Security (b)log: Verkiezingen

Op 15 maart mogen we naar de stembus. Hoeveel aandacht zouden de politieke partijen schenken aan informatiebeveiliging en privacy? Ik heb de meeste verkiezingsprogramma’s tegen het licht gehouden en ik moet zeggen: de onderwerpen krijgen – zij het lang niet overal – aardig wat aandacht. Overigens nooit onder de noemer ‘informatiebeveiliging’; meestal gebruiken ze iets met ‘cyber’ erin. Ik beschrijf wat ik gevonden heb in een volgorde zonder persoonlijke voorkeur.

Het is een langere blog dan gebruikelijk. Daar zijn twee oorzaken voor: er doen maar liefst 28 partijen mee aan de Tweede Kamerverkiezingen en ik wil niemand tekort doen. Voor de gehaaste lezer wil ik wel alvast verklappen welke thema’s in meerdere programma’s terugkomen. Veel partijen zetten in op onderwijs, enerzijds om mensen weerbaar te maken, anderzijds om meer specialisten te kweken. Een vaak gehoorde wens is het versterken van de Autoriteit Persoonsgegevens, onze privacy-waakhond. Privacy krijgt trouwens vaker en meer aandacht dan cybersecurity, dat soms nadrukkelijk in een militaire context wordt gezien. Privacy by design kwam ook een paar keer langs: niet achteraf tegen privacy aanlopen, maar het bewust in producten en diensten inbouwen. Nogal wat partijen vinden dat de overheid de privacy van burgers moet beschermen en die slechts onder strikte voorwaarden mag schenden, hoewel andere partijen juist vinden dat minder privacy in ruil voor meer veiligheid ook moet kunnen. Politie en justitie moeten volgens diverse partijen worden versterkt om cybercrime het hoofd te bieden.

Het CDA rept van de noodzaak om een forse inhaalslag te maken op het gebied van cybersecurity en verwijst daarbij naar de “donkere hoeken van het internet” waar criminelen vrijelijk hun gang kunnen gaan. De partij wil ruimere hack- en tapbevoegdheden voor politie en justitie. Bij deze instanties moet ook extra capaciteit en deskundigheid terechtkomen. Wraakporno moet strafbaar gesteld worden. En er moeten nieuwe wetten komen die online burgers en hun persoonlijke informatie beter beschermen.

In het programma van de PvdA komt éénmaal het woord cyberterreur voor. De partij wil nieuwe technologie toepassen om criminelen te bestrijden en ze wil investeren in de opleiding en kennis van politieagenten. Over privacy heeft deze partij een uitgebreidere mening genoteerd. Gepleit wordt voor verantwoorde omgang met big data, zowel bij overheid als bedrijfsleven. Dat houdt in dat je er gebruik van moet maken ten behoeve van bijvoorbeeld opsporing, gezondheidszorg en onderwijs, maar dat je daarbij “de risico’s voor privacy en dataveiligheid” niet uit het oog mag verliezen.

De VVD wil cybercrime opsporen, strenger bestraffen en voorkomen. Dat willen ze bereiken met voorlichting over veilig internetgebruik en het inzetten van gespecialiseerde teams van politie en justitie en in nauwe samenwerking met banken en bedrijven. Daarnaast wil de partij het aantal cyberprofessionals bij Defensie uitbreiden. Zij moeten voorkomen dat Nederland wordt platgelegd met een cyberaanval door criminelen, terroristen of vijandige landen. Om de privacy te beschermen wil de VVD technische garanties en heldere regels. Zo moet al bij de bouw van systemen en databases de privacy-impact duidelijk zijn. Voor criminaliteits- en terrorismebestrijding mag de privacy “bij gerichte opsporingsactiviteiten” geschonden worden.

Bij D66 vond ik alleen informatie over privacy. De overheid mag van hen niet zomaar informatie over “haar inwoners” verzamelen. Er zijn maatregelen nodig om mensen te beschermen tegen buitensporige inmenging in hun privéleven, juist als de mensen zeggen dat ze niets te verbergen hebben. Privacybescherming door de overheid verdient volgens deze partij “meer ambitie en urgentie”.

