Terwijl ‘vriend’ Amerika steeds vaker een bedreiging lijkt te zijn, draait nagenoeg de hele Nederlandse samenleving op internetdiensten die al onze data standaard aan de VS uitleveren. TW interviewde cybersecurity-expert Bert Hubert, initiatiefnemer van Cloud Kootwijk, dat Nederland weer baas over eigen data wil maken.
Er was een tijd dat demonstrerende Afrikanen massaal overschakelden van berichten via Facebook naar berichten via Bluetooth. Je hoeft maar één keer bij het afgesproken verzamelpunt opgewacht te worden door een arrestatieteam om te weten dat jij en je protestgenoten niet de enigen waren die jullie berichten op Messenger lazen. De meeste sociale media, communicatiesoftware en apps zijn een geweldige bron voor bedrijven en overheden die hun subjecten in de gaten willen houden.
Data-“diensten”?
In Nederland is dat niet anders. Behalve de informatie die je zelf op het internet zet, staat het vol informatie die je zorgverleners, hypotheekverstrekkers, docenten, werkgevers en buren daar op zetten – vaak onbewust. Dankzij populariteit van online dienstverleners als Google, Amazon, Meta en Microsoft, krijgt de Amerikaanse overheid vrije toegang zodra ze daarom vraagt. Het zijn regels waar geen enkele databoer in de VS aan kan ontkomen, hoewel niet-commerciële aanbieders als Signal plechtig beloven hun servers op te blazen als het ooit zover komt.
Privacy is een dure belofte, want data is inmiddels een miljardenindustrie. Commerciële partijen verkopen de data die je ze geeft aan de hoogte bieder. Ze weten niet alleen of je een verhoogde kans op Alzheimer hebt, wanneer je zin hebt een biertje of op welke plekken je je favoriete liedjes opzet, maar ook met wie je je salaris deelt, of je gevoelig bent voor zakelijke ‘buitenkansjes’ en wat je met je collega’s bespreekt.
Terwijl jij dat hooguit weet van jezelf en je eigen netwerk, weten zij het ook van de vrienden van je vrienden, de accountant van je baas en de geheime minnares van de HR-medewerker. Heel handig voor wie jonge gefrustreerde jongens wil kunnen bereiken, voor wie verveelde senioren wil verleiden, of voor wie een verkiezing wil beïnvloeden. Of voor wie simpelweg een ander wil chanteren.
Cloud Kootwijk
Je zou zeggen dat zoiets in strijd is met de Europese privacywetgeving, en dat is het ook, stelt cyberexpert Bert Hubert. Hoewel ook onze hardware niet goed beveiligd is, maakt hij zich momenteel het meest zorgen over onze immense afhankelijkheid van Amerikaanse software. “Het heeft geen zin je zorgen te maken over hardware zolang software standaard al je data by default naar Amerika stuurt”, zegt hij, op een zonnig terras tussen de Haagse ministeries. Als voormalig medewerker van de AIVD en gewaardeerd consult van uiteenlopende overheden, kent hij de omgeving van binnen en buiten.
Omdat de overheid niet in staat blijkt de privacy van haar burgers te beschermen, heeft Hubert het initiatief genomen voor “Cloud Kootwijk”, een hedendaagse variant op Radio Kootwijk. Het werd destijds opgericht om ervoor te zorgen dat Nederland direct met Noordoost-Indië kon communiceren, zonder de toen gebruikelijke tussenkomst van de Engelsen, die de berichten zouden zouden censureren.
Als de Amerikaanse dienstverlening nu wegvalt, stijgt er hier geen vliegtuig meer op.”
Wat destijds met radiogolven verstuurd werd, gaat nu via het internet. “Als een ministerie straks een bericht stuurt naar een ander ministerie, gaat dat via een Amerikaanse server”, verzucht Hubert, “Bizar. Alsof je een brief zonder envelop bij de Amerikaanse ambassade afgeeft om door te geven aan je buurman. Denk je echt dat zij geen interesse hebben in alles wat wij hier bespreken?” Als het aan hem ligt, schakelen we per direct over op Nederlandse servers, met Europese software. Stap 1: hou per direct op met het inkopen van diensten die niet voldoen aan onze eigen privacywetgeving. Stap 2: ontwikkel alternatieven.
Afhankelijk van Amerikanen
Hubert staat niet alleen in zijn vrees. Medio maart vroegen kamerleden de regering op om te zoeken naar alternatieven voor Amerikaanse techbedrijven als Microsoft, Google, Amazon en Meta, en meer middelen vrij te maken voor de handhaving Digital Services Act (DSA) en de Digital Markets Act (DMA). De Europese Commissie stelde paraatheidscriteria op voor telecommunicatie. “Als de Amerikaanse dienstverlening nu wegvalt”, waarschuwt Hubert, “stijgt er hier geen vliegtuig meer op.”
Ondertussen liet de Nederlandse Bank opnieuw weten dat het zich zorgen maakt over de Amerikaanse invloed op onze pintransacties. Wie pint, maakt vaak gebruik van de techniek van Visa en MasterCard. Omdat die onder de jurisdictie van president Trump vallen, zou die hun diensten kunnen gebruiken om ons betalingsverkeer te dwarsbomen. De bank maant de Europese Centrale Bank aan om versneld in te zetten op alternatieven, zoals een digitale euro waarmee altijd betaald zou moeten kunnen worden – ook als het internet niet meer werkt.
