00:00:00
Inge: Je luistert naar de Bits Of Freedom podcast. We gaan het vandaag hebben over encryptie.

00:00:06
[Jingle] Muziek start en een zanger zingt: geen datalekken, achterbakse tracking, geen bizarre wetten. Gewoon geen wereldvreemde shit voor het wereldwijde web. Wil jij weten wat er speelt rondom het internet? Dit is Bits of Freedom!

00:00:13
Inge: Encryptie is een manier om onze gegevens en communicatie te versleutelen. Het zorgt er voor dat niet iedereen zomaar mee kan kijken met de gegevens die je online opslaat of verstuurd. End-to-end encryptie is één van de weinige technologieën waarop we kunnen vertrouwen om onze meest gevoelige gesprekken, foto's en video's te beschermen. En toen ik het script voor deze podcast aan het schrijven was, ging ik allemaal voorbeelden bedenken voor wanneer dat allemaal belangrijk is: journalisten die hun bronnen willen beschermen, activisten die een demonstratie plannen, ik die communiceer met de Belastingdienst.

00:01:00
Inge: Maar eigenlijk is dat heel gek, want natuurlijk zijn die specifieke voorbeelden super belangrijk. Maar ik moet er toch eigenlijk altijd vanuit kunnen gaan dat mijn privé communicatie 'privé' is en dat er niemand met me mee kijkt. En niet alleen in hele uitzonderlijke gevallen, maar ook als ik gewoon met mijn zus vakantiefoto's deel of met een vriendin zit te appen. De Europese Commissie werkt nu aan een wetsvoorstel dat platformen kan verplichten om mee te kijken met al jouw chats. En dat voorstel ondermijnt de essentie van end-to-end encryptie. Hoe zit dat? Ik praat erover met Rejo Zenger: Hoi Rejo

00:01:38
Rejo: Hoi.

00:01:39
Inge: Die zich voor Bits of Freedom al jarenlang inzet voor de bescherming van encryptie. En met Evelyn Austin: Ha Evelyn.

00:01:45
Evelyn: Hallo

00:01:46
Inge: directeur van Bits of Freedom en mijn vaste tafelgast in deze Bits of Freedom podcast. Mijn naam is Inge Wannet. Welkom bij de Bits of Freedom podcast.

00:02:01
[Jingle]Muziek intro met gitaren, drums en een beat.

00:02:02
Inge: Evelyn, ik heb natuurlijk heel veel zin om zo met de Rejo de wereld van de versleuteling in te duiken, maar ik ben ook heel benieuwd hoe jouw week op het internet was en je hebt ongetwijfeld weer iets leuks uitgezocht of iets interessants om daarover met mij te delen.

00:02:17
Evelyn: Ja. Nou, het was wel een enerverende week op het internet. Ik kon ook moeilijk kiezen en uiteindelijk is wat ik met je wil delen, we zitten hier in op kantoor in Amsterdam, dus het is een lokaal nieuwtje. Is het nieuws of de aankondiging van de burgemeester - burgemeester Halsema - om een online gebiedsverbod te kunnen opleggen.

00:02:41
Inge: Ik zag het voorbij komen inderdaad. Ik vroeg me heel erg af: hoe gaan ze dat doen? Kan dit?

00:02:46
Evelyn: Ja, nou, tenminste in haar aankondiging ging het specifiek over drillrap video's waarin een soort van fitties (online ruzies] worden uitgevochten en dat leidt ook echt tot geweld op straat. Dat is natuurlijk niet goed.

00:03:02
Inge: Maar met jou hadden heel veel mensen vragen over een online gebiedsverbod: wat dan en hoe dan? En wat moet ik me daar bij voorstellen?

00:03:10
Evelyn: Het is ook niet de eerste keer dat het daarover is gegaan. In 2002, nee ik denk vorig jaar. In 2021 heeft een zeventienjarige jongen in Utrecht, heeft een online gebiedsverbod opgelegd gekregen door de burgemeester van Utrecht, omdat hij had opgeroepen tot rellen. Dat was volgens mij in het kader van Corona. Maar waar het precies over gaat, is bepaalde oproepen over bepaalde gebieden verbieden. Dus het is niet echt een online gebiedsverbod. Je wordt gewoon een soort... Je krijgt een tik op de vingers en dan zegt de burgemeester: jij mag niet meer oproepen tot rellen in mijn stad.

00:03:49
Inge: Ah. Dus het is niet zo dat je op bepaalde plekken op het internet niet meer mag komen. Jij mag nou weer naar de website van de gemeente, maar je mag niet meer zeggen dat je naar die en die plek in de gemeente moet komen.

00:04:01
Evelyn: Ja, terwijl er dan ook wel weer ook wordt gezegd, je mag niet komen op de plekken waar je die oproepen eerder hebt gedaan. Maar... dus het is een beetje vaag allemaal, maar het het lijkt in de kern dan lijkt het, ja inderdaad, soort van beperkt te zijn tot dus die oproepen over bepaalde gebieden. Ik vond het, ik vond het, dus ik denk dan meteen: hoe ga je dat in hemelsnaam handhaven? Dat lijkt mij echt een kriem. Vooral nog toen het ging over of toen ik dacht, want een online gebiedsverbod klinkt als je mag op plekken het internet niet komen. Nou ja, goed, dat is dus niet aan de hand. Maar ik, ik vind er het... ik vind het gewoon een hele interessante zaak, want de burgemeester geeft zelf al aan eigenlijk is er geen juridische basis hiervoor. Dus het is een bevoegdheid die ik helemaal niet heb, die ik ga inzetten in goed overleg met de politie en de veiligheidsdriehoek. Nou, dat is natuurlijk al heel bizar.
Ik denk ook dat nou, ja, nog even los van die handhaving en hoe dat dan precies gaat, stel je voor dat jij de burger bent die voor het eerst het online gebiedsverbod krijgt opgelegd en dan heeft jouw eigen burgemeester gezegd: ja, nou ja, als je het er niet mee eens bent. Weet je, ga dan maar naar de rechter en dan vechten we het daar wel uit. Dus je komt ook als burger in een soort van hele rare twilight zone, waar je eigenlijk niet meer precies weet wat je rechten zijn en niet meer precies weet wat nou wel en niet mag.
En dat laatste punt vond ik uiteindelijk nog wel het interessants, want Queeny Rajkowski, VVD-kamerlid heeft dit ook al een maand geleden een keer geopperd dat de VVD zich daarvoor in wil zetten, de minister van JenV (ministerie van justitie en veiligheid) ook. En zij zegt: ja, we hebben natuurlijk binnen het strafrecht mogelijkheden om dit soort uitingen te adresseren, maar dat is natuurlijk ook wel weer zo'n heftig middel, strafblad et cetera et cetera. En als je het zo via het bestuursrecht kunt doen, dan is dat minder ingrijpend. En dat klinkt dan... ik dacht 'oh nou wat aardig'. Toen dacht ik 'huh', maar dan heb je dus straks, dan mag je iets niet vanuit het Bestuursrecht niet, maar ook vanuit het Strafrecht niet. En wie bepaalt dan wanneer welke van de twee wordt toegepast? Worden de Drillrap-video-verspreiders een soort van terechtgewezen onder het Bestuursrecht en oproepen tot andere soorten rellen onder het Strafrecht? Nee, dus eigenlijk is het gewoon, echt een beetje een rommeltje om het maar heel netjes te zeggen.

