In Israël kunnen de appjes zomaar komen, onaangekondigd. De ontvanger krijgt te horen dat die aan het coronavirus is blootgesteld en daarom per direct twee weken in thuisquarantaine moet.
De frustratie is soms nog groter, als iemand van het ene op het andere moment al z’n sociale activiteiten moet stilleggen, terwijl de details van het bericht niet kloppen.
De Israëlische journalist Liat Ron schreef op Twitter dat ze volgens haar appje – afkomstig van het ministerie van Volksgezondheid – op vrijdagavond tussen zeven en acht uur dicht bij iemand in de buurt was geweest die corona had. Haar dochter kreeg te horen dat voor haar hetzelfde gold, maar dan een uur eerder. Maar volgens Ron zaten ze op dat moment thuis te eten. ‘We werden blootgesteld aan rijst’, zei ze.
Tot dusver telt Israël meer dan 500 officiële doden die aan het coronavirus kunnen worden gerelateerd.
Het besluit wie de opdracht krijgt om in quarantaine te gaan hangt er af van een controversiële database, bekend onder de bijnaam The Tool. Shin Bet, de binnenlandse veiligheidsdienst van het land, beheert ’m.
Regeringsfunctionarissen geven geen opheldering over de precieze werking van The Tool. De database, met data afkomstig van telecombedrijven, zou voortdurend alle gesprekken, berichten en locatiegegevens van alle Israëliërs bijhouden. Waar de politie een gerechtelijk bevel nodig heeft om aan zulke data te komen, kan Shin Bet er permanent over beschikken.
Toen bezorgd werd gereageerd op de betrokkenheid van de veiligheidsdienst, liet de Israëlische overheid weten dat data van telecombedrijven effectiever zijn dan vrijwillige corona-apps of meldingen van burgers. Telecombedrijven houden de inwoners van Israël, een van de meest verbonden landen ter wereld, in de gaten. Of ze het nu leuk vinden of niet.
Zo’n extreem contactonderzoeksprogramma is controversieel. Het wantrouwen van de bevolking tegen het programma, dat volgens critici bovendien vaak onnauwkeurig is, richt zich vooral tegen de overheid.
De directeur van Shin Bet, Nadav Argaman, liet zijn ongenoegen blijken omdat middelen van zijn dienst nu worden gebruikt om burgers in de gaten te houden, maar de Israëlische telecomsector doet er het zwijgen toe.
‘De telecombedrijven zijn niet meer dan een doorgeefluik’, aldus Amir Cahane, cybersecurityonderzoeker aan de Hebreeuwse universiteit van Jeruzalem. ‘Hun rol staat niet ter discussie, want ze zijn wettelijk verplicht die informatie te verstrekken.’
De Big Tech waar we het over moeten hebben
Overal ter wereld is een vergelijkbaar sentiment voelbaar. Vooral telecombedrijven dragen bij aan nationale en regionale volgsystemen die verdere verspreiding van het coronavirus moeten tegengaan, maar overheden beroepen zich op wettelijke afspraken met de bedrijven.
Volgens de Track(ed) Together-database van De Correspondent maken minstens dertig landen gebruik van de data van telecombedrijven om het virus in te dammen.
Tenzij ons telefoon- en internetgebruik hapert, staan we nauwelijks stil bij de bedrijven die zorgen voor kabels, leidingen en satellieten
Dat overheden geen publieke verantwoording afleggen, steekt schril af bij het vuur dat Apple en Google na aan de schenen wordt gelegd vanwege hun bemoeienis met contactonderzoek. Ook de telecombedrijven ontspringen grotendeels de dans. Tenzij ons telefoon- en internetgebruik hapert, staan we nauwelijks stil bij de bedrijven die zorgen voor de kabels, leidingen en satellieten die het mogelijk maken informatie tussen vrienden, familie, collega’s en klanten de wereld over te sturen.
Technologiewaakhonden laten zich afleiden door het veel luidere kabaal dat afkomstig is van ‘GAFA’, de machtige content- en netwerkmerken Google, Apple, Facebook, Amazon en hun soortgenoten – oftewel: Big Tech.
