De NSA heeft wat ik wil

De NSA verzamelt elke dag 5 miljard locatiegegevens van mobiele telefoons. The Washington Post onthulde afgelopen week nieuwe documenten van klokkenluider Edward Snowden. Daarin werd een nieuw onderdeel van het surveillance-apparaat van de National Security Agency (NSA) beschreven. Het programma, CO-TRAVELER genaamd, legt dagelijks de locatie vast van honderden miljoenen mobiele telefoons van burgers over de hele wereld. De NSA probeert van bepaalde personen zo te kunnen vaststellen met wie ze bellen en omgaan. Door de vergaring van zoveel mogelijk gegevens, worden verbanden duidelijk tussen reeds bekende targets van de dienst en die van nog onbekende personen.

Om dit te bereiken, registreren en analyseren de NSA en de GHCQ, de Engelse evenknie van de NSA, de metadata van tientallen miljoenen burgers. Hoeveel precies is onduidelijk, maar een senior collection manager gaf op voorwaarde van anonimiteit en met toestemming van de NSA aan de Washington Post toe dat het ging om ‘grote volumes.’

In Europa gebeurt dit al sinds 2007

De omvang van het afluistersysteem van de NSA blijft verbazen. Het gekke is: in de EU doen we iets soortgelijks al zes jaar, openbaar en via de wet geregeld.

De wet op dataretentie verplicht sinds september 2007 elke Europese staat de internet- en telefoniegegevens (de metadata dus, niet de inhoud van de e-mails en gesprekken) van elke internet- en telefoongebruiker voor tenminste een half en maximaal twee jaar op te slaan. In Nederland slaan we de data één jaar op. In andere Europese landen verschilt het van zes maanden in Duitsland tot een volle twee jaar in Polen.

Dit betekent dat er een jaar aan gegevens van elke Nederlander ligt opgeslagen bij internet- en telefoniemaatschappijen. Dat is een hooiberg voor de AIVD om terroristen in te vinden, maar een potentiële privacyramp als een database ooit lek blijkt. En een goudmijn voor een datamijnwerker zoals ik. Onze riante wetgeving helpt mij aan een betrouwbare persoonlijke database waar ik in kan gaan spitten.

Dit voorjaar heb ik een eerste poging gedaan om deze gegevens aan te boren. Met artikel 35 van de wet op persoonsgegevens onder de arm, klopte ik bij T-Mobile aan. Ik kreeg toen, keurig binnen de termijn van vier weken, een overzicht met de volgende persoonsgegevens: wie ik ben, wanneer ik geboren ben, hoelang ik al een abonnement heb en welke telefoon ik gebruik. Informatie die mij al via andere wegen bekend was. Niet de informatie waar ik op hoopte.

Het gaat me om de metadata die, volgens de wet, een jaar in de T-Mobile-datakluis moet worden opgeslagen. Na wat aandringen kreeg ik als antwoord: ‘Een heel jaar kunnen we niet aan beginnen, maar je mag tien dagen uitkiezen.’ Onder protest ben ik daarmee akkoord gegaan en ondanks de beperkte verzameling gegevens, is het resultaat een eye-opener. Met Google Maps kun je het resultaat zien van één dag van een deel van deze metadata. Je ziet de GSM-masten waarmee ik verbinding heb gemaakt op 11 maart 2012. Dit is voor één dag.

Laat staan als je tien dagen kunt bekijken. Of een heel jaar. Of jaren lang elke dag de gegevens van 711 miljoen EU-burgers, zoals de Europese opsporingsdiensten.

Selectieve verontwaardiging

Datgene waarvoor de NSA en haar zusje de GHCQ bedrijven moeten dwingen, eigen afluisterstations moeten inrichten en duizenden werknemers aan het werk hebben gezet, is in de EU bij wet geregeld. De overheid betaalt geen cent voor de vergaring en opslag van al die gegevens en verkrijgt er redelijk simpel inzicht in.

Nu gaat de NSA verder, doordat ze tot ver over haar eigen grenzen haar methodes toepast. Maar ik krabte me toch even achter de oren over de ophef van afgelopen week, aangezien we hier in Europa met soortgelijke surveillance zelf hebben ingestemd. Voordat we onze verontwaardiging richten op de NSA en de GHCQ, moeten we wellicht eerst nagaan welke wetgeving we zelf geschapen hebben en met welk doel ook alweer.

