Tagarchief: nsa

Case: Max Schrems en de strijd om je eigen gegevens

Geef een reactie

In augustus 2014 deden zo’n 800 Nederlanders mee aan een?Europese strafzaak tegen Facebook.?Facebook mag nu zelfs je sms’jes lezen, want de kleine lettertjes van de Messenger-app geven Facebook ?toestemming om je ongezien af te luisteren en te begluren.?Max?Schrems weet uit ervaring hoe de procedures bij?Facebook werken?en eist voor elk van deze deelnemer 500 euro van Facebook, omdat het sociale netwerk de privacy van haar gebruikers zou schenden. Het totale aantal deelnemers staat nu al op meer dan 12 duizend. Wie is Max Schrems en waarom doen mensen dit? Lees er meer over in onderstaand blog.

De gebruikers zijn van die privacyschending niet altijd op de hoogte, zegt directeur Hans de Zwart van Bits of Freedom, dat zich inzet voor digitale privacy.? “Ik denk dat je niet altijd weet hoeveel data je met Facebook deelt zonder dat je het door hebt.”

Tracken door het hele web
De Zwart: “Een van de dingen waar Schrems aandacht aan wil besteden is het feit dat Facebook jou door het hele web?trackt, ook op pagina?s die niet van Facebook zijn. Als jij naar de website van The New York Times gaat, kan Facebook dat zien en je hebt niet per se door dat Facebook weet welke artikelen jij leest.??De directeur van Bits of Freedom denkt dat Facebook vooral ‘een soort winkelcentrum aan het worden is waarin je moet zoeken naar de posts van je vrienden’. ?Ik merk daarbij dat Facebook steeds meer kort door de bocht gaat als het gaat om Europese privacywetgeving. Daar houden ze zich niet altijd aan en dat moet wel gaan gebeuren.”

Deelname aan PRISM
De rechtszaak maakt dan ook een goede kans, is zijn inschatting. ?Omdat Facebook op een aantal punten echt niet voldoet aan de Europese wetgeving. Ze zijn een Europees bedrijf. Ze zijn gevestigd in Ierland. Alle Facebookgebruikers die niet uit de VS komen zijn klant in Ierland. En Facebook houdt zich bijvoorbeeld met de gebruikersvoorwaarden niet aan de wetgeving. Facebook doet mee aan het PRISM-programma van de NSA. Facebook lekt data aan derden via apps: allemaal manieren die niet kunnen.”

Waarom is het erg dat Facebook zoveel van je weet? Sebastiaan van der Lubben beschreef het aardig op zijn blog

Stel: je wordt verdacht van een ernstig misdrijf en opsporingsambtenaren leggen een link tussen daad en?dader?verdachte door gebruik te maken van sociale media. Mag dat? In Amerika is een debat ontstaan over deze zoekmethode. Een verdachte van ontvoering en moord werd herkent door gebruik te maken van profielen die hij aanmaakte op datingsites. Daarop veel foto?s vanuit verschillende hoeken van de dader. Slimme gezichtsherkenning (denk CSI) deed de rest. Dus kopte NextGov:?Feds turn to dating websites and facial recognition tools to catch crooks. Logisch: de zoekmethode gaat een stuk sneller dan het opsporen en overtuigen van (onwillige) getuigen om mee te werken aan het proces. De techniek doet de rest.

Gezichtsherkenning gaat sneller en beter dan vijf, zes jaar geleden. De technologie wordt goedkoper en het aantal foto?s op internet explodeert. Zoeken in online bestanden naar boefjes is een fluitje van een cent. En precies daartegen maken rechtsgeleerden, de?Federal Trade Commission?en het Congres grote bezwaren. De overheid krijgt zo wel heel veel macht om naast verdachten ook een referentiecheck te maken van iedereen in de (directe) omgeving.?Law enforcement goes 2.0?zou je kunnen zeggen, met alle juridische vraagstukken van dien.

