‘Online zijn we allemaal laboratoriumratten’
Privacy is het meest bedreigde mensenrecht van onze tijd. En het gaat over meer dan Facebook en Google die op privégegevens azen, zeggen onderzoeksjournalisten Maurits Martijn en Dimitri Tokmetzis. ‘Lig vooral wakker van de dataverzamelaars die je níét kent.’
Drie jaar lang trokken Maurits Martijn en Dimitri Tokmetzis voor het Nederlandse journalistieke onlineplatform De Correspondent op privacyonderzoek uit. Ze kraakten smartphones, hackten wifinetwerken, onderschepten internetverkeer, ontleedden sociale media, trokken databanken leeg, organiseerden hackavonden, kamden privacyvoorwaarden uit, en spraken met honderden deskundigen en denkers. Het resultaat van die zoektocht, het boek Je hebt wél iets te verbergen, is weinig geruststellend: ‘We weten helemaal niet welke gegevens we allemaal weggeven. We hebben geen idee wie – bevoegd of onbevoegd – toegang tot die data heeft. En we weten niet waarom andere partijen in onze data geïnteresseerd zijn, en wat ze ermee doen.’
Iedereen heeft iets te verbergen, schrijven jullie. Wat dan?
DIMITRI TOKMETZIS: De privacydiscussie gaat vaak over wat bedrijven en overheden over jou mogen weten. Dat lijkt onschuldig. Maar op basis van via allerlei kanalen vergaarde informatie worden beslissingen over je genomen. Continu. Die beslissingen kunnen onschadelijk zijn. Zoals: welke advertentie krijg je online te zien? Welke aanbieding krijg je? Maar je kunt ook plots een verdachte blijken, iemand die de politie preventief moet volgen. Mag je ergens het land wel in? Heb je recht op een uitkering of een lening? Die veel belangrijkere beslissingen zijn tegenwoordig allemaal geautomatiseerd.
MAURITS MARTIJN: De ironie is dat wij niet zien dat we op alle momenten van de dag gevolgd worden. We denken dat we online helemaal vrij zijn, maar dat is een illusie.
TOKMETZIS: Neem sommige kredietverstrekkers. Die bestuderen je sociale netwerk. Word je op Facebook omringd door smoezelige zuiplappen of keurige veelverdieners? Als de betaalmoraal van je vrienden slecht is, gaan die kredietverstrekkers ervan uit dat de jouwe dat wellicht ook is. En dan krijg jij een hogere premie of rente aangerekend. Een ander voorbeeld zijn je boekingsgegevens. De Nederlander Erik Pas was onterecht op een Amerikaanse no-flylijst beland omdat er een probleem was met zijn ip-adres (de unieke code van elk toestel dat op het internet is aangesloten, nvdr.). Op basis van dat adres leek het alsof hij in Jordanië was geweest. Dat klopte niet, maar voor de Amerikaanse overheid was hij al een verdachte.
Wat is de meest flagrante privacyschending die jullie hebben ontdekt?
MARTIJN: De macht van de Nederlandse belastingdienst om op massale schaal de privacy te schenden, heeft me enorm doen schrikken. Een paar jaar geleden vroeg die dienst het volledige klantenbestand op van verschillende sms-parkeerbedrijven: wanneer stond welke nummerplaat waar geparkeerd? Het ging erom mensen met een bedrijfswagen te controleren: zij mogen maar 500 privékilometers per jaar rijden. Gevolg: de overheid wist plots van honderdduizenden Nederlanders wanneer ze waar geslapen hadden.
TOKMETZIS: Mij verbaasden vooral de onlineveilingen van persoonsgegevens via real-time bidding. Het gaat om een soort flitsveilingen: binnen de seconde worden jouw gegevens aan de meestbiedende verkocht. Online worden we constant gestalkt door onbekende partijen. Ze begluren en analyseren ons. Zij zien ons, maar wij zien hen niet.