Gelukkig zijn er genoeg groepen die al jaren kritisch zijn over deze wetgeving van de EU, zoals het Nederlandse Bits of Freedom en het Ierse Digital Rights. De website van Digital Rights.Die laatste spande in 2006 een rechtszaak aan tegen de nieuwe regelgeving. De nationale rechtbank vroeg om advies aan het Europese Hof in deze zaak en die gaf op haar beurt een advocaat-generaal de opdracht met een uitspraak te komen over de Europese Regelgeving. Vorige week was het dan eindelijk zo ver. De advocaat-generaal van het Europees Hof, Pedro Cruz Villalón, concludeerde Lees hier meer over de uitspraak van de advocaat-generaaldat de masale opslag van deze gegevens, in strijd is met het Europees Handvest van de Grondrechten van de Europese Unie:

‘Door aanbieders van elektronische communicatiediensten te verplichten om verkeers- en localisatiegegevens van elektronische communicatie te verzamelen en te bewaren, vormt de richtlijn een duidelijke inmenging in het grondrecht van burgers op eerbiediging van hun privéleven.’

Het is nog afwachten wat het Europese Hof met dit advies gaat doen en wat vervolgens de nationale rechtbank in Ierland zich hier van aantrekt. Maar als Cruz Villalón zijn zin krijgt, begint de klok te tikken voor ons datamijnwerkers om onze verkeersgegevens in handen te krijgen.

Dit artikel verscheen eerder op De Correspondent

Free Owncloud, Obscuracam and K9mail manuals

FLOSS Manuals has been working with Internews Europe as part of their Human Rights programme to create some user focused manuals to help communication. Recent security news has shown us that Free Software solutions are the best solutions for many situations. We have been very happy to draw on our past experience of creating and translating manuals to whip up three new manuals to help make the process of emailing, sharing photos and files more secure.

Read more and get the manuals at: http://www.flossmanuals.org/

Wat de NSA doet, doet Europa al jaren in het openbaar

Dit artikel verscheen eerder bij decorrespondent.nlIn mijn vorige artikel beschreef ikwelke gegevens van mij liggen opgeslagen bij mijn gemeente en welke partijen daar toegang Het artikel Mormoon worden na je dood: de gemeente regelt het voor je tot hebben. Ook legde ik uit dat iedere burger zelf aan kan geven dat de gemeente zijn of haar gegevens niet mag delen met derde partijen.

Deze ‘opt-out’-mogelijkheid geldt niet voor de internet-en telefoongegevens van iedere Nederlander: internet-en telecomproviders zijn bij wet verplicht om alle zogenoemde metadata  Metadata is informatie over communicatie. Dus niet de inhoud van een telefoongesprek, maar informatie over bijvoorbeeld hoelang je met wie belt en vanaf waar. van iedere klant voor een jaar op te slaan. ‘Datgene waarvoor de NSA bedrijven moet dwingen, eigen afluisterstations moet inrichten en duizenden werknemers aan het werk heeft gezet, is in de EU bij wet geregeld.’

De NSA verzamelt elke dag 5 miljard locatiegegevens van mobiele telefoons. The Washington Post onthulde afgelopen week nieuwe documenten van klokkenluider Edward Snowden. Daarin werd een nieuw onderdeel van het surveillance-apparaat van de National Security Agency (NSA) beschreven. Het programma, CO-TRAVELER genaamd, legt dagelijks de locatie vast van honderden miljoenen mobiele telefoons van burgers over de hele wereld. De NSA probeert van bepaalde personen zo te kunnen vaststellen met wie ze bellen en omgaan. Door de vergaring van zoveel mogelijk gegevens, worden verbanden duidelijk tussen reeds bekende targets van de dienst en die van nog onbekende personen.

Om dit te bereiken, registreren en analyseren de NSA en de GHCQ, de Engelse evenknie van de NSA, de metadata van tientallen miljoenen burgers. Hoeveel precies is onduidelijk, maar een senior collection manager gaf op voorwaarde van anonimiteit en met toestemming van de NSA aan de Washington Post toe dat het ging om ‘grote volumes.’