Commerci?le bedrijven profileren gebruikers al op basis van data over hun internetgedrag. En dat gaat heel ver. Zo ervaarde Max Schrems, een Oostenrijkse rechtenstudent. Hij leunt op het resultaat van een simpele vraag aan Facebook. Mag ik van u alle persoonlijke gegevens die u van mij heeft opgeslagen? Facebook, officieel gevestigd in Dublin (Ierland) valt onder Europees privacywetgeving. En daarin staat het recht om te weten welke gegevens instanties of bedrijven van individuen opslaan of gebruiken. Het resultaat van Schrems vraag is overigens 1222 pagina?s. En dat is lang niet alles. Facebook houdt, naar eigen zeggen, gegevens achter.

maxschrems2main-420x0
Wie deze grote databestanden over individuen enerzijds combineert met de operationele vraagstukken van het?opsporingsapparaat?stuit al snel op lastige ?vraagstukken in het?recht. Hoogleraar ICT & Rechtstaat?Mireille Hildebrandt?(Radboud Universiteit Nijmegen) hield precies over over dit onderwerp haar oratie, eind vorig jaar. In een interview over die?oratie?[pdf]?stelde zij: ?Wie volledig doorrekenbaar is, kan volledig worden gemanipuleerd. de rechtsstaat bestaat om ons daartegen te beschermen. De burger moet greep krijgen op die onzichtbare doorzoekingen.? Zoals Schrems probeerde bij Facebook.

Haar standpunt is om ??n belangrijke reden relevant. Nu lijkt privacy vooral een?individuele?keus. Ik moet immers zelf weten of ik wil Facebooken, Twitteren, Flickren. Hildebrandt stelt echter dat de (rechts)staat daarin ??k een taak heeft. Zeker als zo ongecontroleerd en ondoorzichtig van die gegevens gebruik kan worden gemaakt. De taak en rol van de staat als behoeder van individuele rechten dreigt nog wel eens onder te sneeuwen in het debat over privacy op internet. En zij zwengelt dat terecht aan. Mocht je twijfelen over het nut en de noodzaak van dat debat, kijk dan even naar het?filmpje?van Max Schrems.

Als “het recht om vergeten te worden” je niet gegund wordt, kun je onderstaande in ieder geval zelf nog doen [infographic]:

Bronnen: Blog Sebastiaan van der Lubben, BNR, Joop.nl

Social Media en transparancy reports

Geef een reactie

Microsoft-report

Transparancy reports zijn een manier voor social media platformen om te laten zien hoeveel gerechtelijke bevelen of dagvaardingen zij krijgen om gegevens over te dragen aan de overheid. Uit onderstaande voorbeelden blijkt vooral de Amerikaanse overheid hier gebruik van te maken en we zetten de belangrijkste social media platformen en hun transparantie over deze zaken op een rijtje. Voor dagvaardingen is er geen juridische toets zoals we die in Nederland kennen en de VS neemt bij diverse partijen zo’n 80% van het aantal aanvragen voor haar rekening. De getallen uit de rapporten laten niets zien over aanvragen die in het belang van de nationale veiligheid zijn. Sommige partijen geven een bandbreedte van dat aantal, de meesten noemen het niet eens. Maar?sinds klokkenluider Edward Snowden een boekje opendeed over hoe de NSA social media monitort lijkt een bepaald aantal er ook niet meer zo toe te doen. Aanvragen om gegevens over te dragen worden geregeld geweigerd (zo krijgen landen als Ivoorkust of Qatar hun verzoeken meestal niet ingewilligd), maar toch zijn er een aantal minder democratische landen als?Pakistan waar soms wel gegevens aan worden verstrekt.

