Ook lekken? Zoek een klein café met wifi

Miljoenen e-mails, overeenkomsten, contracten, paspoorten en afbeeldingen die zouden wijzen op onder andere belastingontduiking en witwassen. De bron van de Panama Papers die zich begin 2015 meldt bij Süddeutsche Zeitung, wil dat de ‘verdorven praktijken’ stoppen. Dáárom – zo is althans het verhaal van het Duitse dagblad – meldde hij zich bij de krant.

Terwijl veel van wat klokkenluiders delen onopgemerkt of zonder gevolgen blijft, pakte het dit keer goed uit: wereldwijde media-aandacht, een kabinetscrisis in IJsland.

Wat kún je eigenlijk doen, wanneer je (grote hoeveelheden) belastende informatie openbaar wil maken? Bestaat er een recept voor succesvol lekken?

Wie al dan niet anoniem informatie wil delen moet twee stappen nemen, zegt IT-security specialist Arjen Kamphuis, die naast zijn werk als ondernemer journalisten én bronnen cursussen geeft in het beveiligen van vertrouwelijke informatie.

Stap 1: kies de beste partij om je informatie mee te delen. Het liefst een medium, zoals de Süddeutsche Zeitung, dat zich al eens „bewezen” heeft. Kamphuis: „Je wilt een partij die de technische competenties heeft om met zo veel data om te gaan. En een partij die het lef heeft er een stevig verhaal van te maken.”

Stap 2: zorg voor je eigen veiligheid, zegt Kamphuis. Verstuur geen bestanden vanaf een pc die met jou verbonden is. „Zoek een klein café met gratis wifi.” In het geval van de Panama Papers wordt dat natuurlijk lastig. Wie veel documenten wil versturen, kan volgens hem beter bij een grote onderwijsinstelling gaan zitten – een plek met een snel netwerk.

Om de bulk data vervolgens te verplaatsen adviseert hij die in brokjes te versleutelen en op een digitale parkeerplek te zetten. „De journalist stuur je dan via een versleutelde mail een link en het wachtwoord.”

Tot zover bewandelde de Panama-bron de traditionele weg. Lek benadert journalist – per chat, mail of parkeergarage. Zo gaat het overigens nog vaak. Zelfs bij de Vereniging van Onderzoeksjournalisten (VVOJ) melden zich zo maandelijks twee ‘klokkenluiders’ – al komen daar slechts sporadisch onderzoeksprojecten uit voort. „Vaak zijn het mensen die het niet eens zijn met regels, of met overheidsbeleid. Dan valt er niets te onderzoeken”, zegt VVOJ-directeur Tanja van Bergen.

Overigens gaat het in serieuze gevallen ook niet altijd (meteen) goed. Klokkenluider Edward Snowden werd bijna over het hoofd gezien toen hij journalist Glenn Greenwald in 2012 mailde dat hij belangrijke informatie had over afluisterpraktijken van de NSA. Greenwald, die zulke berichten aan de lopende band krijgt, negeerde de mails. Via documentairemaker Laura Poitras kwam Snowden uiteindelijk alsnog bij Greenwald terecht.

Wereldwijde samenwerking

De impact van de Panama Papers is niet alleen te danken aan die eerste stap. Dat komt vooral door de omvang en inhoud van het lek en het besluit dat de Süddeutsche Zeitung zelf, ná het lekken, nam. De krant deelde de documenten met het International Consortium of Investigative Journalists (ICIJ) – een wereldwijd samenwerkingsverband van journalisten. Zo kon het dat honderden journalisten tegelijk in de papieren doken. En daar allemaal – tegelijkertijd – mee uitpakten.

Dat is wat we vaker zien: grote lekken van grensoverschrijdende data, denk aan OffshoreLeaks en LuxLeaks. Journalistieke organisaties springen daar op in: behalve wereldwijde samenwerking zoals bij ICIJ, proberen media ook het lekken zelf te faciliteren, door het naar eigen zeggen makkelijker en veiliger te maken.