In Europa gebeurt dit al sinds 2007

De omvang van het afluistersysteem van de NSA blijft verbazen. Het gekke is: in de EU doen we iets soortgelijks al zes jaar, openbaar en via de wet geregeld.

De wet op dataretentie verplicht sinds september 2007 elke Europese staat de internet- en telefoniegegevens (de metadata dus, niet de inhoud van de e-mails en gesprekken) van elke internet- en telefoongebruiker voor tenminste een half en maximaal twee jaar op te slaan. In Nederland slaan we de data één jaar op. In andere Europese landen verschilt het van zes maanden in Duitsland tot een volle twee jaar in Polen.

De wet op dataretentie verplicht sinds september 2007 elke Europese staat de internet- en telefoniegegevens (de metadata) van elke gebruiker op te slaan

Dit betekent dat er een jaar aan gegevens van elke Nederlander ligt opgeslagen bij internet- en telefoniemaatschappijen. Dat is een hooiberg voor de AIVD om terroristen in te vinden, maar een potentiële privacyramp als een database ooit lek blijkt. En een goudmijn voor een datamijnwerker zoals ik. Onze riante wetgeving helpt mij aan een betrouwbare persoonlijke database waar ik in kan gaan spitten.

Dit voorjaar heb ik een eerste poging gedaan om deze gegevens aan te boren. Met artikel 35 Artikel 35 geeft burgers het recht op inzage in de persoonlijke gegevens die bedrijven en overheden van hun vergaren, verwerken en verhandelen van de wet op persoonsgegevens onder de arm, klopte ik bij T-Mobile aan. Ik kreeg toen, keurig binnen de termijn van vier weken, een overzicht met de volgende persoonsgegevens: wie ik ben, wanneer ik geboren ben, hoelang ik al een abonnement heb en welke telefoon ik gebruik. Informatie die mij al via andere wegen bekend was. Niet de informatie waar ik op hoopte.

Het gaat me om de metadata die, volgens de wet, een jaar in de T-Mobile-datakluis moet worden opgeslagen. Na wat aandringen kreeg ik als antwoord: ‘Een heel jaar kunnen we niet aan beginnen, maar je mag tien dagen uitkiezen.’ Onder protest ben ik daarmee akkoord gegaan en ondanks de beperkte verzameling gegevens, is het resultaat een eye-opener. Met Google Maps kun je het resultaat zien van één dag van een deel van deze metadata. Je ziet de GSM-masten waarmee ik verbinding heb gemaakt op 11 maart 2012. Dit is voor één dag.

Laat staan als je tien dagen kunt bekijken. Of een heel jaar. Of jaren lang elke dag de gegevens van 711 miljoen EU-burgers, Eigenlijk 629 miljoen, aangezien Duitsland de wet op dataretentie heeft afgeschaft nadat het Hooggerechtshof het in strijd met het Europees Verdrag voor de Rechten van de Mens achtte. zoals de Europese opsporingsdiensten.

Selectieve verontwaardiging

Datgene waarvoor de NSA en haar zusje de GHCQ bedrijven moeten dwingen, eigen afluisterstations moeten inrichten en duizenden werknemers aan het werk hebben gezet, is in de EU bij wet geregeld. De overheid betaalt geen cent voor de vergaring en opslag van al die gegevens en verkrijgt er redelijk simpel inzicht in.

Datgene waarvoor de NSA bedrijven moet dwingen, eigen afluisterstations moet inrichten en duizenden werknemers aan het werk heeft gezet, is in de EU bij wet geregeld

Nu gaat de NSA verder, doordat ze tot ver over haar eigen grenzen haar methodes toepast. Maar ik krabte me toch even achter de oren over de ophef van afgelopen week, aangezien we hier in Europa met soortgelijke surveillance zelf hebben ingestemd. Voordat we onze verontwaardiging richten op de NSA en de GHCQ, moeten we wellicht eerst nagaan welke wetgeving we zelf geschapen hebben en met welk doel ook alweer.