00:06:21
Inge: Het klinkt alsof er er nog heel veel uitgezocht moet worden over wie, wat en waar. Maar het is natuurlijk ook wel echt een noodgreep lijkt me toch?

00:06:31
Evelyn: Ja, is het een noodgreep? Nou ja, wat ze natuurlijk rondom die Corona rellen zeiden, was dat via het Strafrecht dit soort uitingen voor de rechter krijgen, dat dan te lang duurt. Dus ik stel me dan voor dat ze willen dat de politie op een moment, of de burgemeester, op een moment dat iemand zegt 'morgen om vijf uur daar en daar we gaan vechten' dat de politie dus een soort van meteen bij je op de stoep kan staan om te zeggen: hé, je moet het weer offline halen. Maar kan de politie dat niet nu eigenlijk ook al? Er zit ook heel veel om heen rondom de monitoring van sociale media door de politie. Ook echt in die gemeentelijke context, dus daar wordt ook steeds meer op ingezet. Soort inlichtingen eigenlijk een beetje. Ja, dus het is... ja, nog veel vragen.

00:07:20
Rejo: En eigenlijk wordt die burger trouwens hier gewoon als een soort proefkonijn neergezet, want die mag het dan uit gaan zoeken voor de rechter. Het is toch heel bizar dat je als burger als proefkonijn wordt ingezet voor wetgeving.

00:07:31
Evelyn: Nou ja, de jongen in Utrecht die dat gebiedsverbod heeft gekregen, die was zeventien. Ik las ergens iemand die zei: ja, die jongen was wel blij dat hij er zo makkelijk van af kwam. Die gaat dan echt niet een stap zetten om dit voor de rechter uit te vechten, waardoor je de dus ook ja, die burger wordt de dupe, maar je creëert ook jurisprudentie die eigenlijk niet heel behulpzaam of heel scherp is.

00:07:57
Inge: Ja dus het is weer eens de omgekeerde volgorde; een soort van iets inzetten voordat het echt mag en dan gaan uitzoeken of het eventueel zou mogen.

00:08:07
Evelyn: Ja, ja, zeker. Ja en dat zien we natuurlijk op gemeentelijk niveau en bij de politie heel erg veel. Maar ik vond het hier nog extra pijnlijk omdat het zo vanuit de burgemeester kwam en ik vind toch de burgemeester, die is er voor ons. En natuurlijk heeft die verantwoordelijkheid voor de openbare orde. Maar de burgemeester is er ook voor de inwoners van je stad. En dit, dit voelt niet als een maatregel voor de inwoners van je stad. Nou goed, en dan kun je natuurlijk ook nog van alles zeggen over dat er meer moet worden ingezet op preventie. Dat de afgelopen tien, vijftien jaar - een soort van - sociale voorzieningen in Amsterdam, buurthuizen en dat soort dingen dat daar enorm op is gekort. En dat er dan, jongeren - een soort van - naar andere activiteiten grijpen (lacht). Het is niet goed, maar misschien zijn er ook - een soort van - aan de aan de voorkant maatregelen te nemen, waardoor je niet hele repressieve surveillance maatregelen hoeft uit te rollen.

00:09:12
Inge: Zo klinkt het wel. Dankjewel.

00:09:14
[Jingle]: muziek outro met gitaren, drums en een beat.

00:09:21
Inge: Rejo, jij houdt je voor Bits of Freedom al jaren bezig met met het dossier encryptie. Kan je mij nog eens uitleggen waarom is encryptie nou precies zo belangrijk?

00:09:32
Rejo: Zeker, dat kan ik, dat doe ik met alle plezier zelfs. Kijk encryptie er eigenlijk om er voor te zorgen dat we veilig manier kunnen communiceren. Zoals je al bij de intro zei: dat je kunt communiceren, dat je kunt praten of chatten met bijvoorbeeld je zus, zonder dat je je zorgen moet maken dat iemand mee kan lezen. En dat doen we door encryptie en dat is een manier waarop je er voor zorgt dat alleen maar de verzender en de beoogde ontvanger het berichtje kunnen lezen en niemand anders. Als iemand dat zou onderscheppen onderweg, dan ziet hij alleen maar een rommel aan karakters. Dat is niet iets wat je kunt ontcijferen of wat je kunt lezen. Dus alleen maar de verzender en de beoogde ontvanger kunnen het begrijpen dan. En dat is super belangrijk in onze maatschappij, want dat zorgt voornamelijk dat jij in alle vertrouwen met mensen kunt praten en van gedachten kunt wisselen, ideeën kunt ontwikkelen, zonder dat je bang moet zijn dat het op een bepaalde plek later eens een keertje terugkomt of tegen je wordt gebruikt, bijvoorbeeld. Dus het is ontzettend belangrijk voor je persoonlijke ontwikkeling. Je kan je ook voorstellen als je hulp zoekt en je hebt contact met een dokter bijvoorbeeld, dan wil je dat alleen die dokter dat kan lezen en niet dat iemand anders mee kan lezen. Maar dat gaat heel erg over het individu, dan zijn er ook andere actoren in onze maatschappij die daar heel veel baat bij hebben.

