Indirect spying: Government laws are using big tech to spie upon citizens (04:44)

Indirect spying: Government laws are using big tech to spie upon citizens

[wcm_restrict plans=”admin”]

Hi there and welcome to the first section of lesson three: Indirect spying: Government laws are using Big Tech to spie upon citizens. As explained in the introduction of this lesson, the surveillance by goverments and the surveillance by big tech cannot be seen apart from each other. They are actually melting into each other on purpose. How do governments do this?

Well, let’s answer this question by getting into the revelations by Edward Snowden and what we learned from them. One big lesson we learned from those revelations is that governments are not spying on us directly. They spy on Big Tech companies like Google, Facebook and Microsoft. So intelligence services never needed to create their own network, because it has already been created by the commercial Big Tech companies. American cryptographer Bruce Schneier calls this a public-private surveillance-cooperation: a system in which corporations and governments are exchanging information worldwide.

In my home country, the Netherlands, the fusing of the public and private domain is actually established in the “powers claim data law” since 2005. With the introduction of this law, the government can request information from companies and institutions. This included information like names, phone numbers, e-mails, call-history, location data and much more. Companies and institutions cannot refuse to cooperate, this law makes it so that they are obliged to give away the requested data.

In 2018 the Dutch government introduced a law called ‘de sleepwet’. This law gives the Dutch intelligence agency access to enormous amounts of data whenever they think there might be a “terrorist threat” in some area. This basically means that you can be spied upon whenever someone in your neighborhood is identified as a threat. The Dutch people voted against this law in a referendum in 2018, but it was pushed through by the government anyway.

Data from Dutch citizens is not only accessible to the Dutch government. You wouldn’t be surprised to hear that the American intelligence agencies have a large set of juridical tools to gain acces to data all over the world. The most famous ‘Patriot Act’ is one of the tools I’m talking here. This law has been introduced right after the Twin Tower attacks on 9/11. Ever since, the FBI can make requests for information worldwide. This law has validity whenever there is just the slightest connection with the USA. For example: your e-mailing partner uses an American server. And the other way around: if an American company has access to data that has no connection to the US, this data has to be handed in to the authorities too. This again includes information like documents, cellphone calls and e-mail traffic. Companies that refuse to cooperate, are in violation with American law.

And then we have FISA, the Foreign Intelligence Surveillance Act. This act makes it so companies can be forced to intercept data. This can be done by installing taps into a fiber optic network, for example.  One of the company’s that had to place taps into their network is Level 3 communications, which runs between one third hand the half of all the internet traffic through their cables. In 2008 the FISA law was expanded by the FISA Amendments Act. This act makes it so that intelligence agencies can go and request data from non-Americans that make use of american cloud-service providers like Google Drive and Dropbox. These instances even get rewarded for sharing data. And you wonder why those services are free? It’s very difficult to find out how much data has been requested by intelligence agencies, because employee’s get gagging orders. They can’t talk about the requests, sometimes not even to their own boss. Big tech companies are allowed to publish the average number of requests they receive on the basis of the FISA act. From this knowledge we know that big tech companies receive tens of thousands of requests per year!

In the next lesson we’ll get into the dangers of connecting databases and the antidote to this danger. See you there!

__________________________________________________________________________________________________________________

Vijf jaar na publicatie van het rapport is er bovendien een cruciale technologische ontwikkeling bij gekomen die in iOverheid nog geen noemenswaardige rol speelde: Big Data. Waar Big Data precies voor staat, daar zijn de meningen over verdeeld, maar in essentie gaat het over enorme hoeveelheden gegevens die worden geanalyseerd en waaruit lessen worden getrokken over het gedrag van grote groepen mensen. De afgelopen jaren heeft de Nederlandse overheid allerlei Big Data-toepassingen omarmd. Van inlichtingendiensten die er terroristen mee pogen op te sporen tot de Belastingdienst en het ministerie van Sociale Zaken die er fraudeurs mee proberen te detecteren. Broeders heeft net een rapport voor de WRR afgerond over Big Data.