Vermeende kaart van de wereld waarin de algehele data verzameling vanuit de NSA duidelijk wordt(Bron: Boundless informant)

Apple publiceerde in 2013 haar eerste transparancy report?waarin duidelijk werd dat van 2 tot 3000 gebruikersaccounts de gegevens werden opgevraagd door de Amerikaanse staat in de eerste helft van 2013. Een kleine helft daarvan werd vrijgegeven. Spanje en de UK volgen op grote afstand met iets meer dan 100 ingewilligde verzoeken. Daarnaast maakt Apple onderscheid in gegevens behorende bij gebruikersaccounts en gegevens over apparatuur zoals de iPhone en iPad. Zo vroeg de politie om gegevens van 8.605 apparaten. Brazilie en Duitsland volgden met?5.027 en 4.928 elk. Apple zet zich af tegen andere bedrijven (zoals Google) door te stellen dat zij geen persoonlijke data verzamelen van hun gebruikers. In het rapport staat: “Apple?s main business is not about collecting information”.

Google?biedt al sinds 2010 transparantie ten aanzien van gerechtelijke aanvragen en zag een toename van 68%?in de eerste helft van 2013.?3,846 aanvragen met het verzoek om 24,737 stukken data te verwijderen waarvan slechts 1/3 werd gehonoreerd. Ook was er al in 3 jaar tijd een verdubbeling van aanvragen vanuit de Amerikaanse regering. India, Duitsland en Frankrijk volgen op gigantische afstand. Veel van de aanvragen gaan over zgn.?takedowns?van content die inbreuk maken op copyright of inbreuk maken op iemands privacy. Google zag vooral een toename in verzoeken vanuit de politiek. Zo was er een Armeens politicus die een beledigende YouTube film verwijderd wilde hebben en een overheidsorgaan uit Saudi Arabi? ?wilde twee YouTube video’s weg hebben omdat ze te kritisch waren.

Microsoft heeft begin 2013 haar eerste transparancy report over 2012 gepubliceerd. ij diensten als Skype, hotmail en XBox Live worden gegevens opgevraagd. Als het gaat om gebruikersgegevens en IP adressen kreeg Microsoft in dat jaar 70,665 aanvragen waarvan ze in 80% ingingen op het verzoek. In?1,558 gevallen is er ook daadwerkelijk besloten inhoud van communicatie overgedragen waarvan 99% aan de Amerikaans overheid. Met name Skype krijgt veel verzoeken met?4,713, maar volgens het rapport is er nooit inhoud van een Skypegesprek gedeeld.

Facebook-transparency-report

Bij Yahoo waren het 17 landen die 29,470 verzoeken indienden over??62,775 gebruikersaccounts. De VS nam hiervan 40,322 voor haar rekening en Duitsland was nummer 2 met slechts een tiende daarvan (4,295). Yahoo benadrukt dat slechts een honderdste van het totaal aantal accounts wordt opgevraagd en dat ze in slechts 55% van de gevallen ingaan op een verzoek. Flickr is onderdeel van Yahoo en daarmee een van de social media diensten waar overheden interesse in hebben.

Dropbox werd verzocht om accountgegevens over te dragen van 172 gebruikers. Maar dat zijn alleen de gerechtelijke bevelen. De dagvaardingen betroffen zo’n 400 accounts.

Bij Facebook deden zo’n 71 landen het verzoek om gegevens van zo’n 38,000?gebruikers in 1e?helft van 2013. Zo’n 20.000 gebruikers daarvan stonden op het wensenlijstje van de Amerikaans overheid. India en Engeland volgden met 3.000 en 2.000 gebruikers. De VS kreeg in 79% van de gevallen ook daadwerkelijk de data, terwijl India en de UK maar 50% en 68% van de verzoeken ingewilligd kregen. In 2014 rapporteerde Facebook een stijging van 24% in het aantal aanvragen dat overheden deden.

Twitter ?rapporteert?sinds 2012.??Het willigde?1,410?aanvragen in voor de 2e helft van 2013.

Bij LinkedIn is slechts in 2013 begonnen met het delen van informatie. In de eerste helft van 2013 hebben slechts 9 landen zo’n 83 verzoeken gedaan, waarvan er 70 op het conto van de VS stonden. LinkedIn wil graag meer transparantie bieden een is daartoe een juridisch geschil gestart met de Amerikaanse overheid.?

