Hoe ambtenaren digitale slavernij voor burgers invoeren

2024 Auteur: Seth Attwood | [email protected]. Laatst gewijzigd: 2023-12-16 16:13

Tot voor kort leken digitale passen om door de stad te reizen in de ogen van Russen een wild element van een cyberpunk-dystopie. Vandaag is het bovendien een feit: sinds gisteren zijn ze in Moskou verplicht om zich met het openbaar vervoer te verplaatsen. Hoe het gebeurde, waarom veel landen digitale controlesystemen hebben gecreëerd voor het verkeer van burgers en of dergelijk toezicht zal stoppen na het einde van de pandemie - in een nieuw materiaal van onderzoekers van het Center for Advanced Management Solutions.

Algemene context

De algemene trend in de reactie van landen op de coronavirusepidemie is om de controle over burgers te versterken. Op basis van de analyse van gegevens van mobiele operators, banken en wetshandhavingsinstanties, berekent de staat de contacten van de geïnfecteerden en controleert hij ook of burgers zich houden aan zelfisolatie en quarantaine. Veel publicaties over dit onderwerp roepen vragen op over privacy en de naleving van burgerrechten en schetsen een somber beeld van een 'surveillance society'.

We hebben verschillende afleveringen verzameld van de introductie van speciale digitale controlemaatregelen door verschillende staten en hebben geprobeerd de risico's te begrijpen die deze maatregelen met zich meebrengen vanwege het feit dat toegang tot informatie over het verkeer en het persoonlijke leven van burgers aan verschillende bureaucratische afdelingen tegelijk wordt verleend.

Israël: politie, inlichtingendiensten, ministerie van Volksgezondheid

Wat is er gebeurd?

Op 19 maart voerde de Israëlische regering gedeeltelijke quarantaine in in het hele land. Als onderdeel van de voorlopige maatregelen een paar dagen eerder, op 15 en 17 maart, hebben de autoriteiten twee noodorders uitgevaardigd die de politiebevoegdheden om huiszoekingen uit te voeren uitbreidden en ook de Israëlische veiligheidsdienst (Shin Bet) toestonden om digitale bewaking te gebruiken om de coronavirusepidemie te bestrijden … …

Wie oefent controle uit en hoe?

Alle burgers van het land die besmet zijn met het coronavirus, evenals degenen die ermee in contact zijn gekomen, worden in verplichte quarantaine van twee weken geplaatst. In het kader van noodbevelen zal de politie, als voorlopige maatregel, de huidige geolocatie van deze mensen kunnen bepalen ten koste van gegevens uit zendmasten zonder een aanvullende rechterlijke uitspraak. Op hun beurt zullen de speciale diensten niet alleen toegang kunnen krijgen tot de huidige locatie van een persoon, maar ook tot de geschiedenis van zijn bewegingen. Daarnaast heeft het Israëlische ministerie van Volksgezondheid zijn eigen smartphone-applicatie uitgebracht die de locatiegegevens van geïnfecteerde mensen die ze van wetshandhavers hebben ontvangen continu bijwerkt en de gebruiker waarschuwt als hij in de buurt is.

Enerzijds maakt dit het niet alleen mogelijk om te controleren hoe gewetensvol een persoon het quarantaineregime naleeft, maar ook om een geschatte kring van contacten te identificeren met andere mensen die ook besmet kunnen raken. Maar aan de andere kant, in normale tijden, worden dergelijke "dense digital tracking"-technologieën alleen gebruikt om criminelen en terroristen te vangen.

Dergelijke buitengewone bevoegdheden van de veiligheidstroepen duren tot half juni - daarna moeten alle ontvangen gegevens worden vernietigd. Wel kan het ministerie van Volksgezondheid de bewaartermijn van de op deze manier verzamelde gegevens met twee maanden verlengen voor aanvullend onderzoek.

Zuid-Korea: politie en civiele zelfbeheersing

Wat is er gebeurd?

In februari 2020 werd de Republiek Korea een van de snelst groeiende landen voor de coronavirusepidemie.

De autoriteiten waren in staat om vrij snel en effectief eerste niveau te bereiken en vervolgens de verspreidingssnelheid van de infectie te verminderen

Dat komt mede doordat Korea veel ervaring heeft met het bestrijden van de epidemie: in 2015 kreeg het land te maken met een uitbraak van het Middle East Respiratory Syndrome (MERS), waarna een heel systeem van epidemiologische maatregelen werd ontwikkeld. Doorslaggevend was echter de organisatie van massale mailing van meldingen over elk geval van infectie met gedetailleerde informatie over de besmette persoon (leeftijd, geslacht, gedetailleerde beschrijving van zijn recente bewegingen en contacten; in sommige gevallen werd gemeld of de persoon had een masker, enz.). Een dergelijke mailing zou niet mogelijk zijn geweest zonder een krachtig en grootschalig systeem van digitale controle over het verkeer en de contacten van Zuid-Koreaanse burgers.

Wie oefent controle uit en hoe?

Inmiddels zijn er in het land verschillende diensten actief die persoonsgegevens gebruiken om informatie te verstrekken over de verspreiding van het coronavirus. Zo publiceert de Coroniata-website informatie over het totale aantal gevallen, maar ook over de zones waar de grootste besmettingshaarden werden geregistreerd. De tweede bron, Coronamap, is een kaart die weergeeft wanneer en op welke plaatsen alle geïsoleerde gevallen van infectie werden geregistreerd. De Koreaanse overheid heeft ook een officiële smartphone-app uitgebracht om de quarantaine-naleving van besmette mensen te volgen.

De Republiek Korea heeft een sterk ontwikkelde digitale infrastructuur, dus het volgen en verifiëren van gegevens is geen probleem voor de overheid. Om de nauwkeurigheid van de analyse te verbeteren, wordt naast gegevens van zendmasten en GPS ook gebruik gemaakt van gegevens over transacties met bankkaarten, stadsvideobewakingssystemen en gezichtsherkenningstechnologieën.

Een dergelijke geforceerde "openheid" toont aan de ene kant zijn effectiviteit bij het indammen van de epidemie, maar leidt aan de andere kant tot negatieve sociale effecten. Naast het feit dat degenen die besmet zijn met de infectie zelf een gevoel van constant toezicht voelen, vallen ook andere - "willekeurige" - mensen in de controlezone.

Aangezien elk geval van infectie op een kaart wordt weergegeven, zijn sommige Koreanen, zelfs niet besmet, maar overeenkomend met de gevolgde "punten", onderhevig aan publieke druk.

Zo voegen proactieve Koreaanse burgers zich bij de politie en ambtenaren bij het digitaal toezicht houden op elkaar.

Alternatief: Polen vs Europese Commissie

In de Europese Unie verscheen in Polen een van de eerste toepassingen voor het monitoren van burgers die aan een quarantaine van 14 dagen moesten voldoen. De autoriteiten eisen de installatie van de applicatie door gezonde burgers die in contact zijn geweest met besmette of mogelijk besmette mensen, evenals iedereen die terugkeert uit het buitenland. Sinds begin april is de installatie van de applicatie wettelijk verplicht.

De Home Quarantine applicatie (Kwarantanna domowa) stuurