Politics of Fear

EFF: cybercrimeverdrag VN vormt bedreiging voor privacy en meningsuiting

Deze en volgende week vinden er besprekingen plaats over het cybercrimeverdrag van de Verenigde Naties, maar het voorstel dat nu op tafel ligt vormt een serieuze bedreiging voor de vrijheid van meningsuiting, privacy en de legitieme werkzaamheden van journalisten, klokkenluiders, activisten en anderen, zo stelt de Amerikaanse burgerrechtenbeweging EFF dat bij de onderhandelingen is betrokken.

Volgens de EFF zullen onder de huidige brede, ongedefinieerde en subjectieve termen ook de vrijheid van meningsuiting, nieuwsverslaggeving, protesten en meer vallen. Daarnaast maakt de EFF zich zorgen over het toevoegen van "te brede en ongedefinieerde concepten" waardoor surveillancemaatregelen mogelijk worden, alsmede bepalingen die encryptie kunnen ondermijnen.

"Het voorgestelde VN-cybercrimeverdrag heeft de potentie om strafrecht en -procedures wereldwijd te herschrijven, nieuwe misdrijven toe te voegen en nieuwe politiebevoegdheden te introduceren voor zowel binnenlandse als internationale onderzoeken, die de rechten van miljarden mensen wereldwijd raken", waarschuwt de EFF.

Vorig jaar mei maakte de Europese privacytoezichthouder EDPS ook al zijn zorgen kenbaar en waarschuwde dat het verdrag de bescherming van fundamentele rechten van personen kan aantasten.

Alles bij de bron; Security

EC accepteert hoge foutmarge bij controle chatberichten

Als chatdiensten en andere techbedrijven straks verplicht worden om alle berichten en andere content van gebruikers te controleren op kindermisbruik en grooming, geldt daarbij een hoge foutmarge.

De Europese Commissie zegt, na vragen van de Duitse overheid over de ‘volwassenheid’ van de scantechnologie, dat deze een nauwkeurigheidspercentage van negentig heeft. Er zullen dus flink wat false positives zijn – zie ook de Google-zaak in de VS waarbij een vader al zijn content kwijtraakte nadat Google een medische foto aanmerkte als kinderporno.

Volgens de Commissie worden de door de technologie aangemerkte berichten ook nog eens handmatig gecontroleerd door een nog op te richten centrum.

Over encryptie merkte de Commissie op dat die weliswaar belangrijk is om privécommunicatie te beschermen, maar dat diezelfde encryptie ook ‘misdadigers helpt om zich te verbergen’. Er is daarom besloten encryptie niet uit het voorstel te laten.

Privacyorganisaties in de EU zijn zeer bezor door de technologie aangemerkte berichten ook nog eens handmatig gecontroleerd door een nog op te richten centrum.

Over encryptie merkte de Commissie op dat die weliswaar belangrijk is om privécommunicatie te beschermen, maar dat diezelfde encryptie ook ‘misdadigers helpt om zich te verbergen’. Er is daarom besloten encryptie niet uit het voorstel te laten.

Privacyorganisaties in de EU zijn zeer bezorgd over de plannen. Ze spreken van een serieus risico voor de fundamentele rechten van 450 miljoen Europeanen.

Alles bij de bron; Cops-in-Cyberspace

Banken als particuliere terreurbestrijders.

Toen de voorzitter van de Ulu-moskee in Heemskerk begin vorig jaar wilde inloggen op de online betaalrekening kreeg hij na het intikken van de pincode, kreeg geen saldo te zien maar een ander scherm: „Uw rekening is geblokkeerd.”

Als de ABN Amro-bank wordt gebeld, zegt de klantenservicemedewerker dat de moskee maar even moet afwachten. Een paar maanden later valt er een brief door de bus. Er staat in dat er een „klantonderzoek” loopt naar de moskee. „Om u, de maatschappij en onszelf te beschermen” tegen het „financieren van terrorisme”. Voorzitter Birol houdt de brief omhoog. „Dit is hem.” Zijn stem slaat over. „Wij, terroristen?! Ik wist niet wat ik las.”

Banken zijn de afgelopen jaren veranderd in particuliere terreurbestrijders. Ze zijn door de overheid verantwoordelijk gemaakt voor het opsporen van transacties die bestemd zijn voor terroristische doeleinden. Het idee erachter is simpel: als terroristen niet aan geld kunnen komen, wordt het plegen van een aanslag een stuk lastiger. Het vinden van dat ‘terreurgeld’ is minder eenvoudig. Banken moeten daarvoor hun klanten en geldstromen doorlichten.

Daar heeft toezichthouder De Nederlandsche Bank (DNB) beleid voor ontwikkeld. Dat heeft een naam: „risicogebaseerd werken”. Banken moeten de achtergronden van hun klanten in beeld brengen, en daar een risicoprofiel aan hangen: een inschatting van hoe waarschijnlijk het is dat de klant terrorisme financiert. Als de bank vermoedt dat er iets mis is, volgen sancties. De naam van zo’n klant kan worden doorgegeven aan de politie, hij kan op een zwarte lijst komen of zijn bankrekening kwijtraken.

De Ulu-moskee in Heemskerk krijgt er begin 2021 mee te maken. Na ontvangst van de brief over een „klantonderzoek” wordt duidelijk dat het de bank niet specifiek te doen is om deze moskee. Dezelfde brieven worden gestuurd aan tientallen andere organisaties en bestuurders van de koepel waar de moskee bij hoort. De brieven, ingezien door NRC, staan vol gedetailleerde vragen over ogenschijnlijk reguliere overboekingen.

In het opsporen van terrorismefinanciering laten banken zich leiden door zogeheten indicatoren: kenmerken van een verdachte klant of betaling. Op soortgelijke wijze proberen banken ook witwassen op te sporen.

Maar hoe herken je een terrorist aan zijn betaalrekening? „Niet”, zegt Marieke de Goede, hoogleraar politicologie aan de Universiteit van Amsterdam. Zij evalueerde in 2018 de aanpak van terrorismefinanciering voor onderzoeksinstituut WODC. De conclusie: het beleid werkt niet goed. Het uitgavenpatroon van een terrorist is nauwelijks te onderscheiden van dat van andere mensen.

Terwijl het in de praktijk dus een onmogelijke opgave is, leggen de overheid en toezichthouder DNB veel druk op banken om terrorismefinanciering te rapporteren. Het gevolg, zegt De Goede, is dat banken op vergaande manieren proberen om toch iets te vinden. Ze laten computers via algoritmes zoeken naar klanten die voldoen aan bepaalde patronen die zouden wijzen op terrorismefinanciering. Een dubieuze aanpak, vindt De Goede. „Voor je het weet, ben je onderscheid aan het maken op grond van geloofsovertuiging.”....

....Van etnisch profileren willen banken niets weten, „dat doen ze niet”, aldus de Nederlandse Vereniging van Banken (NVB). Maar ze ziet ook dat de jacht op terrorismefinanciering nevenschade met zich meebrengt. Misschien wel te veel, zegt hoofd veiligheidszaken Yvonne Willemsen van de NVB. „We hebben met zijn allen een enorm systeem opgetuigd, maar wat is het resultaat? Is Nederland nu een stukje veiliger geworden? Ik vrees van niet.”

Alles bij de bron; NRC [Thnx-2-Niek]

AIVD: Dreiging uit extreemrechtse hoek neemt toe: 'Aanslag is voorstelbaar'

Rechts-extremisme en antioverheidsprotesten zijn vorig jaar een groter veiligheidsprobleem geworden, blijkt uit het jaarverslag van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) over 2021. Het is inmiddels voorstelbaar dat rechtse extremisten een terroristische aanslag zullen plegen.

De inlichtingendienst besteedt o.a. uitgebreid aandacht aan een terroristische rechts-extremistische stroming die 'accelerationisme' wordt genoemd. Aanhangers daarvan denken dat er een rassenoorlog komt en willen die versneld ontketenen door aanslagen te plegen.

Volgens de AIVD hebben deze groepen "enkele honderden aanhangers". Bovendien zouden deze bewegingen in omvang toenemen. "De verwachting is dat maar een kleine minderheid zelf terroristisch geweld wil gaan gebruiken, maar het is niet goed te voorspellen wie die stap zal zetten."

De inlichtingendienst meldt dat ook uiterst linkse activisten, met name anarchisten, vorig jaar voet aan de grond hebben gekregen. Extremisme onder deze groepen is echter nauwelijks een probleem. Ook jihadisme is nog altijd een bedreiging voor Nederland, is te lezen in het rapport. Deze stroming zou echter niet groter of gewelddadiger zijn geworden.

Alles bij de bron; NU

Minister: snel wetsvoorstel om knelpunten AIVD en MIVD weg te nemen

Het kabinet zal snel met een wetsvoorstel komen om de knelpunten in het cyberdomein weg te nemen waar de AIVD en MIVD last van hebben, zo laat minister Yesilgöz in een brief aan de Tweede Kamer weten. De minister gaf een update over de stand van zaken op het gebied van cybersecurity in relatie tot het conflict in Oekraïne.

De minister stelt dat er nog geen concrete aanwijzingen zijn dat digitale aanvallen in relatie tot de oorlog in Oekraïne impact hebben op Nederland. Wel onderstreept de situatie volgens Yesilgöz het belang om Nederland te beschermen tegen landen met een offensief cyberprogramma, zoals Rusland.

"Zoals al eerder gemeld, wordt gewerkt aan een oplossing voor de knelpunten in het cyberdomein die de AIVD en MIVD ondervinden. De ministers van Defensie en van Binnenlandse Zaken en Koninkrijksrelaties zullen, daarbij de motie van de heer Van der Staaij indachtig, zo snel mogelijk met een wetsvoorstel komen", aldus de minister, die verder toevoegt dat er op dit moment geen sprake is van crisisopschaling op het cyberdomein...

..."De geheime diensten roepen al langere tijd om meer bevoegdheden en minder toezicht. En daarbij schuwen ze het aangrijpen van crisissituaties niet", zegt Lotte Houwing van burgerrechtenbeweging Bits of Freedom. Volgens Houwing wordt de inval van Rusland in Oekraïne aangegrepen om momentum te creëren voor een wetsvoorstel dat het toezicht afschaalt en de bevoegdheden van de geheime diensten nóg groter en ongerichter maakt. "Daar komt de bescherming van onze fundamentele rechten en vrijheden nogal berooid vanaf."

Bits of Freedom wil naar eigen zeggen niet afdoen aan de humanitaire ramp die nu door Russische agressie plaatsvindt in Oekraïne of de bedreiging die dat oplevert voor Europa en Nederland. "Maar deze crisis mag er niet toe leiden dat we hier klakkeloos waarborgen overboord gooien en onze rechten en vrijheden op het spel zetten. Zo bescherm je namelijk ook geen vrij en democratisch Europa."

Alles bij de bron; Security

Inlichtingendiensten misbruiken Oekraïne-crisis aan om bevoegdheden uit te breiden

De Nederlandse inlichtingendiensten grijpen de oorlog in Oekraïne aan om meer bevoegdheden te verkrijgen. In een nog geheim conceptwetsvoorstel, deels ingezien door de Volkskrant, staat dat ze in bepaalde gevallen zonder toestemming vooraf mogen hacken en tappen, en dat ze ‘kabelinterceptie’ – het op grote schaal tappen van internetverkeer – ongericht mogen inzetten.

De voorstellen staan op gespannen voet met recente uitspraken van het Europees Hof voor de Rechten van de Mens (EHRM)....

....Uit het conceptvoorstel blijkt dat het kabinet een aantal veranderingen wil. Zo wil men geautomatiseerde data-analyse (GDA) toestaan zonder toets van de toezichtscommissie. GDA is het geautomatiseerd in bulkdata zoeken naar patronen en verbanden tussen netwerken, telefoons en computers. Het vormt een ernstige inbreuk op de persoonlijke levenssfeer. Nu moeten de diensten eerst duidelijk maken welke gegevens ze willen verwerken, welke bulkbestanden ze daarvoor gebruiken (bijvoorbeeld passagiersgegevens) en waarom dat ‘zo gericht mogelijk is’. Het voorstel is om dat los te laten en breder zoeken toe te staan.

