Niet alleen Big Tech verzamelt graag gegevens van burgers. Ook overheidsinstanties scrapen, verzamelen en surveilleren. Wat er met die data gebeurt en wat de gevolgen zijn, is niet altijd duidelijk. Data Morgana gast Lotte Houwing houdt zich bij Bits of Freedom al zes jaar bezig met deze ongemakkelijke verhouding tussen burger en overheid. Hoe zit het met de veiligheid van mensen ten aanzien van dit soort instanties?
De Data Morgana aflevering met Lotte Houwing gemist?
Is er in jouw zes jaar bij Bits of Freedom veel veranderd in die verhouding tussen de burger en de overheid?
Eigenlijk niet. De enige verandering is een trend die heel erg één richting op gaat, namelijk die van steeds meer surveillance technologie en steeds meer bevoegdheden van instanties als de politie of de geheime diensten om burgers te monitoren.
En daarmee komt de privacy van burgers in het geding. Waarom is het zo belangrijk om die privacy te beschermen?
Zodra je overal in de gaten wordt gehouden, ben je als burger minder veilig, omdat je geen controle hebt over die informatie over jou. Je weet niet waar dit terechtkomt en wat instanties daarmee doen. Beetjes informatie kunnen worden gebruikt om een beeld van je te schetsen en dat beeld kan tegen je gebruikt worden. En of het nu klopt of niet, het kan erg moeilijk zijn om aan te tonen dat het anders zit als er wel stukjes data aan ten grondslag liggen.
Anderzijds is een gevolg van surveillance technologie dat het veel moeilijker is voor mensen om hun stem te laten horen. Denk bijvoorbeeld aan alle surveillance technologie die in wordt gezet tijdens demonstraties. Op individueel niveau is dat heel vervelend. Je ziet dat mensen een hogere drempel ervaren om te gaan demonstreren, omdat ze zich minder veilig voelen. Daar hebben we als democratische samenleving vervolgens ook op collectief niveau last van. Wanneer mensen niet vrij en veilig hun stem kunnen laten horen, missen we die stemmen in het publieke debat en zijn we met z’n allen minder democratisch. Dat zie je zowel offline bij demonstraties, als online op sociale media.
Waarom worden we steeds meer gemonitord door overheidsinstanties?
De reden is voornamelijk veiligheid, maar binnen het veiligheidsdomein wordt de opvatting van wat veiligheid is heel erg beperkt neergezet. Als je binnen de politiek kijkt wat er wordt bedoeld op het moment dat het woord “veiligheid” valt, dan gaat dat voornamelijk over meer controle en meer repressie, het bestrijden van fraude, het bestrijden van criminaliteit en een duidelijk law and order perspectief; het idee heerst dat dit bijdraagt aan onze veiligheid. Dat terwijl er juist heel veel behoefte is aan veiligheid die heel andere vormen heeft en waar je een stuk minder over hoort. Denk aan klimaatmaatregelen voor een veilige leefomgeving, of veiligheid rondom online haat richting transgender mensen die vertienvoudigd is, huiselijk geweld, of de vrijheid van meningsuiting die onder druk staat, en hoe journalisten en mensen in het maatschappelijk middenveld soms SLAPP rechtszaken krijgen waar ze beschermd tegen zouden moeten worden. Er zijn eigenlijk heel veel issues te noemen waarbij mensen in hun veiligheid worden aangetast waar geen veiligheidsmaatregelen op genomen worden op dit moment, terwijl er wel heel veel over veiligheid gesproken wordt. Je kunt zelfs zo ver gaan dat de veiligheidsmaatregelen die genomen worden vanuit het law and order perspectief niet iedereens veiligheid ten goede komen. Bij het algoritme dat ingezet wordt om bijstandsfraude op te sporen, krijgen alleenstaande moeders bijvoorbeeld automatisch een hogere risico score, waardoor ze vaker gecontroleerd worden en vaker onterecht als fraudeur of als verdachte worden aangewezen. Dat heeft een direct negatieve impact op de veiligheid van deze groepen. Hetzelfde geldt voor gezichtsherkenningstechnologie die voor mensen van kleur een groter risico heeft om daarmee onterecht als verdachte te worden geïdentificeerd.