Lang leve de nerds
Mensen denken vaak dat het veranderen van je software een immense, onbetaalbare operatie is, maar met een aantal simpele, betaalbare stappen kom je al een heel eind, benadrukt Hubert. Betalen kan ook met iDeal, of ouderwetse cash. Essentiële zaken als het opzetten van een beveiligd communicatienoodnet of ministerieel databeheer op eigen server, kan je al realiseren met een paar miljoen. Veel mogelijkheden zijn al onderzocht en ontwikkeld door programmerende nerds die dit soort problemen tot nu toe ‘s avonds in hun zolderkamertje proberen op te lossen.
Om een eind te maken aan ongewenst trans-Atlantisch dataverkeer, kunnen bedrijven en overheden een aantal simpele stappen nemen. Een EU-maildienst die Outlook en Gmail kan vervangen kost ongeveer 100 miljoen euro per jaar, verwacht Hubert. Europa zou daarnaast de financiering van de open source webbrowser Firefox over kunnen nemen, en extra geld kunnen steken in initiatieven die nu al werken aan alternatieven voor basissoftware als Microsoft GitHub. Voor Facebook en Google Docs bestaan al goede alternatieven. Het kost overheden, bedrijven en burgers nagenoeg niets om daarop over te stappen. Als we dat allemaal tegelijk doen, zijn we collectief veel veiliger.
Energie-efficient programmeren
Het ontwikkelen van nieuwe software die wel aan onze privacy-eisen voldoet, heeft nog een markant voordeel: het kan heel veel energie besparen. “We kunnen makkelijk software schrijven die 10 keer minder energie vergt, zonder een data architectuur die tig keer de wereld omgaat”, stelt Hubert, die zelf ook het nodige programmeert. “Als we dat zouden doen, zou een willekeurig datacentrum dus 10 keer minder energie nodig hebben. Zelfs als we de huidige software alleen maar een beetje aanpassen, scheelt het al de helft.”
Het grootste probleem zit momenteel bij Windows 11, denkt Hubert. Het wordt de standaardsoftware van alle ambtenaren en stuurt bij elke twijfel al hun data naar OneDrive. De reden om toch op zulke apparatuur te leunen, is vooral een historische: we hebben ooit iets gekocht bij Microsoft, en moeten nu steeds daar weer aankloppen voor passende uitbreidingen. Zoals je in een ingebouwde koffiemachine alleen maar capsules van dat specifieke merk kan stoppen. In plaats daarvan zouden we moeten kiezen voor gestandaardiseerde software, uitwisselbaar en open source.
Het heeft geen zin je zorgen te maken over hardware zolang software standaard al je data naar Amerika stuurt”
Makke managers
De weerstand tegen de noodzakelijke veranderingen zit vooral bij managers, denkt Hubert. “Vaak hebben ze een hekel aan computers. Ze herinneren zich dat het twee dagen duurde om een printer aan de praat te krijgen en durven vervolgens niets meer aan te raken zodra het eenmaal werkt. Ook de minister beroept zich op inkoopregels die vertrouwde Amerikaanse softwareleveranciers bevoordelen boven nieuwe Europese alternatieven, ook al voldoen die wel aan onze wetten.”
“Eigenlijk zou elk managementeam twee volwaardige techneuten moeten hebben”, vindt Hubert. “Zoals de CFO over het geld gaat en de HR-manager over het personeel, zouden zij over data en ICT moeten gaan. Niet als een bijzaak, maar als een essentieel onderdeel van het bedrijf.”
Als burger kan je gaan zeuren bij je werkgevers, suggereert hij. “Weiger bijvoorbeeld om je ziekteverlof op een Amerikaanse app te registeren. Zodra dit online staat, gaat het er niet meer af. Je kan een beroep doen op je right-to-be-forgotten, maar tegen die tijd staan je gegevens al op 20 servers. Overtuig je baas dus dat die data daar niet hoort.”
Europese Commissie tegen Europese Data-beschermer
Dat is het in de ‘echte’ wereld nog lastig gaat worden om je digitale privacy te beschermen, blijkt wel uit de zaak die de Europese Commissie aanspant tegen haar eigen data-beschermer, de European Data Protection Supervisor, kortweg ‘EDPS’. Dat besloot vorig jaar dat de Commissie haar eigen regels had overtreden door gebruik te maken van Microsoft 365. Daardoor werd data over haar burgers overgedragen naar landen waar die data niet goed beschermd is, zoals de VS. De EDPS beviel de Commisie om per december 2024 te staken met deze data-overdracht. Zowel de Europese Commissie als Microsoft gingen in beroep.
Offgrid noodnetten
De storing bij de kustwacht liet vorig jaar weer zien hoe wankel ons noodnet is. Dat het technisch mogelijk is om tenminste voor noodgevallen een alternatief netwerk te bouwen, bewijzen Meshtastic-hobbisten met een ‘Lorawan’, een betaalbaar radiozendertje waarmee ze op tot ongeveer tien kilometer berichten kunnen uitzenden. Door al deze apparaatjes aan elkaar te koppelen, creëren ze een soort gedecentraliseerd offgrid internet. De zendertjes kosten een maar paar tientjes en kunnen draaien op een klein zonnepaneel. Hierdoor is het mogelijk om bijvoorbeeld ‘gaten’ in dunbevolkte delen van het netwerk op te vullen met een extra zender in een wei.
Door hun zender te voorzien van een computer kunnen zij het ook koppelen aan het traditionele internet, of voorzien van zelf-programmeerbare computertjes zoals de Raspberry-Pi, die ook maar een paar tientjes kost. De moederborden zijn uit te breiden met allerlei sensoren. Onderzoekers gebruiken dit soort netwerken bijvoorbeeld voor het monitoren van de luchtkwaliteit in afgelegen gebieden.