Ook de SP vindt privacy belangrijk. Zij wil de Autoriteit Persoonsgegevens versterken zodat die “beter kan optreden wanneer de privacy van mensen in het geding is”. De AIVD mag niet ongericht gegevens over burgers verzamelen. Overheden en bedrijven mogen persoonsgegevens alleen met uitdrukkelijke toestemming van de betrokkene doorgeven. De jeugd moet zich bewust worden van de risico’s van het internet en daartoe wil de partij investeren in lerarenopleidingen en docentennascholing. E-mails, persoonlijke berichten en andere privécommunicatie op het internet moeten dezelfde (grondwettelijke) bescherming krijgen als de papieren post nu heeft.

“Het briefgeheim van de 21^e eeuw”, zo noemt GroenLinks dat. Ook deze partij noemt expliciet privacy by design (al noemen ze het zelf niet zo). De overheid moet toezien “op een veilig en privacy-vriendelijk ontwerp van apparaten die met het internet verbonden zijn en op bescherming van persoonsgegevens die via het internet der dingen worden verzameld.” Bovendien moeten persoonsgegevens in Nederland worden opgeslagen en wil ook deze partij de Autoriteit Persoonsgegevens versterken. Over cybersecurity zeggen ze alleen dat het internet moet worden beschermd tegen misbruik en criminaliteit en dat de overheid daarin moet investeren. Diezelfde overheid moet eisen stellen aan bedrijven en organisaties.

De derde partij die privacy by design voorstaat, is de Partij voor de Dieren. Ze willen dat bedrijven en overheden verplicht worden om datalekken te melden (maar dat is al zo). De partij wil allerlei regels, die de privacy aantasten,

afschaffen: de bewaarplicht voor telefoon- en internetgegevens, het doorgeven van passagiersgegevens aan de VS, vingerafdrukken in reisdocumenten. Het woord ‘cybersecurity’ komt bij de PvdD alleen in beeld wanneer ze uitleggen dat je dat niet bereikt met het schenden van grondrechten.

De SGP vindt ‘cyberveiligheid’ van het allergrootste belang omdat we steeds afhankelijker worden van kwetsbare systemen. De partij wil daar extra geld voor uittrekken. Privacy mag van hen de noodzakelijke veiligheidsmaatregelen niet doorkruisen, al wordt het recht op bescherming van ons privéleven “tegen een al te opdringerige overheid, ‘nieuwsgierige’ bedrijven en anderen die in willen breken in andermans doen en laten” erkend. Het onderwijs moet onze ‘mediawijsheid’ bevorderen, bijvoorbeeld als het gaat om het online zetten van onze persoonlijke gegevens. De overheid moet haar websites beter beveiligen en persoonlijke gegevens alleen opslaan als dat noodzakelijk is. “Dat geldt in het bijzonder voor de bescherming van persoonsgegevens via DigiD”, voegt de partij hieraan toe, maar dat snap ik niet.

De ChristenUnie ageert tegen de stelling “ik heb niets te verbergen” omdat behoefte aan privacy inherent is aan het ‘mens-zijn’. De partij wil de kansen van big data benutten, maar wijst nadrukkelijk op de risico’s die hieraan kleven. De overheid moet een expertisecentrum inrichten waar burgers en bedrijven terecht kunnen met vragen over (big) data en privacybescherming en de Autoriteit Persoonsgegevens moet de bevoegdheid en de middelen krijgen om gegevensverwerking en analysemethoden van de overheid te controleren. Start-ups in de cybersecuritysector wil deze partij fiscaal stimuleren.

Bij 50PLUS vindt men dat privacy gewaarborgd moet zijn. Het “ongelimiteerd nagaan van de gangen van burgers door de overheid, veelal met een beroep op veiligheid” kan op een kritische houding van deze partij rekenen.

Bij de PVV en GeenPeil heb ik de termen cyber, security, veiligheid, privacy en informatiebeveiliging niet gevonden.