En de laatste social media telg?Pinterest heeft sinds 2014 een Transparancy Report.?Pinterest had maar?12?verzoeken uit eigen land?in?2e helft van 2013.?7 warrants, 5 subpoenas vanuit de politie en 1 civielrechtelijk verzoek van in totaal 13 gebruikersaccounts, maar het bleef bij 12 ingewilligde rapportages.

De EFF heeft een campagne gestart met de titel: “When the Government comes knocking, who has your back?” ?en heeft in onderstaande tabel duidelijk gemaakt wat internet- en telecompartijen uit de VS doen om de wereld wat transparanter te maken. Helaas is de tabel lang niet volledig, maar andere social media diensten hebben geen transparancy report (en missen we er eentje, laat het weten!). Uiteraard krijgen deze social media platformen van hun leden wel?vragen. Zo willen de anonieme 4Chan gebruikers graag weten wat 4Chan van hun opslaat, want als hun IP adres is te achterhalen zijn ze ineens niet zo anoniem meer.?

EFF

 

Naast transparancy reports zijn er ook privacy reports die aangeven hoe goed social media platformen hun beveiliging op orde hebben:

UPDATE: Encrypt the Web Report: Who's Doing What | Electronic Frontier Foundation

Bronnen: Mashable,?Electronic Frontier Foundation

National Security Agency en aftapprogramma PRISM

Geef een reactie

What Is PRISM?De kranten staan er bol van en (burger)journalisten duiken er bovenop: het telefonie en internet aftapprogramma PRISM van de NSA. Tijd voor een tussentijds verslag, op 2.0 wijze samengevat.

Klokkenluider en oud-CIA-medewerker Edward Snowden werkte bij de NSA (National Security Agency)?vanuit Hawaii als goedbetaalde infrastructuur analist en doordat hij ook administrator en ontwikkelaar is geweest kon hij bij meer systemen dan de standaard analist. ?Vanaf mei 2013 bouwde hij zijn dossier op voordat hij onder het pseudoniem Verax (‘waarheidsverteller’) naar buiten ging en iemand van de Washington Post benaderde. De naam Verax werd ook gebruikt door Clement Walker, een Britse parlementari?r?die in de Tower of Londen?gevangenis overleed na zijn kritiek op de Britse staat.

Snowden, nog net geen 30 jaar, verklaart: “I understand that I will be made to suffer for my actions, and that the return of this information to the public marks my end”.

Daarna nam hij contact op met Glenn Greenwald?(bekend van zijn opvattingen over publieksrecht) van The Guardian in HongKong motiveert hij zijn beweegredenen:?”Ik wil niet in een samenleving wonen waarin dit soort dingen gebeuren”:

Of Snowden veilig zit moet nog blijken. Hij kan op zijn schuiladres in Chinees Hong Kong wordt opgepakt en uitgehoord door Chinese geheim agenten.?Hong Kong sloot in 1998 een uitleveringsverdrag met de VS. Of dat nog van kracht is sinds de voormalige Britse kolonie als betrekkelijk zelfstandig gebiedsdeel in China is opgegaan is onzeker.?Republikein Peter King, die zitting heeft in de inlichtingencommissie van het Huis van Afgevaardigden, vindt dat Snowden ‘onmiddellijk moet worden uitgeleverd’. De ogen zijn op Peking gericht, want de Chinese regering kan een ‘instructie’ geven aan Hongkong om wel of juist geen actie te ondernemen tegen de uitlevering. Daarbij spelen Chinese belangen op het gebied van defensie en buitenlandse zaken een belangrijke rol.?Snowden vreest dat de CIA hem komt halen en hoopt dat hij asiel kan krijgen in IJsland. Dat land staat bekend als voorvechter van openheid en internetvrijheid.The Guardian noemt Snowden al in ??n adem met klokkenluider Bradley Manning. Die Amerikaanse militair staat sinds afgelopen week terecht omdat hij tienduizenden geheime Defensie-documenten naar de website WikiLeaks heeft gelekt.?President Obama verdedigde de grootschalige inwinning van informatie onlangs nog door te zeggen dat dit een belangrijk wapen was in de strijd tegen terrorisme. Ook de directeur van de nationale inlichtingendiensten van de VS, James Clapper, zei dat de verzamelde informatie ‘behoort tot de meest waardevolle buitenlandse inlichtingen die we verzamelen’.

