Ook informatie lekken? Zoek een klein café met wifi

Waar ga je naartoe als je over miljoenen gevoelige documenten beschikt die je wilt lekken? De klokkenluider van de Panama Papers stapte naar een krant, maar er zijn nog veel meer opties.

De haven van Panama-Stad. Foto Istock, beeldbewerking NRC

Miljoenen e-mails, overeenkomsten, contracten, paspoorten en afbeeldingen die zouden wijzen op onder andere belastingontduiking en witwassen. De bron van de Panama Papers die begin 2015 aanklopt bij de Süddeutsche Zeitung wil dat de ‘verdorven praktijken’ stoppen. Dáárom – zo is althans het verhaal van het Duitse dagblad – meldde hij zich bij de krant.

Terwijl veel van wat klokkenluiders delen onopgemerkt of zonder gevolgen blijft, pakte het dit keer goed uit: wereldwijde media-aandacht, een kabinetscrisis in IJsland.

Hoe ga je te werk, als je (grote hoeveelheden) belastende informatie openbaar wil maken? Bestaat er een recept voor succesvol lekken?

Wie al dan niet anoniem informatie wil delen moet twee stappen zetten, zegt IT-security specialist Arjen Kamphuis, die naast zijn werk als ondernemer journalisten én bronnen cursussen geeft in het beveiligen van vertrouwelijke informatie.

Stap 1: kies de beste partij om je informatie mee te delen. Het liefst een medium, zoals de Süddeutsche Zeitung, dat zich al eens „bewezen” heeft. Kamphuis: „Je wilt een partij die de technische competenties heeft om met zo veel data om te gaan. En het lef heeft er een stevig verhaal van te maken.”

Stap 2: zorg voor je eigen veiligheid. Verstuur geen bestanden vanaf een pc die met jou verbonden is. Kamphuis: „Zoek een klein café met gratis wifi.” In het geval van de Panama Papers wordt dat natuurlijk lastig. Wie veel documenten wil versturen, kan volgens hem beter bij een grote onderwijsinstelling gaan zitten – een plek met een snel netwerk.

Om de bulk data vervolgens te verplaatsen adviseert hij die in brokjes te versleutelen en op een digitale parkeerplek te zetten. „De journalist stuur je dan via een versleutelde mail een link en het wachtwoord.”

Tot zover bewandelde de Panama-bron de traditionele weg. Lek benadert journalist – per chat, mail of parkeergarage. Zo gaat het overigens nog vaak; zelfs bij de Vereniging van Onderzoeksjournalisten (VVOJ) melden zich maandelijks twee ‘klokkenluiders’ – al komen daar slechts sporadisch onderzoeksprojecten uit voort. „Vaak zijn het mensen die het niet eens zijn met regels, of met overheidsbeleid. Dan valt er niets te onderzoeken”, zegt VVOJ-directeur Tanja van Bergen.

Overigens gaat het in serieuze gevallen ook niet altijd (meteen) goed. Klokkenluider Edward Snowden werd bijna over het hoofd gezien toen hij journalist Glenn Greenwald in 2012 mailde dat hij belangrijke informatie had over afluisterpraktijken van de NSA. Greenwald, die zulke berichten aan de lopende band krijgt, negeerde de mails. Via documentairemaker Laura Poitras kwam Snowden uiteindelijk alsnog bij Greenwald terecht.

Wereldwijde samenwerking

De impact van de Panama Papers is niet alleen te danken aan die eerste stap. Dat komt vooral door de omvang en inhoud van het lek en het besluit dat de Süddeutsche Zeitung zelf, ná het lekken, nam. De krant deelde de documenten met het International Consortium of Investigative Journalists (ICIJ) – een wereldwijd samenwerkingsverband van journalisten. Zo kon het dat honderden journalisten tegelijk in de papieren doken. En daar allemaal – tegelijkertijd – mee uitpakten.

Dat is wat we vaker zien: grote lekken van grensoverschrijdende data, denk aan OffshoreLeaks en LuxLeaks. Journalistieke organisaties springen daar op in: behalve wereldwijde samenwerking zoals bij ICIJ, proberen media ook zelf het lekken te faciliteren, door het naar eigen zeggen makkelijker en veiliger te maken.

