De stelling van Henk van Ess: mensen laten gevaarlijk veel sporen achter op het web

Mensen laten veel meer gevoelige informatie achter op het web dan ze in de gaten hebben, zegt internet- deskundige Henk van Ess tegen Marc Leijendekker. Daarover wordt veel te laconiek gedaan.

Henk van Ess is internetdeskundige, gespecialiseerd in zoekdiensten. Hij is de man achter voelspriet.nl, een veelgeprezen site over zoeken op internet. Volgend jaar verschijnt, bij een Amerikaanse uitgever, van zijn hand ‘CSI Internet’. (Foto’s Rien Zilvold.) rotterdam henk van ess foto rien zilvold Zilvold, Rien

We maken ons vaak zorgen over de privacygevoelige informatie in handen van de overheid of van grote organisaties. Maar als het om internet gaat, halen veel mensen vaak hun schouders op en zeggen: wat kunnen mij die paar hits bij Google nu schelen. Is dat terecht, dat mensen daar zo laconiek over doen?

„Nee. Na ruim tien jaar internet zou je denken dat mensen attenter zijn geworden op zoekmachines en dergelijke, dat de kans dat je wordt gevonden, afneemt. Maar het omgekeerde is aan de hand. Op sociale netwerken als hyves en facebook bijvoorbeeld wordt veel meer informatie achtergelaten dan verstandig is. Er zijn mensen die rustig schrijven: mijn vader werkt bij de KLPD, de politie, of bij de AIVD. En ook volwassenen laten steeds meer informatie achter. Uit ijdelheid, loslippigheid, maar ook, en dat is misschien wel de belangrijkste reden, uit onverschilligheid. Voor privacygevoelige informatie is het internet nu een eldorado. Er is nog nooit zo veel te vinden geweest over zo veel mensen.”

Hebben mensen dat dan wel goed in de gaten?

„Je laat zonder dat je het weet digitale sporen achter. In een worddocument dat je op internet zet, als cv bijvoorbeeld, zit vaak zonder dat je het in de gaten hebt allerlei informatie die je bij de installatie van je software hebt opgegeven. Of informatie over je werkgever – dat kan een probleem opleveren als je solliciteert. Veel mensen reageren dan meewarig: zo’n snippertje informatie is niet belangrijk. Maar in handen van iemand die er iets mee wil, een stalker, een schuldeiser, een belanghebbende, is het goud. Al die stukjes informatie bij elkaar vormen een geweldige bron.

„Neem een brief over kernenergie die een vorige minister op het internet heeft gezet. Als je dan op de revisieknop klikt, kun je de veranderingen in de tekst zien. En daaruit kon je, in dit geval, weer opmaken dat de steun die de minister in het voltallige kabinet dacht te hebben, er niet was.”

Is dit soort trucs niet voor de fijnproevers? De meeste mensen kunnen dit soort informatie toch niet achterhalen?

„Als je het eenmaal weet is het heel simpel. En ook zonder computerachtergrond kun je al heel veel. Via google vind je op dit moment ongeveer 21 procent van de informatie die beschikbaar is op internet. Als je daarnaast twee andere zoekmachines gebruikt die qua kwaliteit concurrent aan het worden zijn van google (zie kader), heb je er zeven miljard andere bronnen bij. Met drie zoekmachines kun je op dit manier vijftig procent van de beschikbare informatie vinden. Voor de andere helft komt het inderdaad aan op deskundigheid en kennis die een normale particulier niet heeft.”

Je kunt hierdoor misschien in verlegenheid worden gebracht. Maar is dat nu zo alarmerend, al die stukjes informatie?

„Kijk naar het kadaster. Dat verkoopt voor iets meer dan een euro persoonsgegevens aan wie het maar wil hebben. Als burger mag je de gemeentelijke basisadministratie niet in. Maar een op de twee huishoudens in Nederland heeft een eigen huis en zit dus in het kadaster. Op die manier kun je heel makkelijk komen aan adresgegevens, geboortedatum, huwelijkse staat. Allerlei informatie die je bij het gemeenteloket absoluut nooit kunt krijgen, omdat de overheid daar dat soort gegevens afschermt voor de burger.

„Een ander voorbeeld. De overheid heeft registers voor mensen die alcoholproblemen hebben, psychische problemen, of onder curatele staan. Het curatele-register is openbaar, want het is nuttig voor de handel: de Wehkamps van deze wereld moeten kunnen intikken of een persoon wel kredietwaardig is. Het lijkt wel goed beschermd, maar als je op een andere manier, via het kadaster, een geboortedatum weet te achterhalen, kun je langs deze weg heel veel informatie over iemand vinden.

„Een derde voorbeeld. Een bedrijf had een pdf-bestand gemaakt van een powerpointpresentatie en dat op het web gezet. In een verborgen broncode was notabene het hele bedrijfsplan te vinden. In het gemiddelde word- of pdf-bestand op internet vind ik altijd wel een flardje informatie. Dat is al tien jaar zo. Ik vind dat nog steeds alarmerend.”

Dan is de oplossing simpel: gewoon weghalen van de website.