Internet taps en telefoon taps

Uit de verslaglegging en gelekte documenten blijkt dat de NSA gebruikers van internetdiensten als Google, Facebook en Yahoo op grote schaal in de gaten te gehouden. Dat gebeurt met een geheim computerprogramma, PRISM. Eerder kwam al uit dat de NSA telefoongegevens verzameld, zoals van Verizon.

PrismPRISM slide crop

Het Amerikaanse ministerie van Justitie is begonnen aan een onderzoek naar het lekken van surveillanceprogramma’s door de NSA. Dat werd zondag bevestigd door een woordvoerder.?”Per onthulling kan de rechter hem tien tot twintig jaar celstraf opleggen”, meent advocaat Mark Zaid, die klokkenluiders in de VS bijstaat.

PRISM spionageprogramma

PrismNu.nl heeft een aantal antwoorden op een rij gezet over PRISM, het digitale spionageprogramma van de NSA. De inlichtingendienst verzamelt op grote schaal communicatieverkeer, waaronder e-mails, telefoontjes en informatie van sociale media.?Er zou met name informatie worden verzameld over mensen die zich buiten de VS bevinden, of Amerikanen die met het buitenland communiceren. Het zou echter ook mogelijk zijn om binnenlands internetverkeer af te luisteren.

Inmiddels is bekend dat ook Groot-Brittanni??toegang?heeft tot deze data. In 2012 werden 197 PRISM-rapporten opgevraagd door de Britse veiligheidsdienst GCHQ. Minister van Buitenlandse Zaken William Hague?zei?dat dit volstrekt legaal is.?Een AIVD-agent vertelde aan de?Telegraaf?dat ook de Nederlandse inlichtingendienst toegang heeft tot PRISM.?Veel bedrijven werken volgens de agent actief mee bij het geven van inzage in hun gegevens. “Alle grote commerci?le internetdiensten worden gedwongen een applicatie aan te leveren waarmee diensten onbeperkt kunnen grasduinen.”?Skype wilde volgens de agent jarenlang geen inzage geven, maar sinds het eigendom is van Microsoft zou alles worden gedeeld zoals ook bij Google en Facebook het geval is. De topmannen van die laatste twee bedrijven stelden zaterdag nog niet op de hoogte te zijn van het internet-afluisterprogramma.?Ook Nederlandse bedrijven zouden welwillend meewerken. “Bij een verzoek krijgt men gewoon direct toegang tot de data, alles op een presenteerblaadje.” Als een bedrijf niet meewerkt, wordt een agent ‘geactiveerd’ die toegang heeft tot de informatie van het bedrijf.?”Binnen bedrijven en instellingen, overal zijn agenten te activeren, die wachten op een informatieverzoek.”

Hoe werkt het?

Hoe dit precies werkt, is nog niet geheel duidelijk. De PowerPoint-presentatie (of bekijk het redesign?welke minder pijn aan je ogen doet) over PRISM spreekt van ‘verzameling direct vanaf de servers’ van de genoemde techbedrijven. Alle bedrijven ontkennen echter dat zij hieraan meewerkten, of dat ze ?berhaupt wisten dat PRISM bestond.

Bekijk een overzicht van ontkenningen van techbedrijven over PRISM

Volgens de?New York Times?hebben de bedrijven echter wel enige medewerking verleend aan de NSA. De krant stelt dat Google en Facebook met de NSA zouden hebben gesproken over het bouwen van ‘secure rooms’.?Dat zouden online omgevingen zijn waar de overheid data kon opvragen. Twitter wordt door de New York Times genoemd als een bedrijf dat weigerde mee te werken aan dergelijke verzoeken van de NSA.?Zeker is ook dat de overheid automatisch ‘metadata’ over communicaties verzamelt. Vlak voordat het PRISM-programma openbaar werd, lekte ook al een document uit?waaruit bleek?dat de Amerikaanse provider Verizon gegevens over miljoenen klanten doorgeeft aan de Amerikaanse overheid.