Een tweede voorstel is om kabelinterceptie ook mogelijk te maken voor zogeheten target discovery, ook wel ‘onbekende doelwitten’ genoemd. Ongericht meekijken en -luisteren, dus. Dat betekent dat als de AIVD of MIVD vermoedt dat er een bepaalde digitale dreiging is, de diensten op grote schaal internetverkeer kunnen aftappen en daarin zelf kunnen zoeken. De toetsingscommissie, die nu toeziet op het tappen met vooraf bekende doelwitten en selecties, wordt buitenspel gezet. Een ingewijde: ‘Dit betekent dat de diensten feitelijk zeggen: vertrouw ons maar, wij weten wel wat we doen.’

Ook wil het kabinet het mogelijk maken om niet-exclusieve apparaten ‘bij te schrijven’. Als een doelwit van de diensten van apparaat wisselt – of een Russische hackgroep van computerserver naar computerserver gaat – hoeven AIVD en MIVD hierdoor niet steeds opnieuw om toestemming te vragen. Dat moet wel als ze ineens bij een totaal ander apparaat uitkomen, bijvoorbeeld een router van een particulier. Niet kunnen bijschrijven is een doorn in het oog van de diensten en vertraagt hun werk. Een ander voorstel is om bij de ontdekking van een aanvalsnetwerk, zoals de Russische groep die Nederlandse routers had gehackt, de mogelijkheid te bieden om Nederlandse slachtoffers, zonder toets vooraf, te mogen hacken. Ook hier krijgen de diensten feitelijk vrij spel....

Het kabinet had eerder een juridisch advies gevraagd over de aanpassing van de inlichtingenwet en recente uitspraken van het Europees hof. Dat advies was in januari klaar en werd vorige week naar de Kamer gestuurd – na de Russische invasie. Opvallend genoeg pleiten de auteurs daarin juist voor versterking van de TIB, de Toetsingscommissie Inzet Bevoegdheden.

Zij adviseren de TIB te verzwaren door er een rechtscollege van te maken. Ook schrijven zij dat de verwerking van gegevens, zoals de selectie, ‘voorwerp dient te zijn van een autorisatie vooraf.’ Daar wil het kabinet nu juist in sommige gevallen van af. Bij urgente dreigingen kunnen AIVD en MIVD nu al zonder toestemming opereren. Deze spoedprocedure werkt volgens ingewijden prima en wordt wekelijks ingezet.

Dat de diensten de situatie in Oekraïne aangrijpen voor de wetswijziging, wekt verbazing. De oorlog is tot nu toe niet gepaard gegaan met grootschalige digitale aanvallen. Bovendien is in het verleden gebleken dat de AIVD en MIVD goed zicht hebben op Russische hackgroepen. Bronnen bevestigen dat. ‘De AIVD zit continu in verschillende hackgroepen’, zei een inlichtingenbron eerder. Wanneer het wetsvoorstel naar de Kamer gaat, is nog onduidelijk.

Alles bij de bron; Volkskrant [lang-lezen-artikel]

Signal waarschuwt voor desinformatie over veiligheid van chatapp

Chatapp Signal heeft een waarschuwing gegeven over berichten dat de veiligheid van de app in het geding is. Er zou sprake van een desinformatiecampagne zijn.

Op Twitter meldt Signal; "Dit is niet waar. Signal is niet gehackt. We denken dat deze geruchten onderdeel van een gecoördineerde desinformatiecampagne zijn, bedoeld om mensen minder veilige alternatieven te laten gebruiken", aldus Signal.

Deze geruchten zouden via verschillende andere chatapps worden verspreid en aan officiële overheidsfunctionarissen worden toegeschreven.

Alles bij de bron; Security

Het is niet alleen corona dat de overheid aanzet tot rommelen met burgerrechten - column -

....het is al treurig genoeg dat de bewaking van burgerrechten terecht is gekomen in dit troebele water, we moeten het daar uittrekken.

Je hoeft niet te geloven dat we in een dictatuur leven of worden belaagd door de duistere krachten van het World Economic Forum om je zorgen te maken over de digitale surveillance waaraan burgers worden blootgesteld. Dat was voor corona al gaande, denk aan de koppeling van bestanden met persoonsgegevens of aan camerabewaking in de openbare ruimte, maar door de pandemie is het in een stroomversnelling geraakt.

