Datagraaien is de nieuwe privacy hype. Althans als je de media moet geloven. Datagraaien betekent zoveel als het woord doet vermoeden: het (soms lukraak) opvragen van data, en meer specifiek, uit de cloud. Datagraaien wordt door sommigen getypeerd als eng. Eng als in dtagraaien door de Amerikaanse overheid, die met de Patriot Act in de hand door onze privé documenten snuffelt, onderzoeken van universiteiten kan bekijken, communicatie tussen Nederlandse politici afluistert en in alle documenten van het bedrijfslevenkan kijken.
Klopt dit beeld nu wel?
Datagraaien nieuw?
Datagraaien is niets nieuws. Al in 2004 werd over het eerste datagraai incident in Nederland bericht. In 2010 was het tweede incident waarover bericht werd. Dit zijn de weinige incidenten die in de media zijn geweest. Het is de vraag hoe veel vaker er in Nederlandse data is gegraaid waar wij geen weet van hebben. Het opvallende is dat het hier niet ging om de Amerikaanse overheid, maar om de Nederlands justitie die bezoekerslogs van websites opvroeg. Dit past in de Nederlandse traditie van informatie vergaren; in 2012 was Nederland (weer) kampioen telefoontaps, met bijna 25.000 afgeluisterde telefoonnummers. De Nederlandse overheid, naast bijna elke andere overheid ter wereld, heeft de bevoegdheid om data te verzamelen, alleen al op grond van strafvordering. Kortom, de regels voor het opvragen als zodanig bestaan al langer, wel zie je in de praktijk dat opsporingsinstanties zich niet altijd aan die procedures houde. Sterker nog, soms vragen ze het gewoon, kennelijk in de trant van “nee heb je, ja kan je krijgen”.
Datagraaien eng?
Het idee dat de Amerikaanse overheid zomaar door je bestanden bladert is geen prettige gedachte. Maar het gebeurt, ook in en door Nederland – getuige de hiervoor aangehaalde mediaberichten. Het is, naar onze overtuiging, niet eng, wel een aandachtspunt. Maar er zijn waarborgen, zoals hieronder zal blijken.
Voorkom datagraaien
D66 wil dat aanbieders van clouddiensten hun gebruikers met een pop-up waarschuwen over de risico’s van datagraaien door opsporingsdiensten van buiten Europa. Deze waarschuwing lijkt ons weinig zinvol. Het doet niets af aan het feit dat er nog steeds “gegraaid” kan worden. Als je echt bang bent voor de Amerikaanse overheid, dan moet je niet bij een Amerikaanse cloudaanbieder gaan. Het klinkt misschien flauw, maar het is wel de realiteit én een heel simpele oplossing voor die angst. Immers, er zijn niet-Amerikaanse aanbieders. Maar let wel, zelfs de ‘Euroclouds’ van Microsoft of Amazon bieden geen volledige bescherming tegen de Patriot Act, zo zag in 2011 een Brits defensiebedrijf om die reden af van het gebruik van Microsoft’s Office 365.
Een oplossing
Omdat het opvragen van data een aangelegenheid van opsporingsdiensten is, is het de politiek die waarborgen moet stellen. Zo kan onder de Patriot Act in beginsel niet lukraak data opgevraagd worden, maar is er een juridische grondslag nodig voor het opvragen. In Nederland valt in een aantal gevallen het opvragen van data door justitie onder de Wet Bijzondere OpsporingsBevoegdheden. Deze wet bevat waarborgen, zoals benodigde toestemming van de Rechter Commissaris, voordat data opgevraagd kan worden. Het is aan de politiek om er voor te zorgen dat de bescherming van de privacy gewaarborgd wordt, en het is aan de politiek om dat te controleren.
Wij delen het beeld van datagraaien in de media niet helemaal. Uit bovenstaande volgt dat een en ander genuanceerder ligt en oplossingen liggen voor de hand. De politiek is in die zin aan zet dat, bijvoorbeeld, onderzocht kan worden of de huidige waarborgen toereikend zijn. Wordt ongetwijfeld vervolgd.
Auteurs: Menno Weij en Joost van Eymeren
