Het is een zorgwekkende ontwikkeling dat overheden en aanverwante instellingen bezig zijn om de beveiligingsmaatregelen, die burgers moeten nemen (onder meer encryptie, VPN) om zich te beschermen tegen criminelen en datagraaiende advertentiebedrijven, verdacht te maken.
Europa: privacy is verdacht
Het is al langer zichtbaar dat er aan de ene kant door overheden wordt geroepen dat mensen recht hebben op gegevensbescherming en dat aan de andere kant privacy als verdacht wordt verklaard.
Bijlage III vierde antiwitwasrichtlijn
Europa heeft in de 4e antiwitwasrichtlijn in bijlage III staan dat diensten die privacy respecteren leiden tot een vermoeden van potentieel hoog risico op criminaliteit, zie bijlage III aanhef en onderdeel 2 sub b):
Hierna volgt een niet-limitatieve lijst van factoren en soorten bewijs van potentieel hoger risico bedoeld in artikel 18, lid 3: (…)
b) producten of transacties die anonimiteit bevorderen;
De bewoordingen ‘anonimiteit bevorderen’ zijn een verhullende manier om aan te geven dat het om privacy respecterende diensten en transacties gaat, want niemand die een product afneemt of een transactie aangaat is anoniem.
IP-adressen zijn ‘persoonlijk’ en VPN is verdacht – aldus de Europese bankentoezichthouder
Opvallend is dat de Europese bankentoezichthouder iedereen, die maatregelen neemt tegen datagraaiende advertentiebedrijven (Google, Meta) en tegen criminele toegang, als verdacht bestempelt. Zie in dat verband de recent door EBA gestarte internetconsultatie [1] over wijziging van hun witwasbestrijdingsrichtlijnen voor financiële instellingen en cryptovalutabedrijven.
In het consultatiedocument [2] staat op pagina 24 dat het gebruik van geëncrypte e-mail of VPN een indicatie van criminaliteit (witwassen, terrorismefinanciering) is:
an undertaking or a person who is using an IP address associated with a darknet or other similar software that allows anonymous communication, including encrypted emails and VPNs.
Ik heb geen idee wat een IP-adres ‘associated’ met een darknet is, wat is dat en hoe weet je dat dit het geval is?
Maar ernstig is dat software die anonieme communicatie mogelijk maakt, inclusief geëncrypte e-mail en VPN’s, door EBA verdacht wordt gemaakt. Iedere verstandige burger, die zich wil beschermen tegen criminelen en schurkachtige advertentiebedrijven / trackers, heeft VPN. Er zijn maar weinig aanbieders van geëncrypte e-mail (bijvoorbeeld Protonmail), maar eigenlijk zou alle e-mail geëncrypt moeten zijn, want e-mail is lek als een mandje [3].
In het verlengde daarvan is raar dat EBA belangrijke waarde toekent aan het IP-adres, terwijl het gebruik van VPN er juist toe leidt dat het IP-adres niet meer persoonlijk is. EBA gaat daar de mist mee in op pagina 25 van het document, waarin sprake is van hoog risico als de klant
uses an IP address or mobile device that is linked to multiple customers, without any apparent economic reason, (…); or the customer’s crypto asset account is accessed from multiple IP addresses without any evident link to the customer; provides information that is inconsistent, including when the customer’s IP address is inconsistent with other information about the customer, (…)
Wat ik blauw heb gemarkeerd is aan de orde bij gebruik van VPN, want dan is het IP-adres niet persoonlijk. Overigens geldt hetzelfde als iemand surft op internet vanuit een bedrijfsomgeving (waar een groot aantal IP-adressen aan een bedrijf zijn toegekend). Op pagina 32 van het consultatiedocument wordt geadviseerd om bij hoog risico vaker naar de IP-adressen te kijken:
increasing the frequency of monitoring of the customer’s IP addresses and checking them with the IPs used by other customers
Dat heeft bij gebruik van VPN geen enkele zin, lijkt me. Dat IP-adressen persoonlijk zijn, is überhaupt ongewenst, nu het voor gebruikers zeer grote cybersecurityrisico’s oplevert. Wat mij betreft verdwijnt het persoonlijke IP-adres en zal moeten worden nagedacht over andere vormen van identificatie.
Privacy als zodanig is verdacht
Ook privacy in algemene zin wordt door EBA verdacht geacht, zo wordt op pagina 5 gezegd dat producten met ‘privacy-enhancing features‘ per definitie verdacht zijn. Een gelijksoortige tekst is op pagina 22, paragraaf 21.3 te vinden:
the products or services offered by CASPs entail privacy-enhancing features or offer a higher degree of anonymity
Dit wordt op pagina 27 herhaald.
