de analyse door computers laten doen."

Peter Westerveld
Security consultant
Sincerus

"Dat de overheid ons overal kan vinden en onze stappen kan volgen, is deels aan onszelf te danken. We maken maar graag gebruik van de bonuskaart of airmiles om die 'kortingen' te kunnen bemachtigen. Dat ons koopgedrag, uitgavenpatroon en vooral geografische verplaatsing daarmee prijsgeven worden, nemen we op de koop toe. Het College Bescherming Persoonsgegevens heeft geadviseerd om voor de kilometerheffing gebruik te gaan maken van een 'dikke' variant van het registratiekastje in de auto, omdat die alle gegevens opslaat en alleen de benodigde informatie die nodig is voor de rekening wordt verstuurd. In tegenstelling tot een ‘light' variant zonder opslagcapaciteit die alle informatie lukraak doorstuurt naar de heffingsinstantie en dan maar vertrouwt op wat die daarmee doet. Met het voorstel van het CBP wordt de eigenaar zélf in staat gesteld te bepalen wat er met de overige informatie gebeurd. Je kunt er dan op wachten dat bijvoorbeeld Shell daar wel weer een korting aan verbindt in ruil voor je routegegevens. Of dat BP wil weten hoe lang je doorgaans stopt bij een tankstation. Maar goed, we kunnen er dan wel zélf over beslissen, net als bij de bonuskaart."

Dennie Spreeuwenberg
Dealer manager
Avnet Technology Solutions

"Tijdens mijn werk word ik dagelijks geconfronteerd met dit soort zaken. De eerste stap ligt altijd bij het beleid. Wat mag wel en wat mag niet? De grote vraag daarna blijft: houdt men zich ook aan dat beleid? Het antwoord op deze vraag hoeft niet eens gegeven te worden als je beleid en regels kunt afdwingen. Oplossingen die de data encrypteren of waarmee ongeoorloofd wegschrijven voorkomen kan worden. Ook usb-sleutels die de data versleuteld opslaan (zodat bij verlies geen belangrijke informatie kan lekken), is een oplossing voor dit probleem. Hiermee voorkom je dus discussies wat wel en wat niet mag. Uiteraard kost zo'n oplossing geld, maar wat kost het niet als er gevoelige informatie op straat komt te liggen?"

Sinclair Koelemij
Operations team leader
Honeywell

"In Nederland zijn gegevens beschermd tegen u en ik, omdat we het geld missen om de beveiliging van deze systemen te kraken, maar dat is dan ook de enige barrière die er is. Misschien werken we daarom allemaal wel voor de AIVD, maar daar heb ik als Nederlander nog iets over te zeggen. Anders is dat met de informatie veelvraten zoals de Verenigde Staten, waar ik maar moet afwachten wie mijn persoonsgegevens beschermt en waar een miljardje meer of minder in het begrotingstekort geen rol speelt. Onze gegevens worden massaal en soms ongecontroleerd en beperkt beveiligd vastgelegd. Iedereen die werkzaam is in de it-beveiliging weet waar de gaten zijn en weet hoe het budget uiteindelijk het beveiligingsniveau bepaald en niet de hoogte van het afbreukrisico. Daar maak ik me meer zorgen om dan een organisatie beroepssnuffelaars die als ze het te bont maken weer netjes op hun plaats gezet worden."