00:10:42
Rejo: Bijvoorbeeld bedrijfsleven; die kunnen hun bedrijfsgeheimen beschermen tegen bedrijfsspionage, maar ook voor bedrijfsprocessen die worden beschermd. Dus op moment dat iemand in een bedrijf op een knopje drukt en er gaat ergens een machine draaien, dat wil je alleen maar dat dat gebeurt wanneer die medewerker op het knopje drukt en niet als iemand van buiten vandaan op het knopje gaat drukken. Dat kun je afschermen door encryptie te gebruiken. En ik denk ook als maatschappij, want we zijn in Nederland, nou ja, heel veel dingen doen we digitaal - zeg maar- in onze analoge wereld. Als jij naar de supermarkt gaat, de bevoorrading van zo'n supermarkt dat gebeurt allemaal via het internet en dat moeten we op een veilige manier doen en ook daar kun je encryptie voor gebruiken om dat te beschermen. En als dat misgaat, nou je kunt je voorstellen wat er gebeurt op het moment dat de supermarkten leeg zijn of als de pin transacties drie dagen niet werken, dan weet ik zeker dat daar - nou ja - bijna rellen zullen ontstaan.

00:11:36
Inge: We weten allemaal nog de wc-papier crisis van, wat was het, 2020?

00:11:40
Rejo: Exact, we hebben net geen rellen gehad daarover. Maar precies dus dat. Ook als maatschappij denk ik dat we daar heel veel baat bij hebben als we encryptie gebruiken.

00:11:49
Inge: We hadden ook een een oproep gedaan voor vragen van luisteraars en er is een luisteraar met een vraag over gebruik van encryptie door de overheid. Ik wil hem even afspelen en misschien heb jij daar een antwoord op.

00:12:01
Vraagsteller: Mijn naam is Jos van den Oever en ik heb de volgende vraag. Waarom versleutelt de overheid haar e-mail niet.

00:12:08
Inge: Wil jij daarop reageren?

00:12:10
Rejo: Daar wil ik zeker op reageren, want ik denk namelijk dat deze luisteraar iets heel belangrijks benadrukt. Namelijk dat encryptie ook ontzettend belangrijk is voor de overheid. De overheid heeft veel baat bij het beschermen van bijvoorbeeld haar staatsgeheimen. Dat doet een AIVD (Algemene Inlichtingen - en Veiligheidsdienst) en dat doet de politie met opsporingsonderzoeken. De overheid heeft het ook nodig om bepaalde democratische processen te beschermen, zoals de verkiezingen. Of wanneer jij belastingaangifte wilt doen dan hoef je dat niet meer op papier te doen, of mag je dat niet eens meer op papier doen, maar moet dat digitaal en dat kan alleen maar omdat we dat goed kunnen beveiligen. Dus ik denk dat het super belangrijk is, dat die overheid zich heel bewust is van het feit dat encryptie ook voor haar zo heel belangrijk is. Specifiek de vraag van deze luisteraar, namelijk over e-mail. Bij e-mail is dat een beetje lastiger. E-mail is een oud protocol wat nooit bedacht is op veilig communiceren. Dat is nooit bedacht en nooit ingericht om dat te kunnen beschermen tegen afluisteren. Daardoor is het heel moeilijk om dat op heel grote schaal - op enorme schaal - om daar encryptie op toe te passen.

00:13:09
Rejo: Daar zijn allemaal middelen voor, maar deze werken allemaal net niet lekker genoeg. Dat betekent dat de overheid ook heel bewust e-mail onbeveiligd inzet. Met andere woorden: zij zullen niet jouw login gegevens via e-mail aan jou verstrekken. Dat gaat via andere kanalen die wel goed beveiligd kunnen worden. Dus ik denk dat specifiek e-mail beveiligen, dat het heel lastig is om dat echt end-to-end te encrypten te doen. Maar dat er andere middelen zijn via welke de overheid wel versleuteld en veilig kan communiceren en die zet de overheid dan ook in.

00:13:41
Inge: Dus dan heb je bijvoorbeeld over inloggen met je DigiD bij Mijn Belastingdienst of dat soort services.

00:13:48
Rejo: Precies. Bijvoorbeeld als de overheid jou een gevoelige brief wil sturen, iets rondom je toeslagen bijvoorbeeld, dan krijg je in je mailbox op z'n best een mailtje waarin staat 'he in jouw berichtenbox staat een brief voor je klaar.' Maar om die brief te kunnen lezen, zul je via een beveiligd dus met encryptie beveiligd kanaal - namelijk via de website van de overheid - die brief pas kunnen inzien.

00:14:11
Evelyn: Gaan we jou niet een 'rand' over PGP [Pretty Good Privacy] kunnen ontlokken.Daar hoopte ik eigenlijk op. (Rejo lacht)

00:14:17
Inge: Ik hoopte dat we een ingekomen reclame boodschap zouden krijgen (beide vrouwen lachen).

00:14:22
Rejo: Nou dat komt best, maar ik heb mij net heel bewust daar van afzijdig gehouden.

00:14:28
Evelyn: Dat merkte ik (allen lachen).

00:14:28
Rejo: Maar ik ben inderdaad niet zo'n groot fan van PGP en dat komt omdat die technologie, die werkt in theorie op zich heel goed, maar de praktische implementatie daarvan is heel moeilijk. Dat geldt overigens met heel veel encryptie, dat is niet makkelijk om dat goed te implementeren. Zijstraatje dat merkt de politie heel goed als ze bijvoorbeeld de versleutelde netwerken van criminelen wil doorbreken. Daar kan ze af en toe op inbreken. Dat is waarom een verhaal als EncroChat hebben, waarbij de politie een crimineel versleuteld netwerk inbreekt en daar op kon meelezen en dan lijkt het net alsof zij in haar woorden aan de koffietafel van criminelen zit. En het komt omdat ook voor criminelen is goed encryptie implementeren bijzonder moeilijk en bij PGP is dat ook heel lastig.