We hebben het verkeer geanalyseerd van de honderd populairste sites in Nederland. In totaal ontdekten we daarop trackers van 215 verschillende bedrijven. Wanneer je een website bezoekt, word je gevolgd door kleine stukjes software: de fameuze cookies,die in je browser worden opgeslagen. Op die manier kunnen derden jou herkennen. Dat is de heilige graal van de adverteerder, want als ze je herkennen, dan kunnen ze een dossier over je opbouwen. ‘Hoe kunnen we je op onze advertenties laten klikken en onze producten laten kopen?’ Als ze bijvoorbeeld achterhalen dat je een avondmens bent, door je klikgedrag te volgen, zullen ze je ’s avonds dingen aanbieden.
Klopt het dat die trackers zelfs met – voor de mens onhoorbare – geluidssignalen werken?
TOKMETZIS: Er bestaan inderdaad smart-tv’s met apps die zo’n signaal versturen. Dat wordt vervolgens opgevangen door een app op je smartphone. SilverPush, het bedrijf achter de technologie, weet dan dat beide toestellen in dezelfde ruimte zijn. De advertentiewereld wil graag apparaten aan mensen koppelen, zodat ze je over verschillende platformen kan blijven volgen. Van laptop over tablet tot smartphone.
Uit jullie onderzoek blijkt hoe onvoorzichtig sommige internetgebruikers zelf zijn. Ze gebruiken bijvoorbeeld standaardwachtwoorden.
MARTIJN: Met Shodan – ook wel ‘Google voor hackers’ genoemd – kun je zoeken naar apparaten die aangesloten zijn op het internet: computers, energiemeters, waterkokers… Je kunt bijvoorbeeld gericht zoeken naar een type of merk van camera’s, maar je kunt ook zoeken naar camera’s met standaardwachtwoorden. Vervolgens kun je op het ip-adres van zo’n apparaat klikken en met het standaardwachtwoord inloggen. We hebben ontdekt dat mensen hun camera’s op de raarste plekken hangen. Ze hebben er geen idee van dat derden makkelijk kunnen meekijken.
Hetzelfde geldt voor externe harde schijven op een thuisnetwerk. Daarop bewaren de meeste mensen zonder nadenken hun zwaarste bestanden en gevoeligste data en foto’s. Ook die zijn via Shodan makkelijk te hacken. We hebben vakantiefoto’s gevonden, notariële akten, contracten van bedrijfsovernames, paspoorten, jaarrekeningen en patenten.
Jullie pleidooi voor meer privacy verschijnt uitgerekend in een periode van hoge terreurdreiging in Europa.
MARTIJN: Juist dan mag je privacy niet uit het oog verliezen.
TOKMETZIS: Het is een misvatting dat er een soort ruil kan zijn tussen meer veiligheid en privacy. De overheid kan niet garanderen dat er geen aanslagen meer volgen als je je privacy inlevert. Na 9/11 is een gigantisch surveillanceapparaat opgebouwd, en toch leven we onder de hoogste dreiging in jaren.
MARTIJN: De wetenschap van terrorismebestrijding laat zien dat gerichte surveillance, plus ogen en oren in de wijken, de beproefde methode is om terrorisme tegen te gaan. Met wéér een extra databank is nog nooit een terroristische aanslag voorkomen.
TOKMETZIS:Zodra zo’n databank er is, kan hij ook voor andere doeleinden gebruikt worden.
Dat een databank vandaag niet problematisch is, wil niet zeggen dat hij dat niet kan worden?
MARTIJN: Klopt. Een krachtig voorbeeld daarvan is Donald Trump. Die heeft het voorbije jaar een aantal verregaande beleidsvoorstellen gedaan – ‘Moslims en Mexicanen buiten’, bijvoorbeeld. Stel je voor dat hij over een halfjaar president wordt: dan heeft hij de inlichtingendiensten van de Verenigde Staten tot zijn beschikking. Vijftig jaar geleden gaf president Richard Nixon de opdracht aan de CIA om groepen zwarten, kunstenaars en lastpakken onder surveillance te plaatsen. Gezien de beperkte middelen van die tijd moesten ze scherpe keuzes maken over wie ze zouden volgen. Maar vandaag zou je probleemloos álle zwarten onder surveillance kunnen plaatsen.