Nee, want dan stuit je op een ander privacyprobleem. Het best bewaarde geheim op internet is de site archive.org. Dat is het kerkhof van internet, de plaats waar oude websites worden bewaard. Je kunt daar bijvoorbeeld informatie vinden waarvan de rechter heeft gezegd dat die van het web moet worden gehaald. Je hebt er wel wat dieperliggende kennis voor nodig en vooral veel geduld, maar je vindt het. Ik krijg steeds meer als vraag niet hoe je hoog in google moet komen, maar hoe je er weer uit komt. Een ex-burgemeester belde mij op, hij had ontslag moeten nemen na een sms’je aan een wethouder waar de honden geen brood van lustten. Op de een of andere manier is de tekst daarvan op een weblog gekomen, en dat is weer te vinden via archive.org. Moet je dan altijd met je verleden worden geconfronteerd?

Historici zouden zeggen: je moet geen bronnen verloren laten gaan.

„Dat is inderdaad de drijfveer achter die site. Maar je moet wel weten om te gaan met al die informatie op het web. Ik heb op een congres van personeelswerkers weleens gevraagd hoeveel van hen google gebruikten om te bepalen of een kandidaat überhaupt langs mocht komen. Iedereen. En hoeveel van hen mensen afwijzen op grond van wat ze vinden op het web. Een kwart. Dat vind ik onverantwoord. Want in hyves worden nu al pestprofielen gemaakt. Een voorbeeld: bij het verzonnen profiel van iemand stond ‘Het liefst drink ik van donderdag tot dinsdag, en op woensdag ga ik dan wel weer aan het werk’. Dan kun je je voorstellen dat, als een personeelsmanager dat voor waar aanneemt, hij dan zegt: we zoeken een fulltimer, die doen we maar niet.”

Het probleem is dus niet alleen wat je zelf achterlaat aan informatie, maar ook wat anderen over jou vertellen, al dan niet waar.

„Ja. Het begint al met de grote doos die flickr.com heet en waar iedereen zijn foto’s in stopt. Daar kunnen ook mensen op staan die helemaal niet met hun foto op het web willen.”

In het privacydebat gaat het meestal om de bescherming van de burger tegen een alwetende overheid. Maar je hebt nu eigenlijk ook bescherming nodig tegen andere burgers. Hebben juridische garanties en wettelijke maatregelen zin?

„Je kunt op dit moment weinig doen tegen iemand die een vals profiel aanmaakt of jou een tag geeft in een facebook, je naam zet bij die foto. Je zou dan als individueel persoon een vaak Amerikaans bedrijf moeten dwingen om iets weg te halen. Voor de doorsneeburger is dat een enorme stap. Veel sociale netwerken laten dat niet eens toe, en met puur juridische middelen valt dat allemaal niet te handhaven. Maar je kunt wel klagen. Google heeft wel in Nederland extra mensen aangenomen om zoekresultaten te verwijderen als je het er niet mee eens bent dat je wordt gevonden. Dan zie je bijvoorbeeld dat een recensie van een Macintosh-apparaat is weggehaald. Dat is per land anders geregeld. Als je in de Duitse googlesite stormfront.org intikt, een extreem-rechtse site, vind je nul resultaten. Maar de rest van de wereld kan dat weer wel zien. Zo zie je maar dat google een schijnwerkelijkheid laat zien.

„En verder: als er iets op het web staat wat niet klopt, neem dan contact op met de auteur van de website. En als die het niet wil verwijderen, stuur dan een mailtje naar de provider.”

We hebben het nu vooral gehad over die kleine stukjes informatie die terecht kunnen komen bij kwaadwillende burgers. Een overheid die de controle wil vergroten, kan daar toch ook enorm veel mee doen?

„Ik moet niet denken aan de dag dat de overheid alle digitale opsporingstechnieken zou beheersen en toepassen. Het is nu eerder nog andersom, dat de overheid digitale sporen achterlaat waarvan mijn grijze haren nog grijzer worden. Bijvoorbeeld een lijst met al het marinepersoneel op Aruba, met naam en adres. Of, op Linkedin.com, de hyves voor de aktetas, vind je mensen die trots beweren dat zij een clearance hebben gehad om te werken voor de AIVD.”

Maar ‘om misdaad en terreur te bestrijden’ moeten providers nu gegevens bewaren over telefoonverkeer en surfgedrag.

„Als dat gebeurt om boeven te vangen heb ik daar op zich minder moeite mee, mits de aansturing door het gerechtelijk apparaat en het opsporingsapparaat goed gebeurt. Maar het gebeurt vaak nog erg nonchalant. Je houdt je hart vast.

En wat ook van belang is, is dat de kennis over digitale trucs iedere dag groeit. Ook bij de boeven. De overheid stelt tegenover die kennis eigenlijk nog te veel mensen op mbo-niveau. We hebben daar slimmere mensen voor nodig, op universitair niveau geschoold.”

Juridisch is er dus weinig privacybescherming op internet. Wat moet je nu als gemiddelde surfer doen?

„Je moet je bewust worden van de sporen die je achter kunt laten. Verstuur nooit meer worddocumenten naar wie dan ook, maar zet het bestand om in een ander formaat. Denk niet dat je helemaal anoniem bent met een hotmail- of gmail-account, want met nieuwe technieken kun je ook zien uit welke plaats die mail komt en nog wat andere zaken. Je moet je in de virtuele wereld gedragen zoals in het echte leven. Laat je thuis de deur ook openstaan? Gooi je je foto’s en herinneringen zomaar op de stoep, zodat iedereen ze kan zien? Op het web lijkt dat allemaal wel te kunnen. Mijn belangrijkste regel is: doe op het web niet wat je in het echt ook niet zou doen.”