Langzaamaan ontstaat een samenleving waarin burgers verworden tot datapuntjes en waarin iedereen voor eigen inlichtingendienst kan spelen. De overheid en het bedrijfsleven zouden daar bij hun voortschrijdende digitalisering meer oog voor moeten hebben.
Toen instituut Clingendael 3.500 Nederlanders vroeg wat de grootste dreiging uit het buitenland is, noemden zij de digitale sabotage van kritieke infrastructuur zoals het stroomnetwerk. In 2021 had een onderzoek van Pew Research al aangetoond dat ‘digitale aanvallen’, evenals desinformatie, in het Westen tot de grootste dreigingen van deze tijd worden gerekend. Ter vergelijking: klimaatverandering zien Nederlanders als een minder urgent probleem. Het eindigde op plaats 40 in de rangschikking van Clingendael.
Ik begrijp waar die vrees voor een digitale aanval vandaan komt. Al jaren schrijf ik over de verborgen strijd van staatshackers op onze netwerken en systemen, zoals het verstoren van satellietnavigatie in Europa, het uitzetten van telefoon- en internetdiensten en het vernielen van de infrastructuur van Kyivstar, de grootste Oekraïense telecomprovider. Onlangs was er de waarschuwing van de Britse en Amerikaanse inlichtingendiensten: let op, we treffen China steeds vaker aan in onze kritieke infrastructuur en we denken dat het land zich voorbereidt op mogelijke sabotage. Iets waar Nederlandse veiligheidsdiensten al langer voor waarschuwen.
Toch wekken de uitkomsten van het Clingendael-onderzoek verbazing. Vormt grootschalige digitale ontwrichting echt de grootste dreiging die op ons afkomt? Er zijn amper succesvolle voorbeelden van het saboteren van vitale infrastructuur in westerse landen. Al zouden vijandige regimes het willen – en kunnen, de vraag is wat ze ermee winnen. Toen Russische hackers in Oekraïne de stroom uitschakelden, zetten Oekraïense technici die na enkele uren handmatig weer aan.
Over de auteur
Huib Modderkolk is onderzoeksjournalist van de Volkskrant, met als specialisatie cybersecurity en inlichtingendiensten. Hij schreef het boek Het is oorlog, maar niemand die het ziet.
Er is een ander, onderbelicht, gevaar. Bedrijven en overheden laten een haast blind geloof in verdere digitalisering zien. Ontwrichtingen bij ondernemingen en instellingen zijn al aan de orde van de dag. Dat een op de vijf bedrijven jaarlijks slachtoffer is van een hack – en een op de twintig al is gehackt zonder het door te hebben – lijkt nauwelijks tot voorzichtigere afwegingen te leiden. Ze blijven enthousiast netwerk aan netwerk koppelen en gevoelige data bij softwarepartijen stallen. Ze zien de kansen van de nieuwste ict-oplossingen en hebben amper oog voor de kwetsbaarheid ervan. Het draait om gemak, efficiëntie en kostenbesparingen.
Een grote Nederlandse energieleverancier kende in een jaar tijd vijfhonderd ict-storingen met onbekende oorzaak. Maar er bestond geen systeem om de meldingen te onderzoeken. De reden: ze wisten simpelweg niet waar te beginnen. Het netwerk van de energieleverancier is wijdvertakt en bevat ook software van tientallen andere leveranciers. Er was niemand bij het bedrijf die overzicht had. Dat had geen prioriteit.
Zelfs als buitenlandse inlichtingendiensten in de Nederlandse systemen blijken te zitten, leidt dat niet tot extra oplettendheid. Integendeel, de reactie van bedrijven is veelal: doen alsof er niets aan de hand is. Een Nederlandse beveiligingsonderzoeker trof een Chinese achterdeur bij een multinational aan, maar mocht er van zijn opdrachtgever geen verder onderzoek naar doen. Het kantoor van een internationaal technologisch bedrijf in Den Haag bleek diep geïnfiltreerd door Iran. ‘Er was heel veel gejat’, zegt een betrokkene. Het management was niet geïnteresseerd in verder onderzoek naar de daders of de schade. ‘Het is alsof je tegen ze zegt: je bent chronisch ziek, maar je kunt toch nog 120 jaar oud worden. Ze ervaren het niet als een probleem.’ Bij telecomprovider KPN lekten belangrijke klantendata weg naar China. De AIVD moest de raad van bestuur ervan overtuigen het probleem echt serieus te nemen.
De korte termijn telt, de aandeelhouder moet tevreden blijven. De mogelijke restschade, zoals het verdwijnen van klantgegevens of technologische kennis, is voor de samenleving.
De overheid is net zo’n overtuigde aanjager van digitalisering. Ook daar gaat de aandacht vooral naar de kansen en mogelijkheden en ontstaan er potentiële gevaren voor burgers. Tientallen overheidsorganisaties – van gemeenten tot UWV – storten zich dankzij nieuwe technologie op het verzamelen van data en zijn inlichtingendienstje gaan spelen. Met algoritmen of middels kunstmatige intelligentie doorzoeken ze ontzaglijke hoeveelheden persoonlijke gegevens. Overzicht van deze praktijken – laat staan een vorm van toezicht – ontbreekt.