Wie niet de traditionele weg wil nemen, kan bijvoorbeeld gebruikmaken van een ‘digitaal luik’. Daarachter zitten een of meerdere nieuwsorganisaties die met de data aan de slag kunnen. In korte tijd zijn er talloze luikjes bijgekomen. Zo lanceerde The New Yorker in 2013 Strongbox, een inbox waar mensen via een beveiligd netwerk anoniem informatie kunnen achterlaten. Italië heeft sinds 2013 Mafialeaks. Ook is er BalkanLeaks, SecuriLeaks (Noorwegen) en Nieuwsleaks (België).

In Nederland kunnen klokkenluiders terecht bij Publeaks. Wie daar lekt, kan de aangesloten media (waaronder NRC) tippen. Dit gebeurt ‘enkele tientallen’ keren per maand, zegt Marcel Oomens van de Nederlandse stichting Free Press Unlimited dat het platform beheert.

Het platform Mexicoleaks in Mexico, dat nu een jaar bestaat, krijgt „sinds dag één” honderden tips per maand. Volgens Oomens levert dat „met regelmaat” verhalen op, al vermeldt lang niet ieder medium dat een tip via het platform is binnengekomen. Sinds kort is dankzij de stichting ook Afrileaks in de lucht, voor klokkenluiders in Zuid-Afrika en Kenia.

Of deze manier van lekken meer klokkenluiders over de streep zal trekken, is niet bekend. Feit is wel dat ook tipgevers van kleinere verhalen zich via Publeaks melden, „verhalen waar niet altijd het allerhoogste niveau van veiligheid voor nodig is”. Oomens ziet daarin het bewijs dat er behoefte is aan lekken via een digitaal luik: „Kennelijk lekken mensen vaak liever anoniem.”

Nadelen zijn er ook. Zo misbruiken persvoorlichters het luik om in één klap hun persberichten te versturen.

Dubbele anonimiteit

Maar er is ook kritiek op de beveiliging. IT’er Kamphuis: „Je kunt je tip wel veilig afgeven, maar je weet niet bij wie die precies terechtkomt.” Stel dat journalisten de documenten vervolgens onderling heen en weer gaan sturen via Gmail, zónder encryptie. „Is die journalist wel in staat jouw data te beschermen?”

Nadeel voor de journalist is er ook: hoe is het materiaal verkregen, en wat krijg je eigenlijk? Neem de Panama Papers: heeft de Süddeutsche Zeitung wel de volledige dataset in handen? Of alleen de belastende data van een specifieke groep? Bij Publeaks is het inmiddels mogelijk contact te leggen met de bron.

Voor ‘lekkers’ die het zonder tussenkomst van een redactie willen doen is er de WikiLeaks-weg. Op deze sites worden gelekte dossiers geplaatst. Zoals het handboek voor de Amerikaanse gevangenis voor terreurverdachten in Guantánamo op Cuba. Of een lijst met namen en adressen van vermeende leden van de extreem-rechtse British National Party. Bij deze optie blijft niet alleen de lekker maar óók de medewerker van de leksite anoniem.

Die dubbele anonimiteit roept vragen op: hoe waarheidsgetrouw is de informatie? Is die niet op een strafbare manier verkregen? En hoe zinvol en veilig is het om alle informatie online te zetten? Niet voor niets werkt ook WikiLeaks nu vaker samen met journalisten om op basis van al dat materiaal een leesbaar verhaal te maken.

Ook van dit soort sites verschijnen nieuwe varianten – en niet zelden verdwijnen ze weer net zo snel, zoals gebeurde bij BrusselsLeaks en IndoLeaks. De nieuwste werd afgelopen oktober gelanceerd. De site Football Leaks werkt volgens hetzelfde principe. Zo publiceerde het al meerdere vertrouwelijke spelerscontracten. Wie achter de site zit, hoe de informatie verkregen is, wie er lekt? Onduidelijk.