Inmiddels zijn we bij de wat minder bekende en/of nieuwe partijen aanbeland. Maar dat wil niet zeggen dat het daar stil is als het over informatiebeveiliging en privacy gaat. Integendeel zelfs: sommige van deze partijen hebben uitgebreide standpunten op deze terreinen beschreven.

DENK wil bijvoorbeeld een versterkte aanpak van cybercrime omdat “men” verwacht dat de helft van alle misdaden in 2021 cybercrimes zijn. De partij zet vooral in op weerbaarheid. Hierin past ook een versterking van de Autoriteit Persoonsgegevens. Het onderwijs moet meer cybersecurityspecialisten afleveren en er moeten strenge minimum standaarden voor iedere gegevensverwerker komen.

Ook Nieuwe Wegen zet in op het snel inlopen van de achterstand op het gebied van cybercrime omdat dit voor criminelen de groeimarkt van de toekomst vormt. Er moeten meer specialisten bij politie en Openbaar Ministerie komen en Nederland moet investeren in cyberoorlogvoering.

Voor Nederland (partijnaam) wil eveneens meer geld voor cyberwarfare, maar ook voor speciale eenheden en robotisering. Daarnaast willen ze “meer aandacht” voor de bestrijding van cybercrime en de privacy “zoveel mogelijk waarborgen”.

Het Forum voor Democratie houdt het kort op zijn pagina met de titel Internet & Privacy: “waarborgen privacy”.

De Burger Beweging vindt vrijheid “een belangrijk punt” en zegt dat recht op privacy daar een belangrijk onderdeel van is. Ze zijn tegen het voor lange tijd opslaan van “alle telefoongesprekken en email” (telefoongesprekken worden, voor zover mij bekend, niet opgeslagen; alleen de metagegevens (wie belt wanneer waarheen)).

De Vrijzinnige Partij vindt dat de privacy van het individu volledig ondermijnd is en dat mensen weer eigenaar moeten worden van hun eigen domein – inclusief de digitale variant ervan. Niet de overheid moet de burgers in de gaten houden, maar andersom. Daarnaast willen ze “The Dark Web ontsluiten” (snap ik niet, bedoelen ze soms afsluiten?). De overheid moet “hacking, phishing, malware, spyware en ransomeware” (sic) bestrijden. Het internet der dingen is leuk, maar daar horen strikte privacybeschermingseisen bij.

De Piratenpartij is de laatste op mijn lijstje en heeft – niet geheel onverwacht – het nodige te melden op het gebied van security en privacy. Net als DENK voert deze partij aan dat in 2021 de helft van alle criminaliteit online plaatsvindt (maar nu met bronvermelding: het Openbaar Ministerie). Bestrijding van cybercrime moet dan ook een hoge prioriteit krijgen. Niet alleen moet het Team High Tech Crime van de politie worden versterkt, maar álle agenten moeten op dit terrein worden bijgespijkerd. Deze partij snijdt als enige het thema identiteitsfraude aan. Ze willen meer expertise en betere begeleiding van slachtoffers. Het BSN moet beveiligd worden met tweefactor-authenticatie om misbruik door derden tegen te gaan. De Piratenpartij spreekt zich uit tegen crypto-achterdeurtjes en ook tegen het invoeren van een decryptieverplichting. En ze gaan nog een forse stap verder: er moet een staatssecretaris Gegevensbescherming komen op het nieuwe ministerie van Digitale Infrastructuur. Hij moet, samen met de Autoriteit Persoonsgegevens, over de uitvoering van de Wet Bescherming Persoonsgegevens en de Europese Privacy Richtlijn waken. Het Nationaal Cyber Security Center verhuist naar dit ministerie. En tenslotte moet er volgens deze partij een beloningssysteem komen voor het melden van kwetsbaarheden rondom persoonlijke gegevens bij de overheid.

Zo, dat waren twee pagina’s partijprogramma’s over slechts twee onderwerpen. En nee, ik laat mijn eigen keus niet bepalen door hetgeen hierboven staat. Er zijn genoeg andere thema’s die ook belangrijk zijn.