De meeste Big Data- systemen van de overheid zijn black boxes. Niemand bij de overheid begrijpt echt hoe ze werken. Daar komt nog bij dat private partijen die algoritmes bouwen.

Een overheidssysteem dat uiteindelijk ingezet wordt op basis van de zwaardmacht van de overheid, heeft een kern, een algoritmisch hart, waar de overheid zelf ook niet in mag kijken.’

En de burger? Die heeft geen idee wat er in al die black boxes met zijn gegevens gebeurt en welke beslissingen er voor en over hem worden genomen. Broeders: ‘De huidige wetgeving gaat vooral over het verzamelen en delen van informatie. Maar we zouden eens moeten gaan kijken naar hoe die informatie wordt gebruikt.’

Wat leert dit nu? Dat onschuldige burgers domweg verstrikt kunnen raken in de datakluwen van de overheid. Een overheid die niet als een Big Brother neerkijkt op haar burgers en die haar toorn op hen laat neerdalen als iets haar niet bevalt. Nee, dit is een overheid die, vaak met de beste bedoelingen, voor zo ongeveer ieder probleempje een database optuigt en later koppelt aan een andere. Dit is een overheid die de regie over de datastromen van haar burgers kwijt is geraakt.

[/wcm_restrict]

[wcm_restrict]

https://www.businessinsider.com/fbi-home-workout-fittest-app-tracks-location-data-privacy-2020-3?r=US&IR=T

Hoe private en publieke netwerken versmelten

Toen wij aan ons onderzoek naar datastromen begonnen, zagen wij surveillance door bedrijven en overheden als twee gescheiden werelden. Gaandeweg kwamen we erachter dat die werelden samenvallen. De Amerikaanse cryptograaf Bruce Schneier, die we eerder aanhaalden om duidelijk te maken waarom we onze gegevens niet beter beveiligen, noemt het zelfs een publiek-private surveillancesamenwerking: een systeem waarbinnen bedrijven en overheden wereldwijd informatie uitwisselen.

Die samenwerking is inderdaad op veel terreinen aanwijsbaar. De Nederlandse politie maakt gebruik van de diensten van Coosto, een Eindhovens bedrijf dat alle socialemedia-uitingen in Nederland bewaart en doorzoekbaar maakt. Bij grote evenementen kan de politie potentiële raddraaiers tijdig vinden. TomTom en Google en de gemeente Amsterdam werken samen om aan de hand van locatiedata verkeersstromen in de stad in kaart te brengen. De gemeente Amsterdam krijgt ook gegevens van het sociale netwerk LinkedIn, zodat ze gericht arbeidsmarktbeleid kan voeren. Anders-om kopen veel bedrijven data uit het Handelsregister van de Kamer van Koophandel en het Kadaster om consumenten en bedrijven te kunnen beoordelen, zoals Maaike Goslinga ondervond. Google maakt weer gebruik van file-informatie – die gegenereerd wordt door sensoren van Rijkswaterstaat langs de snelwegen – om de gebruikers van Google Maps een accurate in¬schatting van hun reistijd te geven.

En de belangrijkste les van de onthullingen van Edward Snowden is dat inlichtingendiensten ons niet rechtstreeks bespioneren, nee, zij bespioneren Google, Microsoft, Facebook, Yahoo! en andere advertentiebedrijven die ons bespioneren. Inlichtingen- en veiligheidsdiensten hoeven helemaal geen dure infrastructuur op te zetten om massasurveillance mogelijk te maken: ze halen de data simpelweg bij commerciële technologiebedrijven.

In Nederland is de versmelting van private en publieke surveillance ook in de wet vastgelegd. In 2005 werd de Wet bevoegdheden vorderen gegevens van kracht. Met deze wet kunnen politie en justitie gegevens als namen, telefoonnummers, e-mails, belgeschiedenissen, locatiegegevens en meer opvragen bij bedrijven en instellingen, die verplicht zijn om mee te werken.