Gelukkig zijn er genoeg groepen die al jaren kritisch zijn over deze wetgeving van de EU, zoals het Nederlandse Bits of Freedom en het Ierse Digital Rights. Die laatste spande in 2006 een rechtszaak aan tegen de nieuwe regelgeving. De nationale rechtbank vroeg om advies aan het Europese Hof in deze zaak en die gaf op haar beurt een advocaat-generaal de opdracht met een uitspraak te komen over de Europese Regelgeving. Vorige week was het dan eindelijk zo ver. De advocaat-generaal van het Europees Hof, Pedro Cruz Villalón, concludeerde dat de masale opslag van deze gegevens, in strijd is met het Europees Handvest van de Grondrechten van de Europese Unie:

‘Door aanbieders van elektronische communicatiediensten te verplichten om verkeers- en localisatiegegevens van elektronische communicatie te verzamelen en te bewaren, vormt de richtlijn een duidelijke inmenging in het grondrecht van burgers op eerbiediging van hun privéleven.’

Het is nog afwachten wat het Europese Hof met dit advies gaat doen en wat vervolgens de nationale rechtbank in Ierland zich hier van aantrekt. Maar als Cruz Villalón zijn zin krijgt, begint de klok te tikken voor ons datamijnwerkers om onze verkeersgegevens in handen te krijgen.

Mormonen hebben óók toegang tot het testamentenregister

Dit artikel verscheen eerder op decorrespondent.nlVandaag een update op mijn verhaal van vorige week. Met dank aan de brede kennis van Correspondent-lezers en de bereidheid om die te delen.

Vorige week zette ik een eerste stap in de datamijn van mijn gemeente. Daar kwam ik erachter dat de gemeente gegevens van elke ingezetene kan delen met een breed palet aan http://www.bprbzk.nl/GBA/Gemeentelijke_Basisadministratie_Persoonsgegevens_GBA/Gegevensverstrekking_uit_de_GBA] ” data-id=”3626″>afnemers, Afnemers zijn: bestuursorganen (delen van de overheid zoals de belastingdients), Verplichte derden (advocaten, notarissen etc.) en Vrij Derden. Dat zijn niet commerciële partijen zoals je sportvereniging. Verder kunnen onderzoeksinstellingen voor historische, statistische of wetenschappelijke doeleinden inzicht krijgen. Zie voor meer informatie: http://www.bprbzk.nl/GBA/Gemeentelijke_Basisadministratie_Persoonsgegevens_GBA/Gegevensverstrekking_uit_de_GBA] waaronder enkele godsdienstigen. Het is al jaren zo dat je zelf kunt aangeven als je dit niet wilt, maar vrijwel niemand weet dat. Twee lezers waren al thuis in de materie en gaven mij enkele waardevolle aanvullingen. Bij dezen.

Eric Hennekam is onderzoeker en docent gespecialiseerd in het zoeken in archieven en personen. Hij was destijds betrokken bij het onderzoek in Trouw waar ik in mijn verhaal naar verwees. Hij verraste ons in de reacties met een primeur: de mormoonse kerk in Utah (Verenigde Staten) heeft, naast toegang tot de persoonskaarten Persoonkaarten werden vanaf de jaren veertig tot 1994 gebruikt voor registratie van burgers. Ze bevatte destijds veel meer informatie dan nu over ons bij de gemeente bekend is, zoals je religie. van alle burgers die tussen 1939 en 1970 zijn overleden, ook toegang tot het testamentregister. Het register dat voor nabestaanden bijhoudt bij welke notaris een testament ligt. Het zou kunnen dat er in de toekomst nog andere registers opduiken waarvan we nu nog niet weten dat ze aan de mormonen gegeven zijn.

Privacygevoelige informatie

De mormonen uit Utah digitaliseren momenteel de microfilms die ze van onze persoonskaarten hebben. Ze maken zo een gigantisch archief toegankelijk met bergen persoonsinformatie. Hier was onlangs in Frankrijk nog een rel over toen persoonsgegevens van overledenen online verschenen die in Frankrijk nog onder de privacywet vallen en niet openbaar zijn. Maar afgelopen week verscheen ook de publicatie van passagiersgegevens van mensen die naar Canada zijn gegaan. Privacygevoelige informatie die dankzij de mormonen nu voor iedereen inzichtelijk is.