00:15:18
Evelyn: Moeten we Taghi aan de PGP helpen?

00:15:21
Rejo: Dat zou gunstig zijn voor de opsporing. Absoluut.

00:15:25
Inge: Niet alleen voor criminelen, ook voor ons. Ik moet tot mijn schaamte bekennen dat de persoon die deze vraag stelde mij probeerde versleuteld te e-mailen en mij er op attendeerde dat de sleutel verlopen was. Excuses daarvoor.

00:15:39
Rejo: Maar dat laat wel zien hoe moeilijk het eigenlijk is om dat echt goed te doen. Daarom denk ik ook dat PGP niet het middel gaat zijn, waardoor we op een veilige manier via e-mail kunnen communiceren. Ik denk eigenlijk, inmiddels zijn... ik gebruik al tientallen jaren e-mail en ik ben inmiddels wel zo ver dat ik zeg: ik geef het op om dat goed te kunnen versleutelen, want dat dat levert gewoon veel gedoe op. Het gaat vaak genoeg mis, het werkt vaak genoeg niet en dus moeten we, als we versleuteld willen communiceren met elkaar, een ander kanaal gebruiken.

00:16:07
Inge: Precies. Misschien niet PGP, maar je gaf wel aan hoe belangrijk encryptie eigenlijk op al onze niveaus in onze samenleving is dus op persoonlijk niveau, bedrijven, overheden, de hele maatschappij. Jij en ik werken nu echt al best wel lang samen en eigenlijk hoor ik jou al die tijd zo om de paar maanden dan wel jaar dat encryptie weer vreselijk onder druk staat, waarom is dat zo?

00:16:37
Rejo: Ja frustrerend eigenlijk, dat je mij iedere keer weer hetzelfde verhaal hoort houden (lacht). Ja nou ja. Kijk we noemen dat af en toe 'het zombie dossier ' en dat komt dan weten we dat weer even - met met veel pijn en moeite - weten we dat weer even te beschermen, dan is het weer heel even rustig bij de overheid. Dan komt er weer iemand die denkt: ' ja, nee, maar de opsporing heeft hier last van hier moeten we iets mee of de inlichtingendiensten hebben hier last van, dus dat moeten we inperken dat gebruik van encryptie.' Dus elke paar jaar en dat is al - ik zou bijna willen zeggen vier decennia zo - dan komt weer iemand met het slimme plan om te zeggen: ja, nee, encryptie is een probleem dat moeten we inperken en iedere keer moeten we opnieuw uitleggen dat dat misschien wel een legitieme wens is, dus daar zit een probleem onder waar er aandacht voor moet zijn, maar dat het inperken van encryptie heel veel meer schade oplevert dan dat het ons gaat brengen. Nou ja, gelukkig zijn we van de lange adem, gelukkig verveelt het nooit om iedere keer dat verhaal opnieuw te vertellen. Maar dat is wel de realiteit.

00:17:41
Inge: Ja, want we zitten nu ook weer in een piekperiode: encryptie staat weer onder druk en wij zijn het weer aan het aan het verdedigen. Kan je uitleggen waarom encryptie nu weer onder druk staat?

00:17:57
Rejo: Ja. Er zijn, denk ik, op dit moment sowieso meerdere ontwikkelingen die parallel lopen van elkaar. Kijk, in Nederland staat encryptie onder druk, omdat door opsporing bijvoorbeeld gevoeld wordt dat het afluisteren niet meer zo effectief is en dat is ook niet zo gek. Want als je, laten we zeggen tien jaar geleden of vijftien jaar geleden een telefoon of internetverbinding afstapte, dan was heel veel van die communicatie niet versleuteld en dat betekent dat als je dat afstapt als politie of als AIVD zijnde dat je dan de inhoud van die communicatie kan meelezen of meeluisteren. Dat is natuurlijk heel waardevol voor opsporings- en inlichtingendiensten. Als ze dat nu doen dat aftappen, dan kunnen ze niet meer meeluisteren, want het is allemaal versleuteld. Zij hebben geen toegemeten op die sleutels en dat betekent dat zij niet de inhoud van dat bericht kunnen ontcijferen. Dat maakt dat de waarde of de effectiviteit van het opsporingsmiddel afluisteren, dat die afneemt. Daar heb je minder aan dan wat je daar vroeger aan had. Dat is een pijn die gevoeld wordt door politiemensen, door rechercheurs door mensen die bij de AIVD werken. Natuurlijk is dat een valide zorg of valide probleem. Het is logisch dat ze dat ervaren en dat ze daar hinder van ondervinden en dat opsporingsonderzoeken niet meer opgelost kunnen worden op de manier waarop ze dat gewend waren. En aangezien dat geluid doorsijpelt richting de minister, is er een minister die dan steeds weer zegt: ja dilemma's, encryptie is belangrijk. Maar de encryptie zorgt er ook voor dat het afluisteren niet meer zo goed werkt. En dus worden de voorstellen gedaan of wordt er over nagedacht hoe je encryptie kunt inperken. Zodanig dat het afluisteren weer effectief is. Dat is een discussie die loopt op Nederlands niveau. Dat loopt in de laatste paar jaar weer. Op Europees niveau is er een andere discussie gaande, die gaat over het bestrijden van seksueel misbruik van kinderen. Ook ontzettend belangrijk dat er aandacht voor is. Maar de Europese Commissie neemt de kortst mogelijke weg en zegt dat materiaal van seksueel misbruik van kinderen wordt verspreid. Dat moeten we tegengaan, dus moeten we maar kunnen filteren en moeten dat dan maar tegen kunnen houden. Maar we hebben het nu de hele tijd over encryptie, omdat al onze chats met end-to-end encryptie zijn versleuteld dan betekent dat: alleen als ik jou een berichtje stuur dat alleen jij en ik de inhoud van het berichtje kunnen lezen. Dat betekent dat een ander dat niet mee kan meelezen en dat betekent dat als de Europese Commissie haar wetsvoorstel kan doordrukken dat al die bedrijven die dit soort oplossingen bieden, dat die iets aan die end-to-end encryptie moeten doen. Die moeten dat afbreken om in staat te zijn om mee te kijken of wij niet strafbaar materiaal met elkaar delen.

