Niet de overheid, niet de geheime diensten, niet de internetbedrijven, maar wij burgers zelf vormen de grootste bedreiging van onze privacy op internet. We springen achteloos met onze gegevens om en doen geen enkele poging om informatie te versleutelen of gebruik te maken van andere mogelijkheden om privé-informatie geheim te houden voor cybercriminelen, voor internetbedrijven of onze eigen overheid.

Daarnaast beschikt iedereen via bijvoorbeeld sociale media over steeds meer gegevens van anderen. En omdat de Nederlandse overheid noch de ambitie, noch de macht heeft om die privacy te beschermen, moeten we dat zo veel mogelijk zelf doen.

Aftappen

Die eigen verantwoordelijkheid laat onverlet dat de Nederlandse overheid eindelijk eens moet legitimeren waarom zij op zo’n grote schaal dataverkeer aftapt en toelaat dat buitenlandse geheime diensten en internetbedrijven dit ook doen.

Die vraag is extra urgent met het oog op de recente aanbevelingen van de commissie-Dessens, die bepleit dat het ongericht aftappen van al het internet- en telefoonverkeer door surveillance ook op glasvezelkabels moet worden toegestaan.

Op dit moment is er vrijwel geen enkel gedegen onderzoek gepubliceerd naar de omvang van de schade die al deze veiligheidsmaatregelen zouden voorkomen of van de risico’s die ze zouden verkleinen. Zelfs professionele partijen zoals Symantec en 
McAfee maken schattingen van de schade die een factor tien verschillen. Hun ramingen lopen uiteen van 100 tot 1000 miljard dollar per jaar. Dan weten ze het dus gewoon niet.

Cybercrime

Inzicht in de schade en de risico’s van ”cybercrime” en de werkelijke effectiviteit van het gebruik van persoonsgegevens door de overheid bij de bestrijding daarvan kan het groeiende wantrouwen tussen burgers en overheden beperken.

Nu is de wereld verdeeld in twee kampen. De ene partij, de overheden en de geheime diensten, wil cybercriminaliteit en -terrorisme bestrijden door massaal onze privacy te schenden.

De andere partij, de klokkenluiders en verontruste burgers, wil pertinent geen enkele controle. Maar geen van beide partijen heeft publieke gegevens waar ze zich op kunnen baseren.

Onze minister-president en onze minister van Binnenlandse Zaken kunnen geen antwoord geven op de vraag hoe het gesteld is met de legitimiteit en effectiviteit van het aftappen van onze gegevens. En vraag een zaal vol studenten wie weleens slachtoffer is geworden van cybercrime en het blijft stil.

Weinig mensen maken zich druk om het feit dat hun gegevens overal rondslingeren. Ten onrechte. Nog afgezien van problemen als phishing of identiteitsfraude kunnen burgers op de meest onverwachte manieren last krijgen van het feit dat er zo veel over hen bekend is.

Neem een tweet van een rechtenstudent die iets badinerends zegt over het Fries. Die hoeft bij het in Leeuwarden gevestigde advocatenkantoor Anker & Anker niet meer aan te komen. Een ander voorbeeld: berichten op sociale media over gezondheidsgerelateerd gedrag zullen in de nabije toekomst een steeds groter gevaar vormen.

Het publiek moet daarom beter voorgelicht worden over de risico’s van cybercrime, en over de mogelijkheden om zich daartegen te beschermen. Daar is dan wél weer een rol voor de overheid weggelegd.

Transparant

Ik heb overigens niet de illusie dat de Nederlandse overheid ons gaat beschermen tegen de manier waarop de NSA inbreekt in onze systemen. Het begrip territorium, dat het uitgangspunt is van de Nederlandse jurisdictie, is in cyberspace nauwelijks van betekenis. Maar de overheid zou wel transparant kunnen zijn over welke data zij controleert of opslaat. En met onderwijs en onderzoek zouden burgers ook ‘mediawijs’ gemaakt kunnen worden.

Je moet het inbrekers en spionnen, maar ook overheden en bedrijven die grenzen overschrijden, niet makkelijker maken dan nodig is. Natuurlijk is elke code en cryptografie te breken, maar net als bij een extra slot op je fiets verkleint zo’n veiligheidsmaatregel het risico op schade aanzienlijk. En het gaat in het geval van persoonlijke gegevens vaak om grote belangen.

De auteur is hoofd van de afdeling Recht en ict van de Rijksuniversiteit Groningen. Hij doet onder meer onderzoek naar cybercrime en internet governance. Hij publiceert geregeld over ict-gerelateerde rechtsvragen, de toepassing van ict in de rechtspraktijk en kunstmatige intelligentie en recht.