Locatiegegevens zijn sinds corona goud waard
De telecomindustrie is verantwoordelijk voor de infrastructuur die ons verbindt. Telecombedrijven plaatsen de masten en leggen de kabels aan die wifi, mobiele telefoons en 4G-dekking (inmiddels 5G) mogelijk maken. Ze vormen de zon waar het communicatie-universum om draait. Het bedrijfsleven, de onderwijswereld en de entertainmentindustrie kunnen niet zonder de diensten die ze leveren.
Die bedrijven waren de aloude Big Tech. En hoewel ze sinds hun hoogtijdagen en de hausse in digitale infrastructuur in de jaren negentig flink aan belang hebben ingeboet (en hun winst door de nieuwe dominantie van internetdiensten in rook hebben zien opgaan), zijn het naar omvang én reikwijdte gemeten nog steeds giganten. De Vodafone Group heeft meer dan 600 miljoen afnemers van mobiele diensten, is actief in 24 landen en werkt in nog eens 50 andere samen met netwerkdiensten en breedbandaanbieders. Orange is actief in 27 landen en heeft 204 miljoen afnemers van mobiele diensten en 20 miljoen netwerkgebruikers.
Omdat de telecombedrijven de baas zijn over die digitale infrastructuur, kunnen ze zien wat erdoorheen gaat: met wie je praat, wat je hebt gezegd, waar je op internet naar hebt gekeken en waar je bent (geweest). Verschillende bedrijven houden er verschillend beleid op na als het gaat om het verzamelen van data en hoelang ze die bewaren.
Zo werd dankzij de Amerikaanse variant van het Wob-verzoek duidelijk dat Verizon de inhoud van appjes maximaal vijf dagen bewaart, terwijl andere Amerikaanse telecombedrijven die informatie meteen weggooien. Een deel van die data is van belang om de kosten, de tarieven en de factuur voor de klant te berekenen. Maar de bedrijven gebruiken klantgegevens ook voor commerciële doeleinden door ze aan tussenbedrijven te verkopen, die ze weer doorverkopen aan verschillende klanten en bedrijfssectoren.
Sinds de coronapandemie zijn de locatiegegevens in onze mobiele toestellen goud waard geworden voor beleidsmakers. Het gaat om de opeenvolgende, in een mobiel toestel opgeslagen signalen van zendmasten waarmee dat toestel contact heeft gemaakt.
De nauwkeurigheid van de locatiegegevens varieert naargelang de technologie die het telecombedrijf gebruikt en het aantal zendmasten in een bepaald gebied; in de stad staan er over het algemeen meer dan op het platteland. Grosso modo kan iemands locatie met die techniek tot op driehonderd meter nauwkeurig worden bepaald, maar sommige systemen zijn nog nauwkeuriger en kunnen zelfs vaststellen waar iemand zich in een gebouw bevindt.
De data onthullen bovendien nog veel meer. ‘Eén zo’n “datapunt” zegt niet zoveel’, aldus Sara Collins, juridisch expert van de Amerikaanse non-profitorganisatie Public Knowledge, die strijdt voor privacy en een vrij internet. ‘Maar dat iemand kan volgen waar je bent ligt erg gevoelig, want diegene kan vrij eenvoudig achterhalen waar je woont of werkt. Hij kan ook uitvogelen met wie je omgaat, en al die verbanden bij elkaar geven hem een beeld van de religie die je aanhangt, je seksuele geaardheid, je politieke voorkeur: alles wat je om welke reden ook niet met iedereen wilt delen.’
Israël is zeker niet het enige land waar telecombedrijven en overheidsinstanties zulke mogelijk gevoelige locatiegegevens delen.
Zo gebruiken landen gevoelige locatiegegevens
In China waren telecomdata van cruciaal belang voor het opsporen van mensen die in of nabij de provincie Hubei waren, waar Wuhan in ligt, toen daar de corona-epidemie begon.
Wanneer iemand in Zuid-Korea positief op het virus test, kan een speciale ambtenaar die met contactonderzoek is belast de politie vragen om bij de telecomprovider twee weken aan locatiegegevens van de geïnfecteerde op te eisen. Waar die persoon wanneer is geweest wordt vervolgens online gezet of per sms-alert bekendgemaakt, zodat anderen kunnen inschatten of ze risico lopen en een coronatest willen ondergaan. Namen worden niet vrijgegeven, maar de details zijn vaak uiterst persoonlijk en onthullen bijvoorbeeld dat iemand een zelfverdedigingscursus tegen seksueel geweld heeft gevolgd of een uur in een zogeheten liefdeshotel heeft geboekt. Er zijn gevallen bekend waarin mensen op basis van die informatie door tv-verslaggevers werden ‘ontmaskerd’. Patiënten kunnen geen bezwaar maken tegen het vrijgeven van dergelijke informatie.