De coronapas was of is daarvan het meest sprekende voorbeeld, omdat die in potentie – al kwam het in Nederland zover nooit – de toegang tot het publieke leven kan laten afhangen van wel of niet gevaccineerd zijn. Maar dat neemt niet weg dat we nu beschikken over een instrument, ook als het wordt uitgeschakeld, dat diep kan ingrijpen in de vrijheid van burgers, zonder dat er duidelijke wettelijke criteria voor zijn vastgelegd: onder welke omstandigheden, hoe lang, met welk doel?

Het is bovendien niet alleen corona dat de overheid aanzet tot rommelen met burgerrechten. In de Volkskrant beschreef Huib Modderkolk gisteren hoe onder meer in de naam van terrorismebestrijding een ‘tijdelijke’ wet is verlengd die maatregelen toestaat – zoals een gebiedsverbod – zonder dat het strafrecht eraan te pas komt.

Wat ontstond in de sfeer van acute dreiging, is omgezet in een permanente aantasting van rechten, gewoon voor de zekerheid. Zo zijn er altijd ‘dringende’ redenen om vrijheden te beperken – terrorisme, publieke gezondheid, fraudebestrijding – en digitaal kan er van alles. Maar we kunnen het niet aan complotdenkers overlaten om in de gaten te houden wat er gebeurt.

Alles bij de bron; Trouw

De coronapas zal nooit meer helemaal verdwijnen - column -

Er heerst een hardnekkig misverstand over de coronapas. Minister Ernst Kuipers van Volksgezondheid zei vorige week dat hij dolgraag van het toegangsbewijs af wil. Het is alleen nog niet het goede moment, voegde hij er meteen aan toe.

In diezelfde week stuurde zijn collega-minister van Justitie en Veiligheid een nota naar de Eerste Kamer. Weinig mensen zullen het hebben gelezen, de titel (Nota naar aanleiding van het verslag bij wetsvoorstel wijziging van de Tijdelijke wet bestuurlijke maatregelen terrorismebestrijding) is allerminst uitnodigend, maar het zet de woorden van Kuipers in een zekere context.

De nota gaat over een tijdelijke wet die ingrijpende vrijheidsbeperkende maatregelen oplegt. Zo’n wet, zeg maar, waarop ook de QR-code is gebaseerd. Een wet ontstaan door uitzonderlijke omstandigheden die om uitzonderlijke maatregelen vraagt.

Die wet kent een kleine en relevante geschiedenis. In mei 2006 diende minister Donner (Justitie) het voorstel in om de overheid de mogelijkheid te geven de bewegingsvrijheid te beperken van personen die in verband worden gebracht met terrorisme (denk aan gebiedsverboden). De Tweede Kamer was kritisch over het voorstel. De partijen misten een goede motivering en de voorgestelde maatregelen waren zeer fors, maar het voorstel kreeg een meerderheid. Altijd goed om iets tegen terrorisme te doen.

De Eerste Kamer was nog kritischer. Nederland dreigde met dit soort wetten een politiestaat te worden, meende de PvdA. Er kwam geen meerderheid. En toen in 2009 uit een evaluatie van antiterrorismemaatregelen ook nog bleek dat er geen noodzaak was voor de wet, stierf die een stille dood.

Tot-ie in 2017 weer opdook als Tijdelijke wet. Wederom waren er allerlei bezwaren, maar door de dreiging van internationaal terrorisme werd-ie ditmaal aangenomen door de Tweede en de Eerste Kamer. Voorwaarde was wel dat de wet binnen drie jaar zou worden geëvalueerd en dat de maximale termijn vijf jaar zou zijn.

De evaluatie was helder. De wet deed niet waarvoor hij was bedacht. Veertig keer is inzet overwogen, zeven keer is de wet daadwerkelijk ingezet. Dat gebeurde om een gebiedsverbod of uitreisverbod op te leggen, vaak nadat iemand zijn straf al had uitgezeten – geen oogmerk van de wet. Bovendien leverde de wet geen bijdrage aan deradicalisering.

De Orde van Advocaten pleitte daarom tegen verlenging, de Raad van State was buitengewoon kritisch. De dreiging van terrorisme was intussen afgenomen. U raadt het al: de minister wil de wet desondanks tot 2027 verlengen en de Tweede Kamer is akkoord gegaan. Wat er eenmaal is, laat zich niet zomaar afschaffen. Tijdelijk is zelden tijdelijk. Zelfs als de noodzaak uiterst twijfelachtig is.

