Al ruim een half jaar houdt de affaire het nieuws in haar greep: de Snowden leaks. De reactie in Nederland en België op de oorspronkelijke onthullingen waren niet bepaald oververhit. In de maanden die op die eerste onthullingen volgden, zijn er af en toe details aan het licht gekomen die menigeen de wenkbrauwen heeft doen fronsen. Zo was er in september het nieuws dat Belgacom het niet heeft kunnen voorkomen dat geheime diensten zich toegang verschaften tot het telefoonverkeer van Belgische regeringsleden en leden van de Europese Commissie. In Nederland is de nasleep nog wel het grootst geweest over de 1,8 miljoen gegevens over telefoongesprekken van Nederlanders waarover de NSA beschikte. Waren die nu door de Amerikanen of door de Nederlanders zelf afgeluisterd? Het feit dat spionage op een dergelijke schaal voorkomt, lijkt van ondergeschikt belang – niemand in Nederland of België die ervan wakker ligt.
Hoe anders is dat in Duitsland (waar het hoofdkantoor van G Data Software AG, het bedrijf waarvoor ik werk, is gevestigd). Al in september gingen mensen daar de straat op om te protesteren tegen de grootschalige spionage van een bevriende natie. Toen duidelijk werd dat Bondskanselier Merkel was afgeluisterd, was het land te klein. En ook nu nog is de verontwaardiging en angst groot. Waarin zit hem nu het grote verschil?
Ik ben geen socioloog, geschiedkundige of psycholoog. Maar ik vermoed dat het proces van ‘Wiedergutmachung’ hier een rol speelt. Toen na de tweede wereldoorlog volledig doordrong bij de Duitse bevolking wat voor vreselijke praktijken er mede door hun toedoen hadden plaatsgevonden, en dat dit alles vergemakkelijkt werd door een goede gemeentelijke administratie, is er een intense aversie tegen uitgebreide databases ontstaan. Privacy werd sindsdien gezien als één van de grootste goederen en dat wordt tot de dag van vandaag vurig verdedigd. Niet voor niets hebben Google en Facebook hun werkwijze in Duitsland moeten aanpassen om te voldoen aan de strenge Duitse privacywetgeving.
Sinds Snowden zijn klokken is gaan luiden, hebben consumenten en bedrijven in Duitsland het verband gezien tussen de NSA, de Patriot Act en leveranciers van Amerikaanse origine. De Amerikaanse overheid gelast alle Amerikaanse bedrijven om databases aan te leggen van hun klanten, daar allerlei gegevens in op te slaan (en te bewaren) die de overheidsinstanties mogelijk zouden kunnen helpen om terroristen op te sporen. Ook is het niet toegestaan om encryptie te verkopen die zo sterk is, dat die niet binnen een redelijke termijn te ontsleutelen is (tenzij er een backdoor in gebouwd wordt die beschikbaar moet worden gesteld aan de overheid als die daarom vraagt). Door de Patriot Act is er geen gerechtelijk bevel nodig voor het invorderen van klantgegevens en gegevens die de klant op de één of andere manier (ook bijvoorbeeld opgeslagen in de cloud) toegankelijk heeft voor de aanbieder van de betreffende IT-service.
Is dat paranoïde? Zijn die Duitsers mal bezig? De Europese Commissie vindt in elk geval van niet. Er zijn verregaande discussies tussen de parlementsleden en de Europese IT-sector om bijvoorbeeld een ‘All European Cloud’ te bewerkstelligen. Zo kunnen de gebruikers van die cloud er zeker van zijn dat privacy gewaarborgd is, en dat niemand zonder gerechtelijk bevel bij de gegevens in die cloud kan.
Ook voor security software kan het nuttig zijn om goed te kijken naar het land van herkomst van de oplossing. Als er in een pakket bijvoorbeeld versleuteling wordt aangeboden, hoe waardevol is dat gedeelte dan als het om Amerikaanse versleuteling gaat? En hoe zeker kun je ervan zijn dat er geen achterdeur in de software zit? En hoe gaat een leverancier om met een verzoek van de overheid om een bepaald virus niet te blokkeren, omdat het bedoeld is voor staatsspionage? Helaas kunnen veel security-leveranciers hier geen eenduidige antwoorden op geven. Tenzij ze uit Europa komen. Zo heeft G Data zich al in 2011 aangesloten bij Teletrust initiatief, waarbij plechtig is beloofd om de privacy van de klant te respecteren en niet mee te werken aan verzoeken van overheden en geheime diensten. Andere Europese antivirus-leveranciers hebben in de publiciteit duidelijk stelling genomen tegen backdoors in beveiligingssoftware en tegen samenwerking met geheime diensten. Als klant weet je dan dat je in elk geval één vijand minder hebt en dat je een bondgenoot hebt in de strijd tegen degenen die je gegevens te pakken willen krijgen – wie dat ook mag zijn.
Jan van Haver, country manager Benelux & UK bij G Data Software