In de nasleep van SOPA & ACTA: CISPA

Afgelopen januari was het groot nieuws. Grote websites waaronder Wikipedia gingen op zwart om te protesteren tegen SOPA. Mede deze actie heeft er voor gezorgd dat SOPA al snel van het politieke strijdtoneel verdween. Echter een paar maanden later is er een nieuwe bedreiging gekomen voor de privacy van alle internet gebruikers. Deze keer is deze verpakt in de mooie afkorting CISPA (Cyber Intelligence Sharing & Protection Act). Wederom is dit Amerikaanse regelgeving, maar in dit stuk wil ik graag aangeven waarom ook wij in Nederland hier kritisch naar moeten kijken.

Wat is CISPA?
CISPA is een aanvulling op de Amerikaanse National Security Act uit 1947 waarin rekening word gehouden met de hedendaagse ontwikkelingen zoals Internet. Het word dan ook gepromoot als een manier om het bedrijfsleven en de overheid informatie te laten uitwisselen over internetbedreigingen.
Nu is dit natuurlijk een geweldig uitgangspunt. Met de rol die het internet speelt in de hedendaagse westerse wereld dient de continuïteit van dit medium te worden gewaarborgd en de burgers die hier gebruik van maken te worden beschermd. Het is daarom ook niet het uitgangspunt dat een mogelijk probleem vormt, maar de methodes waarmee wordt getracht dit te bereiken.

Wat zijn internetbedreigingen?
Volgens CISPA zijn internetbedreigingen “pogingen tot het ontaarden, verstoren of vernietigen” van vitale netwerken of alles dat een “bedreiging of achterhouden” van informatie welke eigendom van de overheid over private bedrijven is. Dit is een zeer brede beschrijving van wat een bedreiging is, want wat zijn kritische uitingen op overheidsbeleid of producten van bedrijven volgens deze definitie? Het kan als een bedreiging worden geïnterpreteerd op door de overheid gepubliceerde informatie.

Dus dan wordt dat gedeeld?
Het idee van CISPA was om de uitwisseling van data tussen de overheid en bedrijven mogelijk te maken in zulke gevallen. Dus een simpel voorbeeld als in mijn vorige alinea kan worden gedeeld. Het beperkt zich alleen niet tot deze informatie. Ook namen, adressen en telefoonnummers welke worden verzameld door de bedrijven kunnen worden gedeeld. Echter hoeven de bedrijven geen enkel inzicht te geven welke informatie zij verzamelen en hoeft de Amerikaanse overheid niet aan te geven van welk bedrijf zij informatie hebben ontvangen. Bedrijven mogen verzamelen wat zij willen om dit vervolgens te delen. Nog sterker, CISPA promoot dit door bronbescherming, beloningen en het wegnemen van de noodzaak van gerechtelijke interventie.

Gepromoot?
Ja, binnen CISPA worden bedrijven beloond voor het verzamelen van data, het onderscheppen of aanpassen van communicatie en de Amerikaanse overheid van informatie te voorzien. Afgelopen maanden hebben we  verschillende incidenten gezien van smartphone-apps die telefoonboeken doorstuurden naar de makers van deze apps. Hoewel we met zijn allen moord en brand schreeuwden toen we dat hoorden en verschillende apps dit snel terugdraaiden, promoot CISPA dit soort activiteiten en zal dit alleen maar meer voor gaan komen.

Nederland
Maar dit is allemaal voor Amerika en niet voor Nederland. Bij de minste geruchten van DPI (Deep Packet Inspection) door onze telco’s hebben wij al Tweede Kamer debatten. Onze Eerste Kamer debatteert vandaag (8 mei 2012) over netneutraliteit, omdat het afknijpen van bepaalde type data op het internet toch iets heel slechts is. 
Toch wil de Amerikaanse overheid ook onze informatie en is bereid onze regeringen daar voor onder druk te zetten. De overeenkomst met Europa om passagiersdata aan Amerika te overhandigen getuigt hiervan.

Bedrijven
Onder de bedrijven welke CISPA steunen zijn veel bedrijven waarmee wij dagelijks te maken hebben. Bedrijven zoals onder andere AT&T, Microsoft, Facebook en Google welke voldoende middelen hebben om informatie over ons te verzamelen en deze te delen met de Amerikaanse overheid. Zeker wanneer zij hiervoor worden beloond.

Ontwikkelingen
Nu staan de ontwikkelingen rondom CISPA niet stil. Er word onder andere nog druk gewerkt aan een strakkere definitie wat een internetbedreiging is en mogelijkheden tot boetes wanneer data word gebruikt voor andere doeleinden dan internetbedreigingen. Echter zijn er nog maar weinig aanvullingen welke de privacy van de burgers moeten waarborgen en beschermen tegen de verzameldrang van informatie die CISPA stimuleert.


Marcel Wenting is mede-eigenaar van Solutions4Web, een startup die zich richt op online concept ontwikkeling en gespecialiseerde hosting oplossingen. Samen met zijn vennoot brengt hij ruim 20 jaar aan ervaring in beheer en ontwikkeling samen. Met zijn motto “improve the world bit by bit” zet hij zich in zijn vrije tijd in voor meer privacy, transparantie en veiligheid op het internet. Dit probeert hij te doen door hier meer publiek bewustzijn voor te creëren en door de promotie van Open Source-oplossingen.

Het debat over netneutraliteit in de Eerste Kamer is op 8 mei live te volgen via deze livestream.