In EU-landen kunnen overheden locatiegegevens alleen per bulk verkrijgen
In EU-landen verbiedt een richtlijn het gebruik van zulke data om iemands locatiegeschiedenis bij te houden. Daar kunnen overheden locatiegegevens alleen per bulk verkrijgen: door een schatting van alle anonieme verplaatsingen te maken, krijgen ze een idee van het aantal mensen dat de lockdownverordeningen opvolgt.
Het Noorse telecombedrijf Telenor deelt sinds januari locatiegegevens met de Noorse overheid, nog voordat er coronagevallen in het land waren gemeld. Een ander vroeg voorbeeld: telecombedrijven in Lombardije, in Italië, voldeden snel aan verzoeken van de overheid toen het virus daar in februari uitbrak.
Tot de voorstanders van het oogsten van bulkdata behoort Andy Tatem, hoogleraar aan de universiteit van Southampton in het Verenigd Koninkrijk. Tatem analyseerde in samenwerking met Vodacom mobiliteitspatronen in Mozambique, op basis waarvan malaria in het land wordt bestreden. ‘Rekening houdend met vertekeningen krijgen we een ongekend inzicht in de verplaatsingspatronen in en tussen steden, gemeten over verschillende tijdseenheden’, laat Tatem per e-mail weten. Die informatie komt van pas bij het opstellen van modellen voor de verspreiding van de ziekte en van beleid om die in te dammen.
Coronatoezicht: de zoveelste nauwe samenwerking tussen overheden en telecom
Het aanleveren van data voor wat tegenwoordig wel ‘coronatoezicht’ wordt genoemd is een nieuw hoofdstuk in de lange geschiedenis van nauwe samenwerking tussen telecombedrijven en overheden. Na de liberalisering van nationale telecom-nutsbedrijven in de jaren negentig onderhielden de overheden warme banden met de geprivatiseerde bedrijven én met nieuwkomers.
‘Ik zou van een wel erg knusse relatie willen spreken’, zegt Diego Naranjo van European Digital Rights. Nu het leven van veel mensen zich steeds meer online afspeelt, worden telecombedrijven volgens Naranjo vaker gezien als bondgenoten in de wetshandhaving.
Details over dataverzoeken van overheden zijn grotendeels geheim, hoewel klokkenluiders soms een tipje van de sluier oplichten.
Nick Merrill, oprichter van Calyx, een kleine internetprovider, voerde een strijd van twaalf jaar om te mogen vertellen dat de FBI hem in 2004 had ‘verzocht’ (niet: bevolen) om in het belang van de nationale veiligheid de locatiegeschiedenis van een van zijn cliënten vrij te geven.
Mark Klein, technicus bij telecombedrijf AT&T, stuitte in 2003 op een geheime overeenkomst van zijn werkgever met de Amerikaanse Nationale Veiligheidsdienst, de NSA, die de dienst de mogelijkheid bood gegevens over het internet- en belgedrag van Amerikaanse burgers op te slorpen. Tien jaar later werd Kleins verhaal bevestigd door documenten van de NSA die Edward Snowden liet uitlekken. Daarin werd AT&T ‘uiterst coöperatief’ genoemd.
Snowden onthulde ook veel informatie over de medewerking die telecombedrijven verleenden aan Britse en Amerikaanse spionagediensten. Tussen 2008 en 2010 zou het telecombedrijf Cable and Wireless regelmatig bijeenkomsten hebben gehad met de Britse inlichtingendienst GCHQ en maandelijks 1 miljoen pond hebben ontvangen om het internetverkeer in zijn netwerk in de gaten te houden.
De nauwe banden tussen telecombedrijven en overheden vallen onder contractuele verplichtingen en wettelijke regels. ‘Bijna elk land probeert de telecombedrijven op de een of andere manier aan banden te leggen’, zegt Edin Omanovic van Privacy International.
De methoden en de wetgeving verschillen per land.