Op het moment dat wij dit schrijven, ligt een wetsvoorstel in de Tweede Kamer dat de bevoegdheden van inlichtingendiensten aanzienlijk uitbreidt. Als het aan de regering ligt, mogen de AIVD en de MIVD straks complete databases opvragen bij bedrijven en instellingen om die te doorzoeken op bijvoorbeeld aanwijzingen voor terroristisch gedrag. De bedrijven en instellingen zijn volgens het laatste wetsvoorstel overigens niet verplicht hieraan mee te werken. Ook mogen AIVD en MIVD, aldus het voorstel, ongericht internetkabels aftappen en bijvoorbeeld naar verdachte woorden zoeken. Ook hier geldt: de diensten zetten niet zelf een surveillancesysteem op, ze haken in op bestaande, vaak commerciële, infrastructuur.

Data van Nederlandse burgers gaan niet alleen rond bij Nederlandse bedrijven en overheden, ook Amerikaanse private en publieke instellingen kunnen daar – in theorie – bij. De Amerikaanse opsporings- en inlichtingendiensten hebben een flink juridisch arsenaal tot hun beschikking om data te vergaren. Ook van Nederlanders. Bekend is de PATRIOT Act, die kort na de aanslagen op de Twin Towers werd aangenomen. De FBI mag sindsdien wereldwijd bij bedrijven en organisaties informatie opvragen, zoals documenten en data over telefoon- en e-mailverkeer. Bedrijven die dit weigeren, overtreden de Amerikaanse wet.

In 2014 vragen we bij zes ministeries met behulp van de Wet openbaarheid van bestuur documenten op over hoe ze met de PATRIOT Act omgaan. We ontvangen een verslag van een bijeenkomst uit 2013 over de PATRIOT Act op het ministerie van Financiën. Tijdens die bijeenkomst vertelt specialist Lokke Moerel van De Brauw Advocaten over de enorme reikwijdte van de PATRIOT Act. Ze legt uit dat de wet van toepassing is als er een band bestaat met Amerika. Daar is al sprake van als een Nederlands bedrijf of een Nederlandse organisatie een ‘continue en systematische’ activiteit op Amerikaanse bodem in Amerika staat. Als een Amerikaanse vestiging toegang heeft tot gegevens buiten Amerika (bijvoorbeeld van het Europese hoofdkantoor), moeten die ook worden afgegeven. Ook medewerkers met de Amerikaanse nationaliteit die toegang hebben tot bijvoorbeeld een datacentrum in Nederland kunnen door de FBI of NSA tot afgifte worden verplicht.

Naast de PATRIOT Act is er de Foreign Intelligence Surveillance Act (FISA), waarmee Amerikaanse bedrijven gedwongen kunnen worden dataverkeer te onderscheppen, bijvoorbeeld door het plaatsen van taps in het glasvezelnetwerk.

In 2008 is daar nog de FISA Amendments Act bij gekomen. Op basis van deze wet kunnen opsporings- en veiligheidsdiensten gegevens over niet-Amerikanen opvragen bij cloud-providers als het veelgebruikte Dropbox of Google Drive. Die providers krijgen een vergoeding voor hun medewerking.

Een van de bedrijven die van Amerikaanse inlichtingendiensten taps moeten plaatsen in hun netwerk is Level 3 Communications, dat een groot deel van het wereldomspannende netwerk van glasvezelkabels en routers beheert. Tussen één derde tot de helft van het wereldwijde internetverkeer loopt via de kabels van Level 3 Communications.

Een ander bedrijf dat wereldwijd veel datacentra bezit, is het Amerikaanse Equinix. Dit bedrijfbeheert ook data van onze Rijksoverheid, onder andere van Rijkswaterstaat, de Dienst Justitiële Inrichtingen en het Rijksinstituut voor Volksgezondheid en Milieu. De overheid wil haar data niet in het buitenland opslaan en heeft daarom een cloud bij Equinix in Amsterdam laten inrichten. Met een bevel op basis van de PATRIOT Act of de FISA kunnen de Amerikaanse inlichtingendiensten er toch bij komen: Equinix is immers een Amerikaans bedrijf.