00:20:45
Inge: Dat klinkt heel onveilig.

00:20:47
Rejo: Dat is ontzettend onveilig. Het zorgt er namelijk voor als dit van kracht wordt, dat bedrijven zoals bijvoorbeeld een Meta met haar Whatsap of een Signal: dat die eigenlijk alleen maar aan die wet kunnen voldoen, als zij hun end-to-end encryptie inperken. Dat betekent dat zodra dat al gebeurd is, niet meer wij er op kunnen vertrouwen dat onze communicatie tussen ons blijft.

00:21:09
Inge: Om dan even nog verder in te zoomen op dat op dat Europese voorstel. Wat zou daar dan allemaal in geregeld worden?

00:21:16
Rejo: In het Europese voorstel staan eigenlijk heel veel dingen die ontzettend slecht zijn. In de in deze podcast ga ik het niet hebben over bijvoorbeeld het feit dat de Europese Commissie wil dat al onze chats worden meegekeken, dus om op zoek te kunnen gaan naar specifiek materiaal, zul je alle chats moeten bekijken. Heel simpel gezegd: als jij in een hele stroom gegevens alle katten plaatjes er uit wil halen, zul je de hele stroom moeten bekijken om die katten plaatjes te kunnen vinden. Daar ga ik het verder niet over hebben, maar dat s een probleem. Zo zijn er een hele berg andere problemen, maar specifiek voor encryptie zijn twee dingen, twee artikelen relevant in dat stukje wetgeving. Één daarvan is dat waar we het zojuist over hadden, dus waarbij een Signal gedwongen kan worden om mee te kijken met de berichten die wij uitwisselen. Het andere artikel, wat erin staat, is dat een internettoegangsprovider gedwongen kan worden om de toegang tot bepaalde plaatjes bijvoorbeeld te blokkeren.

00:22:12
Inge: Wat is een internettoegangsprovider?

00:22:14
Rejo: De internettoegangsprovider is bijvoorbeeld in ons geval een KPN, of een VodafoneZiggo die ons de toegang tot het internet verleend en zo'n partij zou gedwongen kunnen worden om mee te kijken met het internetverkeer van ons en de toegang tot specifieke plaatjes blokkeren. Maar het kan helemaal niet, want jij weet dat onze website bereikbaar is via https://www. bitsoffreedom.nl en die S zorgt er voor dat het versleuteld is. Het is versleuteld tussen jouw browser op jouw computer en onze server waar die website op staat. Dat betekent dat die internettoegangsprovider alleen maar kan zien - nu nog - welke website je bezoekt. Dus ze kunnen zien dat jij www.bitsoffreedom.nl bezoekt, maar ze kunnen niet zien welke pagina's of misschien zelfs welke plaatjes, je op die website ziet. Dat is dus goed beschermd met encryptie en dat is heel fijn, want op moment dat je jij in een café zit en je te internetten via WiFi dan vind je het fijn als niet iemand anders kan meekijken met wat je online aan doen bent. En het is ook fijn dat een internetprovider niet mee kan kijken. Maar als dus dit voorstel van de Europese Commissie er ongewijzigd doorheen komt, dan kan die internet provide gedwongen worden om mee te kijken. En dan is de vraag: of we constateren dit kan helemaal niet, want het is gewoon veel te goed beschermd. Of we constateren het moet hoe dan ook gebeuren en dat betekent dat we die end-to-end encryptie, dat we die encryptie moeten weghalen van onze website, van alle websites, wat daar misschien ondoenlijk is. Maar als we het doen, dan zijn we de vertrouwelijkheid op het internet kwijt.

00:23:46
Inge: En dan vraagt de overheid dus aan bedrijven om hun service minder veilig te maken voor de gebruiker.

00:23:55
Rejo: Voor iedereen ja. Dus de overheid vraagt bedrijven om producten zwakker te maken, de beveiliging zwakker te maken. Dus gaten te maken in de beveiliging van hun producten. Ik vind dat gewoon sowieso al idioot, maar dat is wel de essentie van dit verhaal. Daar gaat het wel op komen ja. En ik denk dat we juist met onze enorme afhankelijkheid van onze digitale infrastructuur, is het zo ontzettend belangrijk dat we onze infrastructuur zo veilig mogelijk maken. Hij is namelijk op dit moment maar beperkt veilig. Er zijn heel veel incidenten en het zou echt bizar zijn als een overheid dwingt om die infrastructuur onveiliger te maken. Dat is echt gewoon helemaal de verkeerde kant op.

00:24:32
Evelyn: Hoe verhoudt zich dit dan tot aftap-verplichting die telco zou hebben?

00:24:36
Rejo: 'Oh dat is een interressante vraag.' Twee dingen. In de eerste plaats de aftap-verplichting van bijvoorbeeld een telefoonprovider is niet te vergelijken met een aftap-verplichting die bijvoorbeeld bij een Signal terecht zal komen. De telefoon of bijvoorbeeld jou e-mail als die via... stel dat jij een mailbox bij KPN hebt, dan gaat de e-mail is dan misschien versleuteld tussen mij en KPN. En dan, als jij het ophaalt is het tussen KPN en jou versleuteld. Maar het is bij KPN zelf niet versleuteld, dus KPN heeft toegang tot de onversleutelde inhoud van die e-mails en dus kan ze dat op verzoek van de overheid afgeven aanleveren. Een Signal heeft geen toegang tot de onversleutelde inhoud van berichten en dat betekent dus dat bij een Signal meer gedaan moet worden om die toegang te krijgen. Dus daar moet je iets extra's inbouwen om iets verzwakken in feite. De vraag is overigens wel een heel goeie, want als je het heel ver door trekt dan is eigenlijk een aftappen ook al problematisch. Dat is iets waar weinig mensen over nadenken, maar als je een aftap inrichtingsverplichting organiseert, dus als je bedrijven telkens dwingt om te kunnen aftappen. Dan betekent het dat je op hun systemen ook al aanpassingen moet maken waardoor het aftappen mogelijk is. En in het verleden is dat overigens, er zijn voorbeelden van. Bijvoorbeeld in Italië daar heeft Vodafone een incident gehad waarbij hun apparatuur die ze gebruiken, dus die ze hadden aangepast om aan een afstap bevel te kunnen voldoen, dat werd misbruikt door kwaadwillenden waarbij parlementariërs bijvoorbeeld een politici werden afgeluisterd. Het is in feite ook een verzwakking van het systeem en daar kun je vraagtekens bij zetten.

