Brengt oneerlijke zaken aan het licht op basis van datajournalistiek

Afbeelding van privacy-expert Bart van der Sloot die wordt geïnterviewd

Privacy-expert: 'Rommelproducten die je neefje van 10 kan hacken, moeten gewoon verboden worden'

Bart van der Sloot pleit voor een minimumstandaard voor online veiligheid

Afbeelding van privacy-expert Bart van der Sloot die wordt geïnterviewd

Fabrikanten van beveiligingscamera's brengen ondeugdelijke producten op de markt, omdat er geen minimumstandaard voor online veiligheid is. Volgens Bart van der Sloot, privacy-expert aan de Tilburg University, moet de Nederlandse overheid bij producenten afdwingen dat zij verantwoordelijkheid nemen voor hun producten.

Uit onderzoek van Pointer blijkt dat honderden beelden van Nederlandse beveiligingscamera's online door iedereen zijn te bekijken. Pointer vond de exacte locatie van ruim vijftig camera's. Het gaat om onder meer een orthodontist, fysiotherapeut, speeltuin en bibliotheek. Met minimale inspanning kan iemand met een internetverbinding en wat zoekvaardigheden meekijken met gevoelige en intieme beelden.

"Erg schokkend", vindt Van der Sloot. Bij het Tilburg Institute for Law, Technology, and Society (TILTS) houdt hij zich dagelijks bezig met kwesties rondom technologie, data en privacy. "Er komen ondeugdelijke producten op de markt die gebruikt worden voor veiligheidsdoeleinden, en dus juist erg onveilig zijn. Dat is precies het tegendeel van wat er wordt beloofd."

U zegt dat het schokkend is. Waarom is dat zo?

"Je kunt iemands privéleven zien. Daar kun je iemand mee chanteren. En de voorbeelden van medische praktijken waar mensen naartoe gaan voor een behandeling: dat is ontzettend gevoelige informatie. Als je dat vrij open op het internet kunt zien, en kunt zien wat de buurman of buurvrouw allemaal mankeert. Ja, veel gevoeliger wordt het niet."

Volgens Van der Sloot zijn meerdere partijen schuldig aan het uitlekken van dit soort beelden. "Maar het begint bij de productie van zo'n camera. Je moet gewoon geen ondeugdelijke producten op de markt brengen. Dat is zo evident als wat."

Daarnaast hebben verkopers de plicht om te onderzoeken of ze degelijke producten verkopen. En consumenten moeten niet voor een dubbeltje op de eerste rij willen zitten als zij zo’n beveiligingscamera willen kopen. Ook kunnen zij zich afvragen of een camera wel echt nodig is. Maar één partij wordt nog te weinig genoemd in de discussie rondom privacy.

"Ik denk dat de grote afwezige in het debat nog steeds de overheid is. We hebben op heel veel fysieke producten standaarden. Een fabrikant heeft de plicht om een veilig product te maken. Als overheid moet je durven zeggen: 'Wij gaan een minimumstandaard voor veiligheid neerleggen'. Die standaard is in de digitale wereld eigenlijk nog afwezig."

Waarom is die minimumstandaard er nog niet?

"Omdat er onwetendheid bij de overheid is. En ook wel angst om te veel aan marktregulering te doen. Vergis je niet, bij heel veel fysieke producten heeft het ook heel lang geduurd voordat die minimumstandaard is ingevoerd. Dat is een slag die we nog moeten maken in de digitale infrastructuur."

Burgers vinden privacy wel belangrijk, maar als puntje bij paaltje komt doen ze daar niet zo veel aan
Bart van der Sloot, privacy-expert

Maar waarom gaan deze dingen altijd zo langzaam? Wij zien nu toch al dat dit fout gaat?

"Ik weet het niet. Het is vrij simpel om een plicht in de wet te zetten: camera's moeten een gesloten systeem zijn waar niet iedereen zomaar toegang tot kan krijgen. Dat is zo simpel als wat. Er is geen enkele belemmering om dat te doen, dus die standaarden kun je redelijk snel neerleggen."

Hoe je dat vervolgens gaat handhaven, is de vervolgvraag. Maar Van der Sloot draait het om. Als je een goedkoop product aanschaft, dan heb je willens en wetens een risico genomen. "In zulke gevallen kun je de eigenaar daar op aanspreken. Mensen moeten in ieder geval hun best doen om een veilig systeem te kopen."

Bij de camera's die wij hebben bekeken, wordt in de handleiding vaak niets vermeld over wachtwoorden of open poorten.

"Nee, daar gaat het dus fout. Dat is een breder probleem. Veel van dit soort observatietechnieken komen in handen van burgers: drones, slimme deurbellen, en camerasystemen. Vroeger was het toezicht daarop dat vrij gemonopoliseerd bij de staat, en daarna bij de grote bedrijven. Eerder had je Big Brother, nu heb je Little Brothers die elkaar in de gaten houden."