Het is een vergissing van EBA om te veronderstellen dat privacy-enhancing features per definitie fout zouden zijn. Dat soort features zijn juist zeer gewenst en moeten bevorderd worden. Privacy betekent nl. niet dat de klant onbekend is, maar dat er maatregelen zijn om het onnodig rondslingeren van gegevens te voorkomen, iets wat gelet op het zeer groot aantal datalekken, ook bij de overheid, zeer gewenst is.
Overigens betekent dit niet dat ik een voorstander van cryptovaluta ben.
Chatcontrol: surveillance van vertrouwelijke communicatie tussen burgers
Het EBA-standpunt is niet verrassend in het licht van andere Europese ontwikkelingen, zoals het Europese ‘chatcontrol’-voorstel [4]. Men wil dat bedrijven die beveiligde berichtendiensten tussen burgers (‘messaging’) aanbieden, zoals whatsapp en signal, het berichtenverkeer analyseren op kindermisbruik. Dat betekent bedrijven overheidstaken moeten uitvoeren (kunnen ze dat?) en dat een achterdeurtje ontstaat waardoor ook kwaadwillenden binnen kunnen komen. De volgende stap kan zijn dat Europa besluit dat diezelfde private bedrijven het berichtenverkeer moeten controleren op desinformatie en criminele activiteiten. Er bestaat de nodige weerstand tegen, een definitieve beslissing is nog niet gevallen.
La Quadrature du Net: criminalisering van encryptie
De Franse privacy-organisatie La Quadrature du Net (LQDN) publiceerde onlangs het artikel Criminalization of encryption: the 8 december case, waarin wordt beschreven dat leden van een bepaalde groep volgens de Franse overheid verdacht waren omdat zij maatregelen namen om zich te beveiligen tegen toegang van niet bevoegde derden:
All members of this group were particularly suspicious, only communicating with each other using encrypted applications, in particular Signal, and encrypting their computers and devices
Daaruit werd afgeleid dat men zich met terrorisme bezig hield…
LQDN schrijft:
Mixing fantasies, bad faith and technical incompetence, a police story has been constructed around the (good) digital practices of the accused, with the aim of staging a “clandestine group”, “conspirative”, “conspiratist” and therefore… terrorist.
Geeks armed with encrypted messaging systems
La Quadrature du Net is buitengewoon bezorgd, lees de slotopmerkingen over het optreden van de Franse overheid:
As we conclude this article, the mood is dark. It is totally outrageous how people’s digital practices are being used in the present affair.
We are facing the fantasy of a State demanding total transparency from everyone at the risk of being called a “suspect”, a State whose desire for widespread surveillance seems limitless. In this context, we reaffirm our rights to privacy, intimacy and the protection of our personal data. Encryption is, and will remain, an essential element of our civil liberties in the digital age.This case is a trial for the Ministry of Interior, which aims to normalise this framing for repressive purposes. (…)
This is how the criminalisation of digital practices fits in with the French government’s strategy of repressing all social protests. Reaffirming the right to encryption therefore means opposing the authoritarian abuses of the government that seeks to endlessly extend the scope of “counter-terrorism” policies by designating an ever-growing number of domestic enemies [24]. After the repression of Muslims, now it’s the turn of “eco-terrorists”, “intellectual terrorists” and finally, geeks armed with encrypted messaging systems. Faced with such a situation, the only question left seems to be: “And you, what kind of terrorist are you?
Tot slot
Ik vrees dat wat La Quadrature du Net in Frankrijk signaleert in de hele westerse wereld aan de orde is. Onder het mom van misdaadbestrijding worden grondrechten ondergraven.
Noten
[1] Informatie: aankondiging consultatie. De huidige richtlijnen zijn hier te vinden.
[2] Consultation paper on draft Guidelines amending Guidelines on ML FT risk factors.
[3] Lees het artikel van Chris van den Hooven. De AIVD meldt al heel lang:
U kunt niet e-mailen met de AIVD. E-mailverkeer via internet is kwetsbaar, omdat anderen ongewenst en ongemerkt kunnen meelezen.
[4] Door mij kort besproken in dit artikel.