Waarom ligt die aandacht daar zo erg op, op de law-and-order vormen van veiligheid?
Wat daar een rol speelt is lobby. Er zijn natuurlijk best wel wat bedrijven die surveillance technologie maken en die willen dat verkopen. Zij verkopen een verhaal waarin ze verkondigen dat je het echt nodig hebt en het onveilig is als je die surveillance technologie niet inzet. Dat is natuurlijk een enorm drijvende kracht. Maar instanties zelf, zoals de politie of de geheime diensten, willen natuurlijk ook meer macht en meer bevoegdheden. Ook daar komt een lobby vandaan en een beïnvloeding van het publieke debat. Het klinkt natuurlijk ook als een simpele, hands on-oplossing: je koopt technologie en je probleem is opgelost. Wie wil dat nu niet? Helaas is de werkelijkheid niet zo simplistisch.
Veel data-verzameling en surveillance heeft als doel om veiligheidsproblemen te voorkomen in plaats van dat zoiets gebeurt nadat er iets onveiligs is gebeurd. Die volgorde is veranderd, zo vertel je ook in Data Morgana. Wat zijn de gevolgen daarvan?
Ja, dat is een trend die wij zien. Als je heel klassiek naar bijvoorbeeld het strafrecht kijkt, dan begin je met het delict; er is een moord gepleegd, die moet worden opgelost. Vervolgens zijn er aanwijzingen en die leiden naar een verdachte. Over de tijd is de nadruk steeds meer komen te liggen op het voorkomen van criminaliteit. Dat is natuurlijk heel erg moeilijk en daarom moet je allemaal middelen in gaan zetten om zoveel mogelijk gegevens te verzamelen om daar uiteindelijk conclusies uit te trekken. Dat klinkt misschien logisch, maar dat is ook waar het fout gaat. Je kunt de toekomst niet voorspellen, al helemaal niet met gegevens uit het verleden. Het is best gevaarlijk om op basis daarvan aannames te doen die je gebruikt om criminaliteit te bestrijden. Wat je dan snel krijgt is dat die aannames eruit gaan zien als: deze groep mensen met dit kenmerk komen zo vaak voor in de misdaadstatistieken. Dat betekent dat als jij ook dat kenmerk hebt, jou een hogere risicoscore wordt toebedeeld, omdat gedacht wordt dat de kans dat jij een misdaad gaat begaan groter is dan iemand die niet diezelfde eigenschap heeft. Ondertussen heeft die eigenschap zelf eigenlijk niks te maken met het plegen van een misdaad. Het gaat dan om eigenschappen als een etnische achtergrond, je leeftijd of de wijk waar je woont. Zo’n eigenschap wordt dan in één keer heel relevant in het toebedelen van de risicoscoren terwijl dat natuurlijk niet echt iets zegt over de kans dat jij een misdaad zal begaan.
Als kanttekening wil ik nog wel benoemen dat preventief te werk gaan heel goed kan zijn. Maatregelen die daadwerkelijk bepaalde criminaliteit of ordeverstoring zouden kunnen voorkomen zouden er ook uit kunnen zien als het zorgen voor voldoende betaalbare huisvesting, het verkleinen van de kloof tussen arm en rijk en het zorgen voor buurthuizen met budget.
Komt bij het maken van die risicoscores AI om de hoek kijken?
AI wordt natuurlijk snel gebruikt op het moment dat de dataverzameling groot is. Wat je ziet is dat overheden, maar ook bedrijven, steeds meer gegevens over mensen zijn gaan verzamelen. Op het moment dat gegevens er zijn, worden ze nou eenmaal snel gebruikt. Als je heel veel gegevens wil gebruiken, dan wordt AI aantrekkelijk, omdat je op de één of andere manier die bergen gegevens moet gaan verwerken. Andersom is ook waar: Als je AI hebt om je data te analyseren, wordt het aantrekkelijker om grote hoeveelheden gegevens te verzamelen.