00:26:17
Inge: Dus er ligt nu een wetsvoorstel waar heel veel problematisch aan is op het gebied van encryptie maar ook veel breder. Als jij een aantal punten zou moeten noemen van wat er beter zou kunnen aan dat voorstel, wat zou dat dan zijn? En dan wil ik je vragen om je te beperken tot het encryptie gedeelte en niet de hele wet.

00:26:37
Rejo: Nou, ik denk dat we (begint te lachen) sorry ik ga toch even niet luisteren naar je: driekwart van het voorstel is gewoon is gewoon ruk. Het is niet dat je - zeg maar - met een paar wijzigingen dit voorstel opeens weer goed kan maken. Dus eigenlijk zou het voorstel gewoon in de prullenbak moeten en we zouden gewoon van scratch af aan moeten beginnen. Voor specifiek voor encryptie, kijk je kan natuurlijk wel misschien dat wetsvoorstel een beetje wijzigen en dan kun je daarmee encryptie beschermen en dan hebben we dat probleem misschien opgelost. Maar dat laat staan dat het wetsvoorstel verder nog steeds heel veel schade aanricht en het oorspronkelijk doel, namelijk kinderen helpen, dat dat eigenlijk niet goed gebeurt. Dus volgens mij moet het voorstel gewoon in de prullenbak en zou je eigenlijk veel meer moeten kijken naar waar zijn er echt problemen? En volgens mij kunnen we met veel minder ingrijpende maatregelen heel veel meer effectieve stappen zetten.

00:27:25
Inge: Zoals?

00:27:26
Rejo: Nou bijvoorbeeld als we ons even tot Nederland beperken. Ik kan mij niet voorstellen het je ontgaan is, maar afgelopen jaar is er al zo ontzettend veel gezegd over bijvoorbeeld de capaciteit bij de zedenpolitie. Als een jongere aangifte doet van verkrachting bijvoorbeeld, dan is er de afspraak dat die zaak binnen een half jaar of binnen een jaar bij de rechter dat daar een zitting over is. In de praktijk redden ze dat helemaal niet, omdat ze de capaciteit er niet voor hebben en kan het dus voorkomen dat de politie pas - nou ja, als je al door de ontmoediging van de aangifte heen bent - als je aangifte gedaan hebt, dat je dan pas na een jaar of misschien wel pas na twee jaar een rechercheur de tijd heeft om jouw zaak te onderzoeken. En dit soort zaken zijn heel complex en dat maakt het dat die complexiteit wordt allee wordt n maar vergroot na die twee jaar. Dus dan wordt alleenoaar nog lastiger om zo'n zaak op te lossen. En in de tusse - ntijd weten - e ook, heeft de politie bijvoorbeeld heel weinig aandacht voor de slachtoffers in zo'n zaak. Dat beteke t dat u er heel veel plank zaken zijn, heel veel zaken niet opgelost meer kunnen worden. En volgens mij is het dus veel verstandiger als we jongeren willen helpen, als we kinderen willen helpen, als we bijvoorbeeld die capaciteit van de politie vergroten.

00:28:37
Inge: En dat is als kinderen en jongeren of hun ouders al naar de politie stappen, want ik las laatst ook weer een artikel over de schaamte die er bij heel veel kinderen en jongeren is om uberhaupt de stap te maken om zich uit te spreken over misbruik online.

00:28:53
Rejo: Precies. Dus capaciteit vergroten is één ding wat je zou kunnen doen. Voor mij kunnen we meer van dit soort stappen bedenken. Preventie is een ander bijvoorbeeld. Dat zou er voor zorgen dat je veel meer bij de kern het probleem aanpakt, want je gaat dan veel beter kunnen opsporen. Dus je kunt de daders dan pakken, in plaats van dat de dader vrijuit gaat en alleen maar het resultaat daarvan wordt ingeperkt. Ik denk dat je met minder inzet van middelen meer kunt bereiken en je hebt daarbij niet de negatieve nevenschade die je hebt als je bijvoorbeeld de vertrouwelijkheid op het internet op het spel zet. Dus ik denk dat dit wetsvoorstel gewoon weggegooid moet worden en dat we moeten kijken naar wat het eigenlijke probleem is en hoe lossen we dat goed op?

00:29:42
Inge: Je hebt goed aangeven waarom encryptie zo belangrijk is, waarom dit wetsvoorstel eigenlijk heel erg ruk is voor veiligheid online. Wat doet Bits of Freedom allemaal om nou ja, of het voorstel te verbeteren of het in de prullenbak te doen laten belanden en gewoon met betere maatregelen te komen.

00:30:01
Rejo: Zoals eigenlijk bij al ons werk, komt het er op neer dat we beleid proberen te beinvloeden. Dus we proberen die slechte wetgeving weg te houden. Dat betekent dat alles wat we doen eigenlijk daarop gericht is. En één van die dingen is bijvoorbeeld dat we de Nederlandse regering scherp proberen te houden. Encryptie staat al - we noemen het al een zombie dossier - encryptie staat al decennia lang bij de Tweede Kamer op de agenda. En één van de dingen die daar gebeurt, is dat de Tweede Kamer steeds minder geduld heeft met de minister van Justitie en Veiligheid. Die zegt encryptie belangrijk te vinden, maar tegelijkertijd ook die andere kant steeds meer naar voren brengt. En de tweeKede kamer, die heeft steeds minder geduld. DDus die heeft bijvoorbeeld in de afgelopen maand een keer een motie aangenomen waarin de Nederlandse regering wordt verzocht om end-to-end encryptie nu echt eens te beschermen En je merkt gewoon in de debatten dat de Tweede kamerleden worden echt gewoon gefrustreerd met deze minister. In context van het Europese wetsvoorstel betekent dat volgens ons dat als je end-to-end encryptie wilt wil beschermen, dat je gewoon ervoor moet zorgen dat het wetsvoorstel van de Europese commissie wordt afgefakkeld en dat dat in de prullenbak verdwijnt Nou, wat wij dus onder andere doen, is de druk verhogen bij de minister van Justitie en Veiligheid om in Europees verband dit wetsvoorstel van tafel te krijgen. En dat betekent dus dat met die motie in de hand niet alleen maar tegen dat Europese voorstel moeten zijn, maar dat ze ook andere lidstaten actief overtuigt van het slechte van het wetsvoorstel. Dus wat wij onder andere doen, is dat we de Nederlandse regering heel erg pushen om een veel actiever standpunt in te nemen en andere lidstaten ook te overtuigen van hoe fout dat eigenlijk dit wetsvoorstel is.