Niets dwingt telecombedrijven transparant te zijn
In landen waar telecombedrijven geen staatsbezit zijn, bepalen licentieovereenkomsten dat ze uitsluitend binnen bepaalde grenzen mogen opereren. Functies in de sector die als ‘gevoelig’ worden beschouwd, kunnen door veiligheids- en inlichtingendiensten worden gescreend.
In Europa is wetgeving die telecombedrijven verplicht gebruikersgegevens jarenlang op te slaan heel gewoon. Want stel dat veiligheidsdiensten ze nodig hebben…
Elders staan de deuren van telecombedrijven wagenwijd open voor overheidsorganisaties. De telecomwet van Israël eist van bedrijven dat ze toegang tot hun voorzieningen en databases geven ‘als noodzakelijke voorwaarde voor de veiligheidsdiensten om hun werk te kunnen doen of hun macht uit te oefenen’.
In Europa is wetgeving die telecombedrijven verplicht gebruikersgegevens jarenlang op te slaan heel gewoon
Zulke wetten verschaffen een legale, culturele basis waarop het gebruik van telecomdata voor coronatoezicht naadloos aansluit. De Pool Jan Rydzak, data-analist van Ranking Digital Rights, een organisatie die telecombedrijven waardeert naar de mate waarin ze zich aan mensenrechten houden, zegt dat het publiek en de media niet waakzaam genoeg zijn. Telecombedrijven hoeven niet te voldoen aan dezelfde maatstaven als Big Tech, vertelt Rydzak me. Daardoor kunnen ze de roep om verandering gemakkelijk van zich laten afglijden.
‘De Facebooks van deze wereld liggen onder het vergrootglas van zowel pers als publiek. Of hun transparantiebeleid nu een kwestie van pr is of niet, ze moeten laten zien dat ze iets doen’, zegt Rydzak. Zelfs wanneer telecombedrijven informatie geven over dataverzoeken van de overheid, ‘laten ze in het midden of ze aan die verzoeken voldoen. Ik denk dat dat komt doordat ze daar in de meeste gevallen aan toegeven. Als niets ze ertoe dwingt er transparant over te zijn, dan zijn ze dat ook niet.’
Dat gebrek aan transparantie strekt zich uit tot de pandemie. Volgens Rydzak is er geen antwoord op de vraag hoelang telecomdata worden opgeslagen die worden verzameld om overheden en wetenschappers te informeren over het virus. Dat komt volgens hem maar voor een deel doordat niemand weet wanneer de pandemie voorbij zal zijn.
Telia liet zien welke verzoeken Zweden, Finland, Noorwegen, Litouwen, Letland en Denemarken deden
Van de grote spelers heeft alleen het Zweedse Telia openheid gegeven. In een rapport geeft Telia details over de overheidsverzoeken waaraan het heeft voldaan. Hoewel nadere informatie over de eventuele duur van de datadeelovereenkomst ontbreekt, laat het rapport zien dat overheden schreeuwen om zulke data.
Telia, een multinational, heeft verzoeken openbaar gemaakt die sinds februari zijn gedaan door de Europese Commissie en door elk land waarin het actief is: Zweden, Finland, Noorwegen, Litouwen, Letland en Denemarken.
Bezien vanuit het perspectief van de telecomsector weerspiegelt die mate van samenwerking met overheden het feit dat telecomactiviteiten internationaal van aard zijn: elke activiteit is afhankelijk van nationale regels.
David Sullivan, van het Global Network Initiative, zegt dat het oneerlijk is om de praktijken van internationale telecombedrijven te vergelijken met die van de netwerken van Big Tech, omdat die ‘veel meer onder druk staan’.
Sullivan: ‘Ben je als bedrijf met honderdduizenden werknemers en grote investeringen afhankelijk van regelgeving van een nationale overheid, dan is dat iets heel anders dan wanneer je een socialemediabedrijf bent dat in bijna geen enkel land fysiek aanwezig is. Zo’n bedrijf kan zeggen: als jullie gegevens van ons willen, dan probeer je die maar via een Amerikaanse rechtbank te krijgen.’