Werkt zoiets nou uiteindelijk nog een beetje of gewoon helemaal niet?
Nou, eigenlijk niet. Neem predictive policing, waarbij dus gegevens gebruikt worden om te gaan voorspellen wie een misdrijf gaat plegen of waar een misdaad gepleegd gaat worden. Op het moment dat je dat gebruikt om een voorspelling te maken, ga je natuurlijk als politie ook je capaciteit daar inzetten. Dus stel je gebruikt predictive policing die voorspelt waar het volgende misdrijf gaat plaatsvinden en daar komt bijvoorbeeld Amsterdam-Zuid uit, dan gaat de politie daar natuurlijk ook meer surveilleren. Want als je daar vervolgens in je uitvoeringskeuzes geen rekening mee houdt had je die exercitie niet hoeven doen. Omdat er meer gesurveilleerd wordt, gaat de politie ook meer vinden, waardoor de misdrijfstatistieken hoger worden en zichzelf bevestigen. Zo wordt het elke keer een beetje versterkt.
Wat is de meest verregaande bevoegdheid op dit moment van overheidsinstanties in Nederland?
In 2018 kreeg je de nieuwe wet op de inlichtingen- en veiligheidsdiensten die onze geheime diensten de bevoegdheid gaf om echt massaal het internet af te tappen. Ze konden daardoor de communicatiegegevens van miljoenen burgers in één keer binnenharken. Dat ontwikkelt zich nog steeds door — laatst is er weer een wijziging op die wet gekomen waarbij ze eigenlijk gewoon ongericht mogen tappen om vervólgens gericht te kunnen tappen. Het is allemaal een beetje ironisch. En wat er zo ingrijpend aan is, is de massaliteit ervan. We kunnen eigenlijk niet meer bevatten hoe impactvol het is op het moment dat er sets van gegevens mogen worden verzameld die zo groot zijn als miljoenen burgers.
Die wet vind ik wel heel ingrijpend, maar uiteindelijk denk ik dat het vooral de optelsom is die verregaand is. Dus al die bevoegdheden naast elkaar of bij elkaar opgeteld zorgt er eigenlijk voor dat er geen plek meer is waar je even niet bekeken wordt, zowel op straat met camera’s als online via social media sociale media monitoring of de internet tap zoals ik dat net zei.
Wat is dat, zo’n internet tap?
Dat betekent dat ze de communicatiegegevens tappen. Dat is de sleepwet gaan heten — alsof ze een groot sleepnet over alle internetverkeer uitgooien en dat gewoon binnenharken. Vervolgens gaan ze dat analyseren om te kijken of er misschien verdachte patronen tussen zitten om onderzoek naar te doen. Dat is ook de rol van geheime diensten; zij werken op inlichtingen. Hun baan is om dingen te voorkomen. Dus dat betekent ook dat ze vaak al heel breed allerlei informatie gaan verzamelen. Dat maakt zo’n bevoegdheid natuurlijk wel heel erg ingrijpend.
Kunnen ze dan ook dingen tappen die achter jouw wachtwoorden zitten, zoals e-mail bijvoorbeeld?
Oh ja, zeker, ja. Wachtwoorden beschermen niet tegen tappen. Encryptie wel.
En dat mag gewoon zonder dat er dus een aanleiding daarvoor is, zonder dat jij een verdachte bent al?
Ja, ze doen dat dus ongericht. De politie kan dat niet zomaar. Die doet dat soort dingen bij verdachten. Maar de geheime diensten die slepen informatie gewoon heel ongericht binnen om dan vervolgens naar patronen te gaan kijken. Dat betekent dus niet dat ze letterlijk jouw mailtjes gaan lezen, maar e-mailverkeer kan wel degelijk in zo’n bulk dataset zitten die zij binnenhalen.
Hoe transparant zijn dit soort instanties dan over welke data ze verzamelen en hoe ze dit doen en hoe ze dit gebruiken?
