Spion in de pc

Het is een van de zeven plagen van internet: spyware, geheime software die het surfgedrag van individuele pc-gebruikers volgt. Veel te makkelijk wordt aangenomen dat zij daarmee hebben ingestemd.

In een test van America Online en een Amerikaanse organisatie voor “cyber-veiligheid' bleek dat 80 procent van de computers spyware bevatte. Bijna 90 procent van de betrokken gebruikers wist van niets. Dat is het grote verschil met cookies, de “plakkertjes' die bij menig bezoek aan een website achterblijven in de pc om de klant bij een volgend bezoek sneller van dienst te zijn. Ook Nederland krijgt te maken met spyware. Er zijn tekenen dat het mensen afschrikt om te gaan internetbankieren. De gebruikers van DigiD, de populaire nieuwe digitale identiteit voor communicatie met allerlei instanties, worden door de overheid gemaand waakzaam te zijn.

De klassieke cookies zijn al niet onschuldig, zo bleek uit een afstudeerscriptie informatiekunde van Nicoline Braat, vorig jaar aan de Groningse universiteit. Zij legde een databank van 53.000 cookies aan om het daarvoor gebruikte protocol te analyseren. Dat gebeurde aan de hand van drie aspecten: privacy, beveiliging en dienstverlening (marketing en service). Het protocol voldoet volgens Braat alleen op het laatste aspect. Het schiet volledig tekort in elementaire veiligheidseisen, terwijl allerlei gegevens kunnen worden verzameld die de gebruiker blootgeven.

Cookies zijn doorgaans nog wel te herkennen en te verwijderen, spyware is per definitie stiekem. Daar blijft het niet bij. Spyware kan het gebruik van de pc belemmeren en maakt een veel grotere inbreuk op de privacy door het continu volgen van het internetgedrag van de gebruiker. Dit kan zo ver gaan dat iedere tik op het toetsenbord wordt geregistreerd, bijvoorbeeld om creditcard-informatie te verkrijgen, tot complete “identiteitsdiefstal' aan toe. Sommige spyware beïnvloedt de browser van de betrokkene, manipuleert links naar andere sites of wijzigt gegevens die op de pc van de gebruiker worden bewaard.

Volgens beveiligingsexperts bestaan er al meer dan duizend vormen van spyware. Dat heeft geleid tot heftige discussies over wat er nu precies onder moet worden verstaan. Die zijn niet louter van academisch belang, maar hebben directe gevolgen voor de juridische mogelijkheden en onmogelijkheden om tegen spyware op te treden.

Zo moet volgens sommige aanbieders verschil worden gemaakt tussen echte spyware en zogeheten adware, programmatuur die het surfgedrag van een pc-gebruiker registreert om hem te voorzien van “relevante' reclameboodschappen, vaak in de vorm van de bekende pop-ups. Die kunnen irritant zijn, maar de aanbieders betwisten dat dit onder spyware valt, omdat de gebruikers hiermee hebben ingestemd, althans er niet tegen hebben geprotesteerd.

“De kwestie van instemming vormt de kern van het debat over spyware“, zegt Wayne R.Barnes van de Texas Wesleyan universiteit die een speciale studie maakte van dit onderwerp. Diep in zijn hart vindt hij dat er geen plaats is voor afspraken waarbij iemand “fundamentele waarden van privacy en waardigheid weggeeft“. Het minste is wel dat strikte eisen worden gesteld aan de toestemming van de consument. Dus geen “opt-out'-formule, waarbij de betrokkene zelf het initiatief moet nemen om zich af te melden. Er is echter ook een “opt-in'-variant, waarbij geïnformeerde toestemming van de betrokkene als voorwaarde geldt. Een Europese richtlijn uit 2002 kiest voor deze weg.

Daarmee is de kou echter niet uit de lucht, signaleerden de Belgische advocaten S. de Schrijver en J. Schraeyen vorig jaar in het vakblad Computerrecht. Wie kan in de moderne netwerkmaatschappij nog overzien waartoe een eenmaal gegeven toestemming leidt? De Europese richtlijn maakt niet duidelijk of kan worden volstaan met eenmalige toestemming of dat die herhaald dient te worden. Ook worden spywareproducenten niet verplicht te voorzien in een “uninstall'-faciliteit om spyware te verwijderen, als daar geen prijs meer op wordt gesteld.

Een nieuw wapen tegen de spyware levert het zogeheten Cybercrimeverdrag, dat op het ogenblik bij de Eerste Kamer ligt. Dit verdrag bevat een paar nieuwe strafbepalingen die tegen spionnen in de pc in stelling kunnen worden gebracht, verzekerde minister Donner (Justitie) de Tweede Kamer vorig jaar. Samen met een al aangenomen wet op het vorderen van gegevens versterkt de nieuwe wetgeving over computercriminaliteit ook de bevoegdheden van politie en justitie om te snuffelen in cyberspace. Een probleem is wel dat de elektronische informatie-inwinning door de politie zich vrijwel volledig onttrekt aan de waarneming van de burger wier gegevens het betreft, zoals Erwin McGillavry noteert in zijn proefschrift uit 2003. Het moet natuurlijk niet zo zijn dat we de ene spion inruilen voor de andere.

kuitenbrouwer@nrc.nl

Frank Kuitenbrouwer is medewerker van NRC Handelsblad.