Wie heeft toegang tot de data?
‘Veel bedrijven achter corona-apps werkten samen met inlichtingendiensten’
IPS / Avi Asher-Schapiro
09 april 2020
Regeringen wereldwijd overwegen surveillance via mobiele telefoons en apps om de verspreiding van het coronavirus te volgen en in te dammen. ‘Het is problematisch dat veel bedrijven in dit universum in het verleden hebben samengewerkt met inlichtingendiensten die weinig loslaten over hun activiteiten.’
pixabay (CC0)
Regeringen wereldwijd overwegen surveillance via mobiele telefoons en apps om de verspreiding van het coronavirus te volgen en in te dammen. ‘Het is problematisch dat veel bedrijven in dit universum in het verleden hebben samengewerkt met inlichtingendiensten die weinig loslaten over hun activiteiten’, zegt Bill Marczak, expert op het gebied van surveillancetechnologie.
In verschillende Europese landen, waaronder België en Nederland, wordt gesproken over een mobiele app om de verspreiding van het in te dammen. In Italië, Duitsland en Oostenrijk meldden telecombedrijven volgens Reuters dat ze geanonimiseerde locatiedata overhandigen aan overheden. Individuen zouden op basis van die data niet geïdentificeerd kunnen worden.
Andere media rapporteren dat overheden in Zuid-Korea en Zuid-Afrika de locatie van telefoons monitoren en Israël gaf de veiligheidsdiensten deze maand toestemming de infectie te traceren via toegang tot locatiegegevens en andere data van miljoenen telefoongebruikers. Volgens de New York Times zouden die data al sinds 2002 verzameld worden.
De Israëlische premie Benjamin Netanyahu zei dat het programma “de balans tussen individuele rechten en die van de samenleving als geheel” respecteert.
NSO Group
In Iran, Polen en India wordt gewerkt aan een app die mensen in quarantaine kan volgen en die traceert met wie mensen die besmet zijn met covid-19 contact hebben gehad.
Hoewel gezondheidsexperts stellen dat strikte beperkingen op de bewegingsvrijheid nodig zijn om het virus in te dammen, zijn journalisten zich zeer bewust van de risico’s die dit soort technologie meebrengt voor hun werk.
In de afgelopen jaren bracht het Comité ter Bescherming van Journalisten (CPJ) in kaart hoe Pegasus, Israëlische surveillancetechnologie van het bedrijf NSO Group waarmee overheden individuele mobiele telefoons kunnen hacken, werd gebruikt om journalisten te volgen. NSO Group zegt inmiddels onderzoek te doen naar misbruik van de technologie.
Het CPJ heeft ook vastgelegd hoe medewerkers van inlichtingendiensten misbruik kunnen maken hun toegang tot mobiele netwerken, en zo journalisten en hun netwerken kunnen volgen.
Privacy
Volgens Bill Marczak, postdoctoraal onderzoeker aan de Universiteit van Californië (Berkeley) en expert op het gebied van surveillancetechnologie, kan het zeer moeilijk zijn om technologie die uitgerold wordt tijdens een crisis, daarna weer te ontmantelen. Die technologie kan ook gebruikt worden tegen journalisten in kwetsbare situaties.
‘Ook op basis van anonieme data kan altijd achterhaald worden waar mensen zijn: thuis, op hun werk, onderweg of buiten aan het wandelen.’
Veel regeringen willen surveillance via mobiele telefoons introduceren om de verspreiding van het coronavirus tegen te gaan. Bent u bezorgd over de manier waarop deze systemen worden gebouwd?
Bill Marczak: Altijd als er een dringende noodzaak is om meer informatie te verzamelen over mensen, moeten we extra opletten omdat er dan verkeerde dingen kunnen gebeuren. Er kunnen dan heel snel systemen gelanceerd worden zonder grondige evaluatie, omdat er haast mee is. Privacy en veiligheid kunnen dan op de tweede plaats komen.
Wat we nu weten over locatiedata van mobiele telefoons, is dat ook op basis van anonieme data altijd achterhaald kan worden waar mensen zijn: thuis, op hun werk, onderweg of buiten aan het wandelen. En bij journalisten is dus na te gaan of ze met een bron spreken.
Door de crisis liggen er veel voorstellen voor betere surveillance via mobiele telefoons. Gaan die te ver volgens u?
Bill Marczak: Aan de ene kant van het spectrum, zoals in Israël, zien we nu autoriteiten die openheid geven en zeggen dat ze eigenlijk al sinds 2002 metadata over locaties verzamelen. En dat ze die data nu gaan gebruiken voor de publieke gezondheid.
Daarnaast zijn er voorstellen voor apps die mensen kunnen downloaden op hun telefoon. Sommige daarvan volgen waar je je bevindt. Andere zouden dat niet doen volgens de makers.
In Singapore bijvoorbeeld, is een app uitgerold die nabijheidstracering mogelijk maakt. Via bluetooth worden telefoons in de buurt waarop de app geïnstalleerd is, gepingd. Zo kun je zien welke telefoons bij elkaar in de buurt zijn. Als iemand besmet is geraakt, kan het ministerie van Gezondheid die omgevingsdata gebruiken om na te gaan wie contact heeft gehad met de patiënt. Voor deze technologie is niet altijd een centrale database nodig waarin de locatiegeschiedenis van iedereen te vinden is.
Nabijheidsdata kunnen echter ook problematisch zijn, afhankelijk van waar die wordt opgeslagen. Zelfs als dat op je eigen telefoon is, kan die telefoon in beslag genomen worden door de autoriteiten. Je kunt je een situatie voorstellen waarin regeringen zeggen: “Deze persoon is een journalist of activist, laten we eens kijken met wie hij of zij contact heeft gehad en de telefoon in beslag nemen”.