De politie experimenteert met algoritmen die criminaliteit voorspellen. En mag alvast – zonder wettelijk kader – gaan oefenen met gezichtsherkenningscamera’s. De overheid is hier de katalysator: ze normaliseert zonder randvoorwaarden het gebruik van ingrijpende nieuwe technologie. Inlichtingendiensten AIVD en MIVD kunnen, ondanks eerdere beloften dat het niet mogelijk zou zijn, de communicatie van miljoenen Nederlanders onderscheppen – inclusief hun Netflix-kijkgedrag. De Europese Commissie wil iedere afbeelding én tekstbericht die wordt gestuurd vooraf controleren.
Dat hoeft niet allemaal verkeerd en bedreigend te zijn, maar het versterkt het idee dat er geen enkel alternatief is voor de uitdijende controlemaatschappij. Alsof de risico’s en keerzijden niet bestaan.
De gebruiker wordt eenzelfde soort normaliseringsmechanisme opgedrongen. Die denkt dat het normaal is om telkens weer data af te staan aan advertentiepartijen, apps en zelfs dna-databanken. Die meent dat hij, net als 1,2 miljoen andere Nederlanders, een videodeurbel dient aan te schaffen – hoewel de criminaliteit al jaren aan het dalen is. Probeer nog maar eens een koelkast te kopen zónder wifi. Of een nieuwe auto aan te schaffen die géén gegevens via internet verstuurt.
Dat is niet ongevaarlijk. Zeker niet omdat persoonlijke data op plekken komen te liggen waar je er niets over te zeggen hebt. En die informatie keer op keer niet veilig opgeslagen blijkt te zijn. China haalde al eens persoonsgegevens weg bij medische instellingen in Nederland. Parkeerapp EasyPark raakte de privégegevens van gebruikers kwijt, net zoals testleverancier CoronaLab. Op het darkweb kun je de gekste databases kopen – van data over ambtenaren tot medische dossiers. De Autoriteit Persoonsgegevens (AP) spreekt over een ‘explosieve toename’ van het aantal datalekken door digitale aanvallen en waarschuwt: ‘Iedereen krijgt te maken met de gevolgen.’
Langzaam ontstaat een samenleving waarin burgers verworden tot datapuntjes. Waar trackingadvertenties het onlinegedrag minutieus vastleggen. Waar het mogelijk is om de locatiedata van 1,5 miljard gebruikers van een mobiele telefoon te kopen. Waar een AIVD’er verbaasd constateert dat het in het bedrijfsleven makkelijker is om met onlinedata iemands gedrag te analyseren dan wanneer je bij een inlichtingendienst werkt. Waar de Amerikaanse afluisterdienst NSA internetdata koopt bij een commerciële partij – inclusief gegevens over Europese autogebruikers – in plaats van ze zelf te verzamelen. Waarin privacy allang niet meer bestaat.
In zo’n onlinesamenleving met enkel oog voor kansen en eigenbelang is het niet vreemd dat jongeren acht uur per dag op hun scherm kijken – en steeds minder goed kunnen lezen en concentreren. Dat ze hun kijk op wereldgebeurtenissen ontlenen aan Instagram, Snapchat en TikTok. Dat die platformen denken aan winst, data en commotie en daarom weinig ondernemen tegen desinformatie en beïnvloeding. Dat feiten in de constante emotiestroom ondergesneeuwd raken – en dat een op de drie wetenschappers inmiddels wordt bedreigd.
Dat in diezelfde samenleving dankzij de groeiende databergen iedereen voor inlichtingendienst kan spelen. En dat in die vrijstaat grote techbedrijven en buitenlandse staten, evenals opsporingsdiensten, criminelen en individuele hackers, hun kans grijpen. Dát is het werkelijke gevaar.
Het is daarom winst dat het onderzoek van Clingendael aantoont dat Nederlanders de digitale dreiging beginnen te herkennen. Het wordt tijd om die zorgen ook echt serieus te nemen. Een overheid zou alle komende digitale plannen moeten toetsen op de maatschappelijke schade die ze veroorzaken. En bedrijven, de TikToks voorop, moeten verplichten hetzelfde te doen. Voordat de digitale crisis, net als de klimaatcrisis, wegzakt naar plek 40.
Om u deze content te kunnen laten zien, hebben wij uw toestemming nodig om cookies te plaatsen. Open uw cookie-instellingen om te kiezen welke cookies u wilt accepteren. Voor een optimale gebruikservaring van onze site selecteert u "Accepteer alles". U kunt ook alleen de sociale content aanzetten: vink hiervoor "Cookies accepteren van sociale media" aan.
U bent niet ingelogd
Antwoord op al uw vragen
Updates, wijzigingen en klachten
Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2024 DPG Media B.V. - alle rechten voorbehouden