Je kunt op dit moment alle vertrouwen hebben in de partijen die jouw data in huis hebben. Maar over vijf jaar kan er iemand bij Facebook aan de knoppen zitten die anders met alle ingezamelde data wil omgaan. Mark Zuckerberg, de huidige Facebook-ceo, houdt er al rare denkbeelden op na. Stel je voor dat zijn opvolger, onder druk van aandeelhouders, beslist om ook vingerafdrukken of irisscans in te zamelen, samen te werken met Google of een bedrijfstak aan inlichtingendienst NSA verkoopt?
Wie weet meer over mij: Google of Facebook?
MARTIJN:Google houdt alles bij. Je zoekgeschiedenis, je locatie… Voor hen is alles waarop ze de hand kunnen leggen relevant. Als je een Google-account hebt, kun je zelf trouwens je zoekgeschiedenis bekijken in je privacyinstellingen. Best wel confronterend. Het geeft een intieme blik in je hoofd en in wie je bent.
TOKMETZIS:Google weet veel door je zoekopdrachten, maar Facebook heeft de likes. Die likebutton is een enorme bron van kennis. Iedere keer je iets liket, geef je een oordeel. Die likes, gecombineerd met statistische gegevens, kunnen van alles over je onthullen: je etniciteit, intelligentie, seksuele oriëntatie en politieke voorkeur, of je verslavende middelen gebruikt…Dat heeft met machine learning te maken. Ze gooien bakken data bij elkaar en kijken dan naar correlaties: ‘Mensen die dit doen, doen ook dat.’ Mannen die Britney Spears liken, zitten bijvoorbeeld ook op holebisites. Zodra ze een paar sterke correlaties vinden, gaan ze na wie hetzelfde gedrag vertoont.
Maar het gaat verder dan dat. Doordat wij tijdens dit interview fysiek in elkaars buurt zitten, bestaat de kans dat Facebook ons zal suggereren om elkaars vrienden te worden. In Amerika raadt een psychiater haar klanten af om tijdens consultaties hun smartphone mee te nemen. Bleek dat sommigen van haar klanten via Facebook vriendschapssuggesties kregen omdat ze elkaar in haar gang weleens waren tegengekomen.
MARTIJN:Google weet nóg meer over ons. Zij bestaan bijna tien jaar langer dan Facebook. De greep van Google op het hele internet is ook groter: via verschillende types van cookies registreert Google het gedrag van de bezoekers van 95 procent van alle websites. Voor Facebook ligt dat rond de 50 procent.
Daar komt bij dat Google ontzettend veel verschillende diensten aanbiedt, van een zoekrobot over e-mail tot een kalender. Ze weten wanneer je waar bent en met wie je contact hebt. Tot voor kort beweerde Google dat ze die verschillende gegevens nooit aan elkaar zouden koppelen. Intussen is dat wél gebeurd. De geschiedenis van Facebook en Google toont een boulevard van verbroken beloften.
De Nederlandse gemeente Apeldoorn wil met behulp van onder meer inkomensgegevens, schoolverzuimdata en politieaangiftes voorspellen welke jongeren crimineel worden. Daarop wil ze dan interventies afstemmen.
MARTIJN:De analyse van gedragsgegevens is de voorbije jaren een heus onderzoeksveld geworden. De beroemde Amerikaanse informaticus Alex Pentland noemt dat ‘sociale natuurkunde’: als je maar genoeg weet over hoe mensen zich in hun omgeving gedragen, kun je dat gedrag gaan voorspellen. In die sociale natuurkunde zit een soort ultiem maakbaarheidsgeloof: dat je mensen ook een bepaalde kant kunt opsturen.