Van alle gesprekken zouden telefoonnummers, locaties, gespreksduur en tijd worden geregistreerd en automatisch worden overhandigd aan de de NSA.?The Guardian schrijft bovendien over een NSA-programma met de naam Boundless Informant. Dat brengt grote hoeveelheden metadata van het internet in kaart, bijvoorbeeld de verzender en ontvanger van een e-mail. De inhoud van e-mails zou minder in de gaten worden gehouden.?Op een kaart is te zien dat de NSA in maart 2013 maar liefst 97 miljard stukjes data in kaart bracht. Een groot deel van die gegevens?werd verzameld uit het Midden-Oosten, maar er kwamen ook 3 miljard stukjes metadata uit Amerikaanse netwerken.

Bekijk de recente uitzending van EenVandaag over hoe Big Data van groter belang wordt in het veiligheidsdomein, en de mogelijke impact ervan op de samenleving:

sitestat

Is het legaal?

Het verzamelen van informatie gebeurt onder de Foreign Intelligence Surveillance Act, oftewel FISA. Deze wet maakt het mogelijk voor de overheid om gebruikersdata op te vragen. ?Hiervoor moet een rechter echter wel toestemming geven. Daarom bestaan er speciale FISA-rechtbanken waar in het geheim verzoeken kunnen worden ingediend. Het aantal FISA-verzoeken en de hoeveelheid informatie die door de overheid wordt opgevraagd zijn geheim.?De?Washington Post?meldt?dat FISA-verzoeken steeds breder zijn geworden. Tijdens de Bush-administratie zouden advocaten FISA-rechters ervan hebben overtuigd dat hele datasets in ??n keer kunnen worden opgevraagd.

Zo kunnen grote hoeveelheden data van Amerikaanse bedrijven worden verzameld, zo lang de overheid ervoor zorgt dat er procedures zijn die ervoor zorgen dat het verzamelen van data over Amerikaanse burgers beperkt blijft.?De voormalige generaal Jeh Johnson zei onlangs in een?speech?dat FISA-verzoeken bijna nooit worden geweigerd. Het verzamelen van gegevens kan dus op grote schaal gebeuren. Zo gauw een rechter een verzoek goedkeurt, zijn bedrijven verplicht de gevraagde informatie te overhandigen. Alle genoemde techbedrijven zeggen te voldoen aan wettelijke verzoeken.

Burgerrechten

Er zijn echter ook veel mensen boos op de Amerikaanse overheid. Burgerrechtenorganisaties zeggen dat de spionage van de NSA te ver gaat. De Amerikaanse grondwet zou het verbieden om zonder een redelijke verdenking mensen in de gaten te houden.?Volgens de Nederlandse organisatie Bits of Freedom werkt ook Nederland aan het bespieden van burgers. De organisatie?roept Nederlandse klokkenluiders op?om naar voren te treden en wil dat de overheid stopt met plannen voor het aftappen van internetverkeer.?Ook een van de schrijvers van de Patriot Act, een Amerikaanse wet die na 11 september 2001 werd doorgevoerd om meer informatie te kunnen verzamelen, vindt dat het PRISM-programma te ver gaat. In de Guardian vergelijkt Jim Sensenbrenner de Amerikaanse overheid met Big Brother en stelt hij dat PRISM misbruik maakt van ‘zijn’ wet.?Edward Snowden hoopt zelf dat de gelekte documenten zullen leiden tot nieuw beleid. “Mijn grootste angst wat betreft de uitkomst van deze lekken is dat niets zal veranderen”, vertelde hij aan de Guardian. “Het enige dat de activiteiten van de surveillancestaat inperkt is beleid.”

Bronnen: Guardian, Washington Post,?Telegraph,?Nu.nl, De Telegraaf.