Daar is ook bijna niet achter te komen. Want, zo legt specialist Lokke Moerel uit als we haar later spreken: ‘Medewerkers van een Amerikaanse vestiging die de onderschepping uitvoeren, krijgen gagging orders. Ze mogen met niemand over de verzoeken praten, soms niet eens met hun eigen directie.’

Dat de Amerikaanse diensten inzageverzoeken doen bij bedrijven, werd ook door president Barack Obama erkend. Enkele technologiebedrijven, waaronder Google, Facebook en Twitter, hebben bedongen dat ze een indicatie van het aantal verzoeken op basis van de FISA mogen publiceren. Sindsdien weten we dat de meeste grote internetbedrijven enkele tienduizenden informatieverzoeken per jaar krijgen.

Vijf jaar na publicatie van het rapport is er bovendien een cruciale technologische ontwikkeling bij gekomen die in iOverheid nog geen noemenswaardige rol speelde: Big Data. Waar Big Data precies voor staat, daar zijn de meningen over verdeeld, maar in essentie gaat het over enorme hoeveelheden gegevens die worden geanalyseerd en waaruit lessen worden getrokken over het gedrag van grote groepen mensen. De afgelopen jaren heeft de Nederlandse overheid allerlei Big Data-toepassingen omarmd. Van inlichtingendiensten die er terroristen mee pogen op te sporen tot de Belastingdienst en het ministerie van Sociale Zaken die er fraudeurs mee proberen te detecteren. Broeders heeft net een rapport voor de WRR afgerond over Big Data.

De meeste Big Data- systemen van de overheid zijn black boxes. Niemand bij de overheid begrijpt echt hoe ze werken. Daar komt nog bij dat private partijen die algoritmes bouwen.

Een overheidssysteem dat uiteindelijk ingezet wordt op basis van de zwaardmacht van de overheid, heeft een kern, een algoritmisch hart, waar de overheid zelf ook niet in mag kijken.’

En de burger? Die heeft geen idee wat er in al die black boxes met zijn gegevens gebeurt en welke beslissingen er voor en over hem worden genomen. Broeders: ‘De huidige wetgeving gaat vooral over het verzamelen en delen van informatie. Maar we zouden eens moeten gaan kijken naar hoe die informatie wordt gebruikt.’

SLEEPNET

Eind 2013 kwam zo’n sleepnet aan het licht toen bleek dat de Be-lastingdienst alle transacties van alle klanten van SMSParking had opgevraagd, een bedrijf waar automobilisten met hun mobiele telefoon voor een parkeerplaats kunnen betalen. Zo kon de Belastingdienst zien waar en wanneer leaseautorijders hun auto parkeerden en of zij zich wel aan het aantal toegestane privékilometers hielden. Het letterlijke verzoek aan SMSParking luidde: ‘Ik verzoek u alle parkeergegevens (kenteken, datum, plaats (locatie) en tijd) van uw cliënten over het jaar 2012 aan mij te verstrekken.

De eigenaar van SMSParking weigerde. Hij wilde de privacy van zijn klanten beschermen. Daarop stapte de fiscus naar de rechter. Die kwam eind november 2013 met een glasheldere uitspraak: de Belastingdienst was inderdaad te ver gegaan en zijn verzoek schond het recht op privacy, zoals beschreven in het Europees Verdrag voor de Rechten van de Mens. De rechter sprak over een ‘fishing expedition’ van de Belastingdienst, een uitgezet sleepnet in de hoop dat er iets interessants tussen zat. Dat botste volgens de rechter met het principe van een gezonde verhouding tussen burger en overheid. De rechter: ‘Het dagelijks doen en laten van de burgers gaat de overheid niets aan.