00:31:44
Inge: Dus niet alleen tegen de wet, maar ook voor end-to-end encryptie.

00:31:49
Rejo: Voor end-to-end encryptie staan. Maar ook, kijk, als Nederland in Europese context zegt 'dit voorstel willen we niet'. Ja, dan kunnen alle andere lidstaten gewoon lekker voor stemmen en dan is het is die verordening wel gewoon van kracht. Dus Nederland, als Nederland echt end-to-end encryptie wil beschermen dan is het niet voldoende om in een Europese context alleen maar te zeggen 'we zijn tegen' maar dan moet ze andere lidstaten actief overtuigen van hoe belangrijk encryptie is en hoe slecht dit voorstel voor de vertrouwelijkheid van communicatie op het internet is.

00:32:18
Inge: En wat is nu het verloop van dit voorstel? Dus hoe lang hebben ze nog om hier tegenin te gaan?

00:32:25
Rejo: Dat is een goeie vraag. Europese wetgevingsprocessen en zijn altijd heel moeilijk te voorspellen, want soms duurt dat heel lang. En we hebben, we zijn met andere Europese wetgeving dingen bezig die gewoon al vier of vijf jaar een soort van op een "backburner" staan, waar gewoon geen vooruitgang zit. Andere wetsvoorstellen die worden er doorheen gesjeesd, dat gaat super snel. Maar eigenlijk geldt altijd: hoe eerder in het proces, hoe meer impact. Dus Nederland heeft gewoon geen tijd om te treuzelen, Nederland moet zich gewoon ontzettend scherp in deze discussie, en ontzettend snel, in deze discussie mengen.

00:33:03
Inge: Dus echt nu de schouders er onder (Rejo grapt gisteren al). Jij doet het al jaren. Heel erg bedankt daarvoor.

00:33:12
Rejo: Dankjewel.

00:33:12
Jingle: Muziek intermezzo met stevige basloopjes, drums en een beat.

00:33:17
Inge: We sluiten de podcast elke week af met een telefoontje naar iemand met een bijzondere kijk op het internet. Deze week bel ik met Dries Depoorter. Voor zijn project 'The Follower' gebruikte hij open WiFi camera's en AI (artificial intelligence) om te ontdekken hoe een Instragram foto wordt gemaakt. Misschien heb je de video's van het werk al wel voorbij zien komen. Links zie je een mooi geposeerde Instagram foto en rechts zie je beelden afkomstig van een beveiligingscamera op straat, die de momenten voor het maken van de foto heeft vastgelegd. Het resultaat is een creepy inkijk in hoe alom tegenwoordig surveillance op straat is geworden en hoe kunstmatige intelligentie het mogelijk maakt om mensen te lokaliseren met slechts een paar openbaar beschikbare datapunten. Ik ga Dries bellen: " hoi Dries je spreekt met Inge van Bits of Freedom. We hebben maar kort de tijd, dus dan duik ik er meteen in. Ik vroeg me af over je project 'The Follower' welke vragen had je waardoor je dit project oppakte?

00:34:27
Dries: Ja, nee, eigenlijk is het ontstaan door een experiment waar ik mij bezig was. Een totaal ander experiment. In heel veel van mijn werk maak ik gebruik van open camera's en ik was eigenlijk op een dag open camera's aan bekijken en eigenlijk kom ik een plaats tegen waar dat er heel veel selfies genomen waren. Eigenlijk dacht ik bij mezelf: ok kan ik zo een persoon terugvinden op Instagram, want er was het persoon echt zo dertig minuten foto's aan het maken. Ik dacht: ik ga de volgende dag op Instagram op die locatie kijken en gewoon, om die persoon terug te vinden. Dat is niet gelukt, maar eigenlijk was dat de start of de inspiratie om 'The Follower' te maken. En dan heb ik eigenlijk heel het proces geautomatiseerd waardoor ik wel personen heb gevonden.

00:35:30
Inge: Ja. Toen ik het voorbij zag komen, vond ik het zo confronterend. Ik gebruik zelf Instagram en ik ben daar best actief op en ik dacht: o ja, zo sta ik daar dan de beste foto te maken. Zo ziet dat eruit. Ik vond het echt - nou ja - voor mij vrij confronterend en ik vroeg mij af, welke impact hoop jij dat het project heeft?

00:35:54
Evelyn: Schaamte.

00:35:54
Inge: Dankjewel Evelyn.

00:36:00
Dries: Ik denk dat mensen het ook wel herkenbaar vinden. Maar eigenlijk, ik denk dat mensen zich moeten afvragen van ik ben één persoon die dit project gemaakt heeft, ik heb een beperkte toegang tot open camera's en een beperkte toegang tot data. Ik ben ook maar één persoon, dus ja ' koning schild' zijn ook beperkt. Ik kan zoiets maken, dat alleen al kan een vraag kan opwekken van: oké, wat kan een overheid dan doen die dat - denk ik - tot een volgend level kan brengen? Dus ja, ik denk dat dit vraagstuk daar een beetje in zit in mijn laatste nieuwe project.

00:36:47
Inge: Ja, dat maakt het inderdaad misschien nog wel enger. Dat jij dit in je eentje al allemaal voor elkaar kreeg. Nu gaan heel veel van jouw projecten, die bewegen zich op deze thema's zeg maar, dus jij weet hier al heel veel van. Was er een moment dat jij dacht 'oh shit' het is echt nog eigenlijk erger dan ik me van tevoren voor kon stellen?