Aanvulling 8 maart 2024
Bij La Quadrature is een vervolg te vinden op het artikel Criminalization of encryption: the 8 december case, dat op 5 juni 2023 verscheen. Het vervolg is te vinden in het artikel van 15 december 2023. Er wordt verslag gedaan van een verhoor door de rechter, die volgens La Quadrature weinig begrijpt van de beschermingsmaatregelen die burgers moeten nemen tegen criminelen, adtech bedrijven en andere ongure types die het internet bevolken.
Ellen Timmer - juridische artikelen en berichten 
In Bijlage III staan nog een aantal andere opvallende passages, zie art. 3 onder a en b.
Op deze manier worden de op aannames, hearsay en een politieke agenda gebaseerde gedachtespinsels van de FATF feitelijk “gelegaliseerd”.
Door diezelfde overheden gesponsorde NGO’s en “onderzoeksjournalisten” als Transparency International en OCCRP worden als “geloofwaardig” aangemerkt waardoor ze een soort economische oorlogvoering echoput creëren. Compliance als wapen, CDD analisten als onbezoldigde huurlingen van buitenlandse mogendheden. Goebbels had het door, hoe groter de leugen en hoe vaker je het herhaalt, hoe beter.
Bij het AMLC zie je al langer de trend in hun publicaties dat de door de VS gefinancierde “onderzoeksjournalisten” van OCCRP als betrouwbaar worden weggezet terwijl ze aantoonbaar onwaarheden verspreiden en met dubieuze partijen samenwerken op een wijze waardoor de betrouwbaarheid van hun informatie feitelijk niet of nauwelijks getoetst kan worden.
Als je hun artikelen goed leest dan zit er heel vaak op het einde een disclaimer in verstopt zodat ze zichzelf goed indekken tegen schadeclaims. Zie bijvoorbeeld https://www.occrp.org/en/troikalaundromat/senators-superyacht-spending-spree waarin op het einde staat: “Indeed, there is no evidence that Zavadnikov or his daughter committed any crimes. But the complex financial structures set up by Troika make it difficult to trace how his yachts and luxury purchases were funded. Such systems can be used for criminal activity, but because they are opaque, it would take an investigation to determine whether any laws were broken.” No evidence, maar pagina na pagina wordt wel de suggestie van corruptie en witwassen gewekt. Driving while black. Boating while Russian.
De grootste bedreiging voor dergelijke praktijken is dat de verantwoordelijke “journalisten” zich voor een rechter moeten verantwoorden. Dat is ook precies de reden waarom door het Westen gerunde propagandafabrieken als Bellingcat en OCCRP met donaties van de Postcodeloterij hun hoofdkwartier naar Nederland hebben verplaatst. Nederland speelt een hele belangrijke rol in dergelijke propaganda/economische oorlogvoering praktijken. Op deze wijze kunnen we onze partnerorganisaties beter beschermen tegen de gevolgen van juridische procedures. Ze spreken zelf natuurlijk van “frivolous lawsuits”. Orwelliaanse Newspeak.
Nederland is in de periode van een generatie vervallen tot een dystopische samenleving. Net als de EU.
Interessante opvatting, met name dat journalisten zich laten gebruiken voor de promotie van overheidsbeleid. Het is wel een antwoord op de vraag die ik heb hoe het komt dat de ‘onderzoeksjournalisten’ aan zulke gevoelige informatie kunnen komen. (Verder heb ik er weinig zicht op.)
Jouw conclusie dat Nederland nu al een dystopische samenleving is, gaat wel heel ver. Ik denk dat de gemiddelde burger dat idee niet heeft.
Mijn gedachte is dat de surveillance samenleving er aan komt, maar er nog niet helemaal is. De signalen zijn dat de overheid geen belangstelling heeft voor de zorgen en kritiek van verstandige mensen zoals Paul Frissen, Kees Verhoeven en Maxim Februari en gewoon doorgaat met de voorbereiding van permanente monitoring van iedere burger en organisatie, dat alles terwijl de overheid zelf niet gemonitord wil worden…
Overigens staan in bijlage III vierde antiwitwasrichtlijn nog meer merkwaardige passages. Bijvoorbeeld is hoog risico:
Waarom is dat? Waar is dat op gebaseerd? Hoe verhoudt zich dat tot alle Europese innovatieverhalen, bijvoorbeeld bij open finance?
Encryptie blijft de overheidsgemoederen bezig houden, zie security.nl, De Europese Unie gaat een adviesgroep lanceren die advies zal uitbrengen over hoe opsporingsdiensten toegang tot digitale gegevens kunnen krijgen en hoe er met zaken als end-to-end encryptie moet worden omgegaan, 9 juni 2023.