De Belastingdienst ging meteen in hoger beroep en met succes: SMSParking moest de gegevens alsnog afstaan. De hogerberoeps-rechter maakte korte metten met de woorden van zijn collega. Ook het argument dat de Belastingdienst een specifiekere aanvraag bij SMSParking had kunnen doen, door bijvoorbeeld alleen reeds ver-dachte kentekens op te vragen, werd van tafel geveegd. De rechter vatte de onaantastbaarheid van de fiscus samen met de woorden: ‘Daarbij is het niet van belang of de Belastingdienst ten tijde van het opvragen dan wel raadplegen van inlichtingen en gegevens bij een administratieplichtige ten behoeve van belastingheffing van derden nog niet weet of die inlichtingen en gegevens van belang zijn voor de belastingheffing bij een bepaalde belastingplichtige.’

Met andere woorden: de rechter gaf de fiscus de ruimte om te blijven vissen. Met sleepnet.

Later bleek dat andere parkeerbedrijven, in tegenstelling tot de dappere eigenaar van SMSParking, wél klakkeloos akkoord zijn gegaan met het verzoek. Dat betekent dat de fiscus van duizenden Nederlandse automobilisten exact weet, voor een periode van ten minste een jaar waar, wanneer en hoelang zij parkeerden. Op welk adres zij lunchten, bijvoorbeeld. Of waar zij de nacht doorbrachten. En let wel: we zijn hier alleen van op de hoogte omdat SMS-Parking bereid was om naar de rechter te stappen

Haar advocaten Guido de Bont en Annabel Vissers moesten een beroep doen op de Wet openbaarheid van bestuur om een antwoord te krijgen op die vraag. En kwamen erachter dat de Belastingdienst en het Korps landelijke politiediensten, tegenwoordig onderdeel van de Nationale Politie, een convenant hebben gesloten. Daarin is vastgelegd dat de fiscus iedere vrijdag een kopie van de politie krijgt van alle kentekenregistraties die de ruim tweehonderd mobiele en vaste politiecamera’s op de Nederlandse snelwegen maken. Dat betekent: foto’s van alle auto’s die op de Nederlandse snelwegen rijden. Terwijl de politie de plicht heeft die registraties binnen 24 uur te verwijderen. Alleen als een van de kentekens een zogenoemde hit geeft en op naam staat van een persoon die door de politie wordt gezocht of een boete open heeft staan, mag de informatie over dat kenteken bewaard blijven. Maar de Belastingdienst, zo blijkt uit het convenant, ontvangt het hele jaar door alle kentekenregistraties van een hele week, ook de no-hits, op een ‘beveiligde disk’ die door een ‘gecertificeerd koeriersbedrijf’ wordt gebracht.

In de belastingwet lezen we dat er uitzonderingen bestaan op deze geheimhoudingsplicht. Onder ‘bepaalde voorwaarden’ mogen andere overheidsdiensten wél gegevens bij de fiscus opvragen. Onder andere de AIVD, de MIVD en de officier van justitie kunnen zo toegang krijgen tot de data-goudmijnen van de fiscus. Die, zo leerden we, niet alleen uit de gegevens van miljoenen Nederlanders over werk-, loon- en bank- transacties bestaan, maar daar kunnen ook kentekenregistraties, parkeergedrag en reisgedrag in het openbaar vervoer tussen staan.

Het probleem, schrijft Solove, is niet zozeer dat al die informatie over ons verzameld wordt, het probleem is dat wij geen enkel zicht noch controle hebben op de manier waarop onze data worden gebruikt. In de woorden van Solove: ‘Het probleem […] is de macht die deze bureaucratieën over ons hebben.’

Wat leert dit nu? Dat onschuldige burgers domweg verstrikt kunnen raken in de datakluwen van de overheid. Een overheid die niet als een Big Brother neerkijkt op haar burgers en die haar toorn op hen laat neerdalen als iets haar niet bevalt. Nee, dit is een overheid die, vaak met de beste bedoelingen, voor zo ongeveer ieder probleempje een database optuigt en later koppelt aan een andere. Dit is een overheid die de regie over de datastromen van haar burgers kwijt is geraakt.

[/wcm_restrict]