00:37:13
Dries: Goh, ik toets mijn projecten voor dat ik ze online plaats, altijd af met twee advocaten. Dus ik ga kijken van kan ik dat wel doen. Als ik dat kan doen, dan wordt er een soort van risico-analyse gemaakt. En ja, dat is eigenlijk hoe dat ik tegenwoordig werk. Het zij niet dat al mijn projecten online komen ook. Maar ik heb twee advocaten en die gaan eigenlijk het werk bekijken. Het probleem soms is dat de ene dat zegt en de andere advocaat zeg dat. Dan weet ik het zelf niet. Eigenlijk wat ik vaak merk, ja bewijst soms, dat ik echt zo in een grijze zone beweeg. En dat maakt het, ik probeer het echt zo af te toetsen van kan dit. Maar ik kreeg daar nooit echt een duidelijk antwoord op. Dus ja, dat is hoe ik werk tegenwoordig. Gelukkig moet ik niet al mijn werk af toetsen bij advocaten, niet alles. Er zijn ook bravere werken bij, ik zal het zo noemen.

00:38:48
Inge: Hé, je zei zelf eigenlijk al dat dit project is ontstaan uit een ander project wat je aan het doen was. Zijn er weer nieuwe vragen die dit project je heeft opleverd en waar je weer op door kan bouwen?

00:38:52
Dries: Ik bouw niet echt door. De volgende die er aan komt, dat is weer totaal iets anders voor mij. Ik ben afgelopen jaar al veel bezig geweest met privacy en surveillance, maar ik hoop altijd wel andere thema's aan te reiken. Het volgende werk wat er aan komt, dat is totaal niet over die thema's.

00:39:10
Inge: Kan je een tipje van de sluier oplichten?

00:39:16
Dries: Het is een soort van stoel, ik zal het zo zeggen (allen lachen).

00:39:20
Inge: Als we dat willen bekijken, waar kunnen we dan terecht?

00:39:24
Dries: Ik weet nog niet wanneer dat online komt. Het is echt een werk voor een tentoonstellingsruimte. Het is ook geen werk wat viraal zal gaan. Wel een leuk werk voor een tentoonstelling denk ik.

00:39:41
Evelyn: Nog een vraag over The Follower, want wat je zei of de impact die je beschreef is dat mensen zich gaan realiseren dat de overheid met veel meer capaciteit nog veel meer kan dan dit. Maar je bent natuurlijk kunstenaar, je bent geen geen jurist, je bent geen activist of of zie je dat zelf wel zo.

00:40:07
Dries: Nee, ik zie mijzelf meer als een kunstenaar.

00:40:13
Evelyn: Vind je het vet of heb je de ambitie? Of heb je in je hoofd als je zo'n werk maakt van: hé, wat zou de beleidsverandering of de politieke verandering kunnen zijn die mijn werk zou kunnen inspireren.

00:40:29
Dries: Eigenlijk een beetje doorheen al mijn werken. Ik toon de gevaren van nieuwe technologie en ik probeer dat voor een zo breed mogelijk publiek te tonen of een zo breed mogelijk publiek te bereiken. Dus ik maak mijn werken heel, ja, eenvoudig. Ik beschrijf ze kort en dan maak ik daar een kort filmpje bij, zodat mensen dat makkelijk kunnen begrijpen enzo. Dus ja, dat vind ik niet belangrijk.

00:40:59
Inge: Ja, dat was voor mij ook wel het meest impactvol denk ik aan dit werk. Ik zag het voorbijkomen op Twitter. Dat triggerde mij meteen. Het beeld triggerde mij meteen van hé, wat is dit? En dus omdat het zo'n aantrekkelijk beeld is en je herkent het Instagram poseren en dan ineens komt - een soort van - het creepy staatje daarachter. Dus voor mij was dat ook een soort van de doorklik naar jouw website Dries. Om te kijken van, wat is dit dan? Die eenvoud, die spreekt heel erg aan.

00:41:33
Dries: Dat is leuk om te horen. Ja, dat was inderdaad ook een beetje de bedoeling dat het rap aan spreekt en de mensen het snel konden begrijpen. Dat is echt werk gemaakt voor internet. Ik denk dat ik twee soorten werken heb: werken die in een soort tentoonstelling belanden. En dan dit soort werken dat echt voor het internet gebouwd zijn. Dat ik dan weet, die hebben een potentieel om viraal te gaan. Ik vind dat ook een belangrijke bij zo'n internet project, dat ik een zo groot mogelijk publiek kan aanspreken. Soms lukt dat, soms faalt dat, maar dat is bij dit project wel gelukt.

00:42:21
Inge: Echt heel erg vet en heel erg dankjewel dat je even met ons wilde bellen hierover.

00:42:26
Dries: Geen probleem.

00:42:28
Inge: We kijken erg uit naar je volgende werk. Ik denk nou ja, ofwel in een expo of we zien het online weer voorbij komen. Dankjewel.

00:42:35

[Jingle] muzikaal outro met gitaren, drums en een beat.
00:42:43
Inge: Deze podcast werd gemaakt door Bits of Freedom. Je hoorde mij Inge Wannet, Evelyn Austin en Rejo Zenger. We belden in met Dries Depoorter en onze awesome jingle werd gemaakt door Tim Koehoorn. Deze podcast werd geproduceerd en geëdit door Randall Peelen van Yolo media. Veel dank aan onze donateurs en natuurlijk aan jou, de luisteraar. Wil jij ook onderdeel zijn van onze beweging? Ga dan naar onze website en doneer! Abonneer je op onze nieuwsbrief of meld je aan als vrijwilliger en vergeet niet om een keer een vraag in te sturen die dan beantwoord wordt in deze podcast. We doen daarvoor regelmatig oproepen op Twitter of in onze nieuwsbrief.

00:43:23
[Jingle] Muziek start en een zanger zingt: geen datalekken, achterbakse tracking, geen bizarre wetten. Gewoon geen wereldvreemde shit op het wereldwijde web. Wil jij weten wat er speelt rondom het internet? Dit is Bits of Freedom!