De Nederlandse belastingdienst stuurde koppels verwikkeld in een echtscheiding eens een brief: ‘Wij weten uit onderzoek dat mensen in uw situatie hun belastingaangifte te laat indienen. Hou daar rekening mee.’ En zij waren dan nog open over hun bedoelingen. Lastiger wordt het wanneer je mensen een bepaalde kant op probeert te duwen zonder dat ze het weten.
TOKMETZIS: Facebook deed onlangs een experiment om emoties te testen: met opzet plaatsten ze negatieve berichten op iemands tijdslijn, om te zien wat daarvan het effect was.
MARTIJN:Online zijn we allemaal laboratoriumratten. Websites leggen ons aldoor op de proefbank. Een bekend voorbeeld zijn de A/B-tests: de ene helft van de bezoekers krijgt de site in het groen te zien, de andere helft in het rood. Dan gaan ze na welke groep het meeste klikt. Je bent als surfer bezig het verdienmodel van een ander te optimaliseren, terwijl je denkt dat je buurman dezelfde website te zien krijgt. Een schokkend experiment was dat van datingsite OKCupid: die koppelde doelbewust mensen aan elkaar die helemaal niet matchten. Dat is hoe het internet werkt, zonder dat we het weten.
Nog een verontrustend voorbeeld uit jullie boek: Amerikaanse rechters die straffen deels laten afhangen van automatisch gegenereerde risicoscores.
TOKMETZIS: Steeds meer Amerikaanse rechters gebruiken computerprogramma’s om de kans te berekenen dat een verdachte zal hervallen. Die programma’s werken met allerlei variabelen, zoals opleiding, woonwijk, strafrechtelijk verleden, baan van de ouders, familiehistorie… Hoe groter de kans op recidive, hoe langer een veroordeelde de gevangenis in moet. De Amerikaanse journalistieke site ProPublica ontdekte dat het systeem discrimineert: het merkt zwarte Amerikanen vaker ten onrechte als potentiële recidivisten aan dan blanke. Zo’n programma lijkt een neutraal, technisch hulpmiddel, maar dat is het niet. De vooroordelen zitten al in de onderliggende data.
Om af te sluiten met goed nieuws: we kunnen zelf een aantal maatregelen nemen om onze persoonsgegevens beter te beschermen.
TOKMETZIS:Ja, maar er zijn grenzen. Ik heb een tijdje geprobeerd als een digitale monnik te leven, als een soort sport: wat is er nodig om al je data bij jezelf te houden? Ik wilde bijvoorbeeld nagaan of het mogelijk is om volstrekt anoniem een e-mailadres te gebruiken. Om een nieuw e-mailadres aan te maken, heb je tegenwoordig een ander e-mailadres of een telefoonnummer nodig. Daarom kocht ik een wegwerptelefoon met simkaart. Contant betaald, anders laat je een digitaal spoor achter naar je bankrekening. Die wegwerptelefoon mag je dan weer niet in de buurt van je echte telefoon gebruiken, want anders ben je via je locatie weer te koppelen. Online gebruikte ik de Tor Browser, een anonieme browser. Drie dagen heb ik het volgehouden. Tot ik, per ongeluk, met mijn mailadres op mijn gewone browser inlogde. Hoe hard je ook probeert, uiteindelijk laat je toch weer sporen na.
DOOR KRISTOF CLERIX, FOTO’S DEBBY TERMONIA
‘We denken dat we online helemaal vrij zijn, maar we worden op alle momenten van de dag gevolgd.’ Maurits Martijn
‘Het is een misvatting dat er een soort ruil kan zijn tussen meer veiligheid en privacy.’ Dimitri Tokmetzis
‘De datingsite OKCupid koppelde mensen aan elkaar die helemaal niet matchten, bij wijze van experiment.’ Maurits Martijn