Telecombedrijven kunnen zich meer verzetten tegen bemoeizuchtige overheden
De bezorgdheid over burgerlijke vrijheden neemt toe. Vóór de pandemie groeide het verzet omdat critici telecombedrijven dwongen meer te doen om burgers te beschermen tegen al te bemoeizuchtige overheden, vooral wanneer ze het bevel kregen het internet af te sluiten. De meeste telecombedrijven zijn wettelijk verplicht om stilzwijgend te voldoen aan officiële verzoeken om het internet ‘uit te zetten’, bijvoorbeeld in reactie op geweld, bij protesten of in verkiezingstijd.
Sinds kort zoeken sommige bedrijven echter naar een achterdeur.
In Soedan en Irak legden telecombedrijven bijvoorbeeld het internet plat zonder buitenlandse simkaarten te blokkeren, waardoor activisten met elkaar konden blijven communiceren.
Sullivan zegt dat bedrijven transparanter zouden kunnen zijn door zich te verzetten tegen druk van de overheid om te liegen over de reden waarom ze hun netwerken afsluiten: ‘Als een overheid zegt: “We willen dat jullie zeggen dat er technische problemen zijn”, dan kunnen de bedrijven zeggen: “Nee, we melden dat de netwerken platliggen, maar gaan daar niet over liegen.”’
Toen het Guinese telecombedrijf Guilab het bevel kreeg reparaties aan zijn netwerk uit te voeren in het weekend waarin de verkiezingen plaatsvonden, weigerde de directie dat. ‘Ze gingen korte tijd uit de lucht, maar bedachten zich en zeiden: “Nee, dat gaan we niet doen”’, zegt Alp Toker, directeur van NetBlocks, een organisatie die wereldwijd bijhoudt waar en wanneer het internet wordt afgesloten. Het besluit van Guilab werd echter ondermijnd door een gebrek aan solidariteit van sectorgenoten.
Toen de overheid het Franse telecombedrijf Orange en het Zuid-Afrikaanse MTN – allebei multinationals die de Afrikaanse markt domineren – vroeg de toegang tot sociale media te blokkeren, stemden beide daarin toe.
In de meeste van dat soort gevallen wijzen degenen die het voor de sector opnemen op de veiligheid: er zijn gevallen bekend van bewapende gardisten die op het hoofdkantoor van telecombedrijven kwamen eisen dat ze het internet tijdens de verkiezingen platlegden. Meestal worden landelijke bedrijven bedreigd, zegt Toker: ‘De multinationals werken sowieso mee, anders kost het ze hun business.’
Maar samenlevingen verwachten meer van ze
Het gebrek aan gecoördineerd verzet van telecombedrijven tegen het groeiende aantal verzoeken om het internet plat te leggen is een voorbode van een nieuw front in de mondiale slag om de privacy van gebruikersgegevens. Al worden telecombedrijven nog zo door wetgeving gemuilkorfd, in de samenleving neemt de consensus toe dat er meer van ze wordt verwacht, vooral als het gaat om transparantie.
Dat de sector van oudsher met overheden meewerkt zonder daar open over te zijn, is reden tot zorg in deze tijden van een pandemie, die de afspraken tussen telecombedrijven en overheden om data te delen alleen nog maar zal verstevigen. Als telecombedrijven zich zelfs niet verzetten tegen verzoeken om het internet af te sluiten, is het moeilijk voorstelbaar dat ze de talloze dataverzoeken naast zich zullen neerleggen die overheden uit naam van de volksgezondheid doen.
De belangrijke rol die de sector in contactonderzoek speelt, betekent dat telecombedrijven zich niet langer zullen kunnen verschuilen voor de kritische blik waarmee ook naar Google, Facebook en Apple wordt gekeken. Het wordt tijd om in te zien dat niet alleen Big Tech met onze data kwaad kan doen.
Vertaald uit het Engels door Nico Groen
Correctie 5 augustus 2020: In de lead (en nieuwsbrief) stond per ongeluk dat telecomdata worden gebruikt om de bestrijding van corona tegen te gaan. Dat moet natuurlijk verspreiding zijn, en is aangepast.
The original Big Tech is working closer than ever with governments to combat coronavirus – with no scrutinyLees ook:
Corona-apps laten zien: geen overheid kan meer zonder Apple en Google Overheden die corona willen indammen met een app, zijn overgeleverd aan de strenge voorwaarden van Apple en Google. De twee techreuzen hebben geen ervaring met epidemieën, maar bepalen wel de spelregels van de bestrijding – terwijl overheden de zeggenschap kwijtraken.Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!