"Met een camera heb je best wel een invasief product in handen. Daar kunnen heel veel mensen schade of last van krijgen. Wij moeten daar zorgvuldig mee omgaan. Overheden en grote bedrijven moeten ons nog opvoeden, bijvoorbeeld via handleidingen. Maar misschien ook via bewustwordingscampagnes of boetes."

Maar goed, dit duurt al jaren.

"Burgers vinden privacy wel belangrijk, maar als puntje bij paaltje komt doen ze daar niet zo veel aan. Je hoort wel eens dat we een soort privacy-ramp nodig hebben. Want dan zullen mensen wel bewust worden. Maar na de Snowden-onthullingen gebeurde er ook vrij weinig."

Dus wat is dan de oplossing?

"Deze keuze moet je niet bij de consument leggen. Dit moet je via wetgeving neerleggen bij experts die nadenken over de minimumstandaard waar het in ieder geval aan moet voldoen."

Kan het ook zo zijn dat het ons gewoon niet zoveel interesseert?

"Burgers vinden privacy nu alleen belangrijk als je ze er naar vraagt. Of zodra er een incident is: er worden naaktfoto's gehackt, of er hangt een camera in een wachtkamer. Dan is iedereen in rep en roer, en zie je een hele heftige reactie. We kijken naar het moment dat er iets fout gaat. Maar je moet ervoor zorgen dat die partijen geen toegang hebben tot die gegevens, zodat dat misbruik nooit kan plaatsvinden."

Bent u voor een verbod op al die goedkope camera's?

"Ja, mijn ultieme wens is dat in de veiligheidsstandaarden voor dit soort producten ver omhoog gaat. Je zal nooit een systeem krijgen dat niet te hacken valt. Maar hier gaat het om producten die gewoon open staan 'by design'. Dat moet überhaupt verboden worden."

"De tweede stap is dat die rommelproducten met slechte beveiliging - waarvan je neefje van tien dat gewoon kan hacken - dat moet ook verboden worden. We moeten toe naar een besef dat dit hele invasieve producten zijn. Heel veel mensen kunnen dit kopen, dus dat moeten in ieder geval systemen zijn die erg veilig zijn."

Goedkoop is vaak duurkoop. Dat betekent wel dat de burgers of bedrijven meer geld moeten uitgeven om een veilig product te kopen.

"Ik heb daar geen enkele medelijden mee. Zeker voor burgers is de noodzaak om dit soort systemen aan te schaffen vrijwel altijd nihil. Het zijn gewoon leuke gadgets om te hebben."

"Als bedrijven of overheidsinstellingen goede camera's willen hebben, dan betalen ze daar maar iets meer voor. Het is niet niks om in de openbare ruimte te filmen. Dan moet je in ieder geval zorgen dat niet iedereen toegang krijgt tot die beelden."

We zijn op bezoek gegaan bij een aantal instellingen met slecht beveiligde camera's. Dan gingen we het probleem uitleggen, en het eerste dat we te horen kregen was dat we niet mochten filmen. Terwijl zij toch al veel langer bezig waren met ons te filmen.

"Precies, dat wordt ook wel de 'transparantieparadox' genoemd. Burgers worden volledig transparant gemaakt doordat overal gegevens over je worden verzameld, maar er is nauwelijks transparantie over hoe overheden of bedrijven dat doen. Dat is dan bedrijfsgeheim."

We hebben contact gehad een orthodontist die zijn camera niet goed beveiligd had. Het duurde allemaal vrij kort en er was al direct sprake van een advocaat om onze publicaties en uitzending te voorkomen.

"Dat is wel heel gênant. Mensen zeggen niet gewoon: 'Goh, wat stom. We hebben met ons onveilige systeem gegevens verzameld die we eigenlijk niet nodig hebben. Dat gaan we gelijk aanpassen. Dank u wel dat u ons daar op wijst.' In plaats daarvan gaan ze met rechtszaken dreigen."

"Dit zit in het hele systeem: een gebrek aan verantwoordelijkheid, alles willen afdekken met juridische maatregelen om maar zelf buiten schot te blijven."

Wat vindt u daarvan?

"Het is tekenend voor de periode waarin we leven. En het is nog redelijk recent dat die digitalisering aan de hand is. Veel organisaties willen digitaliseren, daar geloven ze heel erg in. Vaak is dat een beetje misplaatst. Ze snappen eigenlijk niet écht wat ze nou aanschaffen en wat ze op hoger managementniveau met zo'n systeem moeten doen. Wat zijn de risico's?"

"Het idee dat we datagedreven moeten werken: dat heeft de toekomst. Maar aan de andere kant tekent het de volstrekte onkunde en onbegrip over hoe die systemen werken, en hoeveel onveiligheid zoiets met zich meebrengt."

We hebben dus nog een lange weg te gaan?

"Ja, dat denk ik wel."

Meer over Privacy

Elke week de beste verhalen in je mailbox