Wie niet de traditionele weg wil nemen, kan bijvoorbeeld gebruikmaken van een ‘digitaal luik’. Daarachter zitten een of meerdere nieuwsorganisaties die met de data aan de slag kunnen. In korte tijd zijn er talloze luikjes bijgekomen. Zo lanceerde The New Yorker in 2013 Strongbox, een inbox waar je via een beveiligd netwerk anoniem informatie kunt achterlaten. Italië heeft sinds 2013 Mafialeaks. Ook is er BalkanLeaks, SecuriLeaks (Noorwegen) en Nieuwsleaks (België).

In Nederland kunnen klokkenluiders terecht bij Publeaks. Wie daar lekt, kan de aangesloten media (waaronder NRC) tippen. Dit gebeurt ‘enkele tientallen’ keren per maand, zegt Marcel Oomens van de Nederlandse stichting Free Press Unlimited dat het platform beheert.

Het platform Mexicoleaks in Mexico, dat nu een jaar bestaat, krijgt „sinds dag één” honderden tips per maand. Volgens Oomens levert dat „met regelmaat” verhalen op, al vermeldt lang niet ieder medium dat een tip via het platform is binnengekomen. Sinds kort is dankzij de stichting ook Afrileaks in de lucht, voor klokkenluiders in Zuid-Afrika en Kenia.

Of deze manier van lekken meer klokkenluiders over de streep zal trekken, weten we niet. Feit is wel dat ook tipgevers van kleinere verhalen zich via Publeaks melden, „verhalen waar niet altijd het allerhoogste niveau van veiligheid voor nodig is”. Oomens ziet daarin het bewijs dat er behoefte is aan lekken via een digitaal luik: „Kennelijk lekken mensen vaak liever anoniem.”

Is die journalist wel in staat jouw data te beschermen?

Nadelen zijn er ook. Zo misbruiken persvoorlichters het luik om in één klap hun persberichten te versturen. En vinken klokkenluiders sneller de landelijke pers als ontvanger aan, terwijl hun onderwerp beter in een regionaal dagblad past.

Kritiek is er ook op de beveiliging. IT’er Kamphuis: „Je kunt je tip wel veilig afgeven, maar je weet niet bij wie die precies terechtkomt.” Stel dat journalisten de documenten vervolgens onderling heen en weer gaan sturen via Gmail, zónder encryptie. „Is die journalist wel in staat jouw data te beschermen?”

Nadeel voor de journalist is er ook: hoe is het materiaal verkregen, en wat krijg je eigenlijk? Neem de Panama Papers: heeft de Süddeutsche Zeitung wel de volledige dataset in handen? Of alleen de belastende data van een specifieke groep? Bij Publeaks is het inmiddels mogelijk contact te leggen met de bron.

Voor ‘lekkers’ die het zonder tussenkomst van een redactie willen doen is er de Wikileaks-weg. Op deze sites worden gelekte dossiers zélf geplaatst. Zoals het handboek voor de gevangenis op Guan-tánamo. Of een lijst met namen en adressen van vermeende leden van de extreemrechtse British National Party. Bij deze optie blijft niet alleen de lekker maar óók de medewerker van de leksite anoniem.

Die dubbele anonimiteit roept vragen op: hoe waarheidsgetrouw is de informatie? Is die niet op een strafbare manier verkregen? En hoe zinvol en veilig is het om alle informatie online te zetten? Niet voor niets werkt ook Wikileaks nu vaker samen met journalisten om op basis van al dat materiaal een leesbaar verhaal te maken.

Ook van dit soort sites zie je nieuwe varianten verschijnen – en niet zelden weer net zo snel verdwijnen, zoals gebeurde bij BrusselsLeaks en IndoLeaks. De nieuwste dateert van afgelopen oktober. De site Football Leaks werkt volgens hetzelfde principe. Zo publiceerde het al meerdere vertrouwelijke spelerscontracten. Wie erachter de site zit, hoe de informatie verkregen is, wie er lekt? Onduidelijk.