‘In de VS hebben we gevallen gezien waarbij premiejagers toegang kregen tot de locatie van mensen, via bemiddelaars die deze data doorverkopen.’
Dit soort privacyproblemen kunnen zich voordoen met nabijheidstracering, hoewel dat waarschijnlijk niet op grote schaal zal gebeuren als data alleen vastgelegd worden op individuele telefoons.
Er bestaat wat verwarring over de manier waarop overheden toegang krijgen tot deze informatie op telefoons. Hoe werkt dat precies?
Bill Marczak: Technisch gezien hoeft een overheid alleen maar naar een provider te stappen en inzage in de data te eisen. Er kan dan een soort constructie komen waarbij het telecombedrijf de gegevens transporteert naar een database van de overheid. Of er kan een situatie ontstaan waarbij de data bij het telecombedrijf blijven en de overheid in de loop van de tijd data opvraagt.
Uiteindelijk is het zo dat telecombedrijven dit soort informatie ontvangen en kunnen opslaan, en dat ze dat ook doen.
In de VS hebben we gevallen gezien waarbij premiejagers toegang kregen tot de locatie van mensen, via bemiddelaars die deze data doorverkopen. We kunnen dus aannemen dat telecombedrijven deze data verzamelen en opslaan, en dat ze die kunnen doorverkopen en delen.
Sommige private bedrijven laten nu weten dat ze systemen kunnen leveren die locatiegegevens verzamelen, en die nuttig zijn om het virus te bestrijden.
Bill Marczak: Er waren berichten dat NSO Group mogelijk werkte aan een ‘nieuw systeem’. De beperkte informatie daarover maakt het niet mogelijk na te gaan hoe dat eventuele systeem precies werkt. Maar je kunt je een situatie voorstellen waarin iemand gediagnosticeerd wordt, een nummer krijgt, en dat NSO Group dan locatietracking aanzet voor dat nummer. Dit kun je combineren met CCTV of gezichtsherkenningstechnologie om notificaties te versturen als anderen in contact komen met de geïnfecteerde persoon. Maar dat weten we niet. NSO heeft hierover geen informatie naar buiten gebracht.
(Het CPJ heeft NSO Group eind maart om meer informatie gevraagd over deze technologie gevraagd, maar kreeg voor publicatie van dit artikel geen reactie - IPS)
‘Veel bedrijven in dit universum hebben potentieel meegeholpen aan het bespioneren van journalisten en activisten in het verleden. Dat baart mij zorgen.’
De particuliere surveillance-industrie staat niet bekend om zijn respect voor mensenrechten in het algemeen, en persvrijheid in het bijzonder. Vorig jaar riep de speciale VN-rapporteur zelfs op tot een wereldwijd verbod op deze technologie. Moeten we ons zorgen maken als deze partijen zich nu aanbieden?
Bill Marczak: Gezien de – overigens begrijpelijke - urgentie waarmee veel regeringen het coronavirus benaderen, zullen ze oplossingen gebruiken die op de plank liggen. Ze zullen oplossingen kopen bij bestaande surveillancebedrijven. Het is problematisch dat veel bedrijven in dit universum in het verleden hebben samengewerkt met inlichtingendiensten die weinig loslaten over hun activiteiten. Ze hebben potentieel meegeholpen aan het bespioneren van journalisten en activisten in het verleden. Dat baart mij zorgen.
Over iets anders maak ik me ook zorgen. Als een regering eenmaal geld uittrekt voor een nieuw surveillancesysteem voor locatietracering, met het coronavirus als argument, wat gebeurt er dan als het virus weg is? Hoe wordt het dan gebruikt? Krijg het een nieuw doel? Als je een systeem introduceert om mensen te volgen, zal dat waarschijnlijk niet verdwijnen in de toekomst.
Moeten journalisten bezwaar maken, nu regeringen meer bevoegdheden en technische capaciteit willen om mobiele telefoons te volgen?
Bill Marczak: Ik wil mensen niet aanmoedigen om traceringspogingen te ondermijnen als ze geïnfecteerd zijn. Maar ze moeten zich realiseren dat deze track & trace-software misschien ook nog gebruikt kan worden als de crisis voorbij is. Als je gedwongen wordt iets te installeren op je telefoon, en je kunt er geen ‘nee’ tegen zeggen, dan stap je een land binnen waar je gevolgd wordt. Misschien kun je dan beter even geen contact hebben met een bron die je moet beschermen.
‘Regeringen die manieren zoeken om hun autoritarisme te verfijnen, kunnen het coronavirus net als fake news, cybersecurity of terrorisme aangrijpen om hun macht te vergroten.’
Welke rol kunnen journalisten nu spelen?
Bill Marczak: Ze moeten deze nieuwe plannen onderzoeken. Als een regering zegt aan locatietracering te doen, of aan contactonderzoek, moeten ze uitzoeken wat er precies gebeurt. Welk bedrijf levert die technologie? Wie heeft toegang tot de data?
Staan we momenteel op een keerpunt, als het gaat om telefonische surveillance?
Bill Marczak: Het is vroeg om daar iets over te zeggen, maar ik heb er wel een idee over. Regeringen die manieren zoeken om hun autoritarisme te verfijnen – regimes die meer controle willen of meer invloed op het leven van hun burgers – kunnen het coronavirus net als fake news, cybersecurity of terrorisme aangrijpen om hun macht te vergroten. Voor zo’n regering zijn in feite alleen de kosten een barrière om altijd te weten waar iedereen zich bevindt.
In een democratische context zijn het de kosten en de wetgeving of controles die in het systeem gebouwd zijn. We zullen steeds vaker horen dat we deze traceermethodes moeten gebruiken om weer verder te kunnen met ons leven.