Deze maand is het drie jaar geleden dat Edward Snowden een boekje opendeed over de massale spionageactiviteiten van de National Security Agency (NSA). De geheime documenten die hij de wereld toonde, bewezen dat de Amerikaanse geheime dienst ons recht op privacy en databescherming jarenlang heeft ondermijnd en de digitale soevereiniteit van landen heeft geschonden.
Dit resulteerde in publiek protest en een onvervalst schandaal rond de illegale praktijken van geheime diensten wereldwijd. Er werd geroepen om een direct einde aan deze afluisteractiviteiten. Particulieren en ict-bedrijven hebben sindsdien hun encryptie en maatregelen voor gegevensbescherming opgevoerd om zich te beschermen tegen verdere spionage. De zaak-Snowden heeft veel impact gehad op technologisch niveau, maar de onthullingen hebben ook politieke consequenties gehad. Deze variëren sterk van land tot land.
Één wereld, twee richtingen
De wereld is grofweg in twee kampen verdeeld. Aan de ene kant staan landen als Duitsland en Frankrijk, aan de andere kant onder meer het Verenigd Koninkrijk en nog steeds de Verenigde Staten.
In plaats van actie te ondernemen tegen massale spionage, hebben Britse politici de Investigatory Powers Bill opgesteld. Als dit wetsvoorstel wordt aangenomen, krijgen geheime diensten expliciet toestemming om massaal communicatiedata te verzamelen en (met een bevelschrift) computers en telefoons af te tappen. Bedrijven zouden daarnaast wettelijk verplicht worden om deze activiteiten te ondersteunen en encryptie waar nodig te omzeilen.
In de Verenigde Staten, de bakermat van het NSA-schandaal, wordt nog altijd gediscussieerd over de manier waarop met de activiteiten van de geheime diensten moet worden omgegaan. De strijd om/tegen encryptie is nog niet gestreden, en de buitenlandse activiteiten van de Amerikaanse geheime dienst zijn niet noemenswaardig gewijzigd.
Frankrijk legt zich er niet bij neer
Frankrijk heeft concrete stappen ondernomen om zijn nationale data- en communicatieverkeer te beschermen en interne ict-expertise te ontwikkelen. Telecombedrijven zijn sinds augustus 2013 verplicht om de Franse toezichthouder voor databescherming CNIL op de hoogte te stellen van inbreuk op persoonsgegevens. In juni 2014 volgde de invoering van richtlijnen voor de centrale en lokale overheid om het elektronische communicatieverkeer op basis van een algemeen beveiligingskader te beschermen.
Later dat jaar introduceerde de Franse overheid een richtlijn voor ict-beveiliging die publieke instanties verplicht gebruik te maken van ict-producten en -oplossingen die deel uitmaken van een voorkeurslijst van de Netwerk- en Informatieveiligheidsdienst (ANSSI). Providers moeten een speciale beveiligingsclausule ondertekenen. Uiterst gevoelige data dient in Frankrijk te worden gehost.
Maar in de nasleep van de terroristische aanslagen in Parijs heeft de Franse politiek herhaaldelijk opgeroepen tot het verbieden van encryptie en het opvoeren van digitale afluisteractiviteiten. De strijd om verbeterde bescherming van de privacy van Franse burgers heeft hierdoor de nodige deuken opgelopen.
De Duitse benadering
In Duitsland richt de overheid zich voornamelijk op meer grip krijgen op de nationale infrastructuur en het herwinnen van de digitale soevereiniteit. De nieuwe regels omvatten onder meer een ‘antispionageclausule’. In 2014 startte de Duitse overheid met het opzeggen van contracten met leveranciers die gelinkt zijn aan het Amerikaanse recht.
In 2015 paste Duitsland de inkooprichtlijnen voor de overheid aan. Deze richtlijnen betroffen aanvankelijk alleen de aanschaf van software, maar gelden nu ook voor hardware. Zelfs het gebruik van cloud-diensten is gereguleerd: gevoelige overheidsinformatie mag alleen worden verwerkt in Duitsland, en alleen door cloud providers waarop uitsluitend het Duitse recht van toepassing is.
Amerikaanse bedrijven hebben samen met de Amerikaanse Kamer van Koophandel sterk geprotesteerd tegen de invoering van de eerste Duitse wet inzake ict-beveiliging. De wet stelt de Duitse overheid namelijk voor het eerst in staat om ict-producten te controleren op achterdeurtjes en zo nodig de programmatuur te ontleden.
Nederlandse reactie
De Nederlandse overheid heeft geen maatregelen genomen om de beveiliging van privacy en databescherming te versterken. EU-wetten met betrekking tot data privacy zijn hier wel van kracht. De aanbeveling aan de minister van Economische Zaken en minister van Veiligheid en Justitie is om de ontwikkeling, beschikbaarheid en het gebruik van encryptie niet wettelijk te beperken. Dit is een eerste stap in de goede richting, maar minder krachting dan Duitsland of Frankrijk.
Werkelijke verandering is nodig
Hoewel de hele wereld geschokt was door de ongekende omvang van de spionageactiviteiten die Snowden onthulde, hebben maar weinig regeringen maatregelen getroffen. Slechts een relatief kleine groep landen heeft wetten ingevoerd voor het beschermen van de privacy van burgers en het voorkomen van overheids- en bedrijfsspionage.
De belangrijkste verdienste van Snowden tot dusver is de sterk toegenomen bewustwording wat betreft bescherming van de privacy en persoonsgegevens en het gevaar van digitale bedrijfsspionage. Dit heeft ook gezorgd voor een sterker besef van het belang van encryptie.
Toch zijn er nog altijd daadwerkelijke politieke veranderingen nodig om de macht van geheime diensten zoals de NSA in te perken. Onze economie heeft krachtige encryptie en geen achterdeurtjes nodig om zichzelf te kunnen beschermen. Dat is een voorwaarde om in een vrije, welvarende en moderne maatschappij te leven.
Een aardige Tweet van Snowden zelf:
https://twitter.com/Snowden/status/737393983022878720
2013: It’s treason!
2014: Maybe not, but it was reckless
2015: Still, technically it was unlawful
2016: It was a public service but
2017:
Informatie die je niet wilt delen met de rest van de wereld moet je niet op internet publiceren, zelfs niet je computer koppelen aan een router of switch.