Dat gaat ook op voor het coronatoegangsbewijs. De bezwaren zijn er al langer. Het toegangsbewijs leidt tot verdeeldheid en uitsluiting van groepen mensen, de handhaving is kostbaar, het gaat om een grove inperking van grondrechten en er gaat een zekere vaccinatiedrang van uit.

In eerste instantie werd de pas (door consultancybedrijf KPMG) geopperd om bijeenkomsten voor grote groepen mensen mogelijk te maken midden in een pandemie. Toen uitgebreid naar de horeca en het theater (niet het eigenlijke doel). De voorwaarden waaronder het toegangsbewijs wordt ingezet dan wel afgeschaft, zijn niet duidelijk. Moet het aantal besmettingen per dag onder de tienduizend zijn? Vijfduizend? Niemand die het weet. Het is vaag gehouden.

Deze wet die een ‘radicale ingreep in een open samenleving’ voorstaat, verdient daarom ‘fundamentele kritiek’, schreef filosoof en jurist Maxim Februari eerder in NRC. Februari: ‘Volgens de Memorie van Toelichting hangen ‘de doelen die met de inzet van testbewijzen worden nagestreefd’ af van ‘de epidemiologische omstandigheden’. Huh? Geen exitplan, inperking van grondrechten zonder vast omschreven doel, mensen uitsluiten van de samenleving zonder discussie. We doen maar wat.’ Het is daarom zo spijtig dat de critici vooral als wappies en rechtsextremisten worden weggezet. Zoals het Volkskrant-commentaar stelt: ‘Geen instrument raakt immers zo aan de grondrechten als de QR-code, gezien het onderscheid dat die maakt tussen mensen.’

Alles bij de bron; Volkskrant

Undercover? De gemeente wilde graag ‘rauw beeld’

Zeker tien gemeenten hebben door een bureau heimelijk onderzoek laten doen naar moskeeën.

In het geheim spraken de onderzoekers met moskeegangers, hingen ze rond in de islamitische gemeenschappen, zonder zich als onderzoeker bekend te maken. Aan de gemeenten rapporteerden de onderzoekers daarna gedetailleerd over de interne gang van zaken: bestuurders, imams en docenten werden in de geheime onderzoeken met naam en toenaam genoemd en hun familiebanden, vetes en geloofsleer zijn uitgebreid beschreven.

De onderzoeken werden aanbevolen en betaald door landelijk terrorismecoördinator NCTV, die het eindresultaat ook ontving.

Lokale islamitische gemeenschappen reageerden ontsteld en weigerden soms met de gemeente te praten. Zes regionale moskeekoepels brengen geld bijeen om de staat aan te klagen...

...Zelfs met goede wil blijkt het soms lastig na te gaan wat er is gebeurd. In Ede stond bijna niets op papier over de onderzoeksmethode, volgens advocatenkantoor Dirkzwager dat de zaak in opdracht van de gemeente onderzocht. In een offerte van NTA wordt enkel gesproken over een onderzoek „op basis van anonimiteit”. Met wie er is gesproken, en of diegenen wisten met wie ze spraken, is niet na te gaan: NTA zegt onderliggende data te hebben vernietigd. Hierdoor kan het advocatenkantoor niet beoordelen of het onderzoek rechtmatig is uitgevoerd.

Wie neemt uiteindelijk de verantwoordelijkheid voor de onderzoeken, waarbij moskeeën jarenlang in het geheim zijn doorgelicht? Die vraag schuiven de betrokken overheden al weken heen-en-weer.

En de NCTV? Die voelt zich óók niet verantwoordelijk. In een brief van 26 oktober aan de Kamer schrijft demissionair minister Ferd Grapperhaus (Justitie en Veiligheid, CDA), waar de NCTV onder valt, dat gemeenten zélf „verantwoordelijk zijn voor de besteding van de gelden”. Hij doelt op de gelden die de NCTV onder gemeenten verdeelde en waaruit de omstreden onderzoeken veelal werden betaald.

Alles bij de bron; NRC