De schijn is hiermee gewekt dat er meer archieven naar Utah zijn verscheept dan uit de die contracten blijkt

Hennekam: ‘Dat testamentenregister viel me pas onlangs op. Ik weet nog niet precies wat het is, maar ik denk dat het de lades zijn van het Nationaal Archief waarin de persoonsgegevens liggen van wie een testament heeft opgemaakt en bij welke notaris. Normaal zou dit pas na 75 jaar openbaar gemaakt mogen worden. Wat mij voornamelijk verbaasde is dat deze archieven niet vermeld worden in de contracten die destijds gesloten zijn tussen de mormonen en het Nationaal Archief.’

De schijn is hiermee gewekt dat er meer archieven naar Utah zijn verscheept dan uit die contracten blijkt. Hennekam heeft vervolgens een Wob-verzoek  Een verzoek tot inzage in overheidsgegevens op basis van de Wet openbaarheid van bestuur. ingediend, maar is niet te spreken over de inzichten die hem dat heeft opgeleverd. Zodra het gelukt is om meer informatie boven tafel te halen, zal ik hier zeker over berichten.

Voordelen en geheimhouding

Een andere aanvulling kwam van een medewerker van ICTU. ICTU is een overheidsinstelling en ontwikkelt websites als mijnoverheid.nl Als medeontwikkelaar van vele overheidssites benadrukt hij ook de voordelen: ‘Dankzij het stelsel van basisregistraties Het stelsel bestaat uit dertien registratiesystemen, waarvan het GBA er slechts één is hoef je nieuwe gegevens maar één keer door te geven voor de hele overheid.’

Maar er zijn ook nadelen, legt hij uit: ‘Zo kan je niet online inzien wie de afnemers zijn. Je kan de gemeente om een lijst vragen, maar verwacht vanwege de ambtelijke vorm geen lijst die makkelijk te lezen is voor leken. Bedrijven kunnen nooit zomaar je gegevens opvragen; ze moeten een doel hebben en ze moeten specifiek op jou betrekking hebben.’

Massaal gegevens opvragen voor analyse mag dus niet. Maar aan de andere kant, ik heb zelf ook wel eens mijn afnemerslijst opgevraagd en kwam een pensioenbedrijf tegen dat ik niet kende. Dat zou niet moeten kunnen. Geheimhouding aanvragen bij de gemeente is dan niet voldoende. Als je niet wilt dat een bedrijf je gegevens heeft dan moet je dit bij het bedrijf melden, niet bij de gemeente.’

Aan het stuk over de verstrekking van gegevens aan kerkelijke genootschappen wilde de ICTU-medewerker ook nog wat toevoegen.

Databaseregistraties

SILA SILA regelt de registratie van kerkelijken en verzorgt de connectie tussen de administratie van kerken en de gemeente. krijgt weliswaar een update van de Gemeentelijk Basisadministratie (GBA) als je verhuist, maar alleen als je bij het SILA geregistreerd staat. En een registratie bij het SILA is er alleen als je ouders je als gelovig hebben opgegeven bij geboorte.’

Dat dit niet echt breed bekend is, blijkt niet alleen uit de reacties op mijn vorige artikel, maar ook uit het feit dat er nog 6,7 miljoen individuen bij SILA in de database staan. Dat getal is een stuk hoger dan het aantal Nederlanders dat zich als kerkelijk identificeert.

Gelukkig is er in de nabije toekomst kans op meer duidelijkheid en inzicht. Komend jaar zal mijnoverheid.nl uitgebreid worden met meer databaseregistraties. Op termijn zal ook de afnemerslijst inzichtelijk zijn. Tot die tijd zijn we aangewezen op opt-out ‘Opt-Out’ is een term waarmee bedoeld wordt dat je automatisch onderdeel bent van een systeem totdat je zelf hebt aangegeven dit niet te willen en slecht leesbare afnemerslijsten die je zelf moet opvragen.

DNScrypt

dnscrypt-proxy provides local service which can be used directly as your local resolver or as a DNS forwarder, encrypting and authenticating requests using the DNSCrypt protocol and passing them to an upstream server.

The DNSCrypt protocol uses high-speed high-security elliptic-curve cryptography and is very similar to DNSCurve, but focuses on securing communications between a client and its first-level resolver.

While not providing end-to-end security, it protects the local network, which is often the weakest point of the chain, against man-in-the-middle attacks. It also provides some confidentiality to DNS queries.

From: http://dnscrypt.org