Heel ontransparant, vooral de geheime diensten. Voor een deel moet dat natuurlijk ook, want anders krijg je natuurlijk dat hun targets zich makkelijk kunnen wapenen tegen deze surveillance. Daarom heten ze ook geheime diensten. Voor een deel is het heel begrijpelijk, maar voor een deel ook niet. Als je kijkt naar wetgeving over deze materie, de afspraken die we erover maken, dan vindt er veel te weinig discussie plaats. Ik doel dan op de regels die we maken over wat zij mogen doen, in welke gevallen ze dat mogen doen, en hoe ver we vinden dat ze mogen gaan.
Dat betekent ook dat er een rol is weggelegd voor het Ministerie van Binnenlandse Zaken om zo begrijpelijk mogelijk aan de burger uit te leggen wat de diensten zijn, waarom ze doen wat ze doen, en burgers meehelpt om de discussie te voeren over hoe ver we vinden dat zij in onze levens mogen ingrijpen om hun werk te doen — juist omdat het iedereen zo aangaat.
Er zijn wel wetten hiervoor gemaakt, zoals de Algemene Verordening Gegevensbescherming (AVG).
Veel instanties binnen het veiligheidsdomein zijn daarvan uitgezonderd. De politie heeft bijvoorbeeld een eigen richtlijn en geheime diensten eigen wetgeving.
Die mogen veel verder gaan?
Ja, klopt.
Oké, en is er iemand of een instantie die hun dan controleert?
Bij de geheime diensten wel. Voor een aantal hele ingrijpende bevoegdheden moeten zij eerst langs een toezichthouder (de TIB) en die moet ze dan toestemming geven om een bevoegdheid in te zetten. Ook is er een toezichthouder (de CTIVD) die tijdens en achteraf de inzet van een bevoegdheid meekijkt om te kijken of het allemaal wel rechtmatig gebeurt. Bij de politie daarentegen is er een schrijdend gebrek aan toezicht.
Functioneren jullie als Bits of Freedom dan meer als het toezicht deels?
Helaas moet dat soms wel en dat laat zien dat het systeem daar faalt. Ook hebben wij natuurlijk geen bevoegdheden, dus we kunnen wel dingen aankaarten, maar er hoeft niet naar ons geluisterd te worden
Heb je een voorbeeld van hoe jullie dit hebben gedaan voorheen?
We hebben over de geheime diensten een paar jaar geleden een klacht ingediend bij één van de toezichthouders op de geheime diensten. De reden was dat zij een aantal van die bulk datasets – dat zijn dus datasets met gegevens van miljoenen burgers – veel langer bewaarden dan de wet haar toestond. Dat is eigenlijk gewoon illegaal. De toezichthouder van de CTIVD die tijdens en achteraf meekijkt heeft geen bindende bevoegdheden; die kon zelf dus niet ingrijpen. De andere toezichthouder, van de afdeling klachtbehandeling, heeft wel ingrijpende bevoegdheden, maar alleen op basis van een klacht. Dus hebben wij een klacht geschreven over het te lang bewaren van gegevens. Dat hebben we gewonnen. Vervolgens moesten zij deze gegevens verwijderen en konden we het toezichtgat aankaarten van de toezichthouder die niks kon doen tegen de overtreding van de geheime diensten. Het belang van goed toezicht werd zo duidelijk.
Kun je als burger zelf op een manier je privacy beschermen als het bijvoorbeeld niet duidelijk is voor jou waar en hoe dit wordt geschonden of wanneer je het idee hebt dat dit gebeurt?
Op grond van de AVG kun je bij bedrijven en de meeste overheidsinstanties je gegevens opvragen en laten verwijderen als deze onrechtmatig worden verzameld. En bij de politie kun je ook je eigen dossier inzien. We hebben een tool gemaakt op ikwilinzage.nl om mensen te helpen om dit soort verzoeken te doen. Het is een juridisch proces wat je dan gaat doen en dat is voor mensen vaak best wel lastig. Dus hiermee helpen we mensen een stukje op weg, en dan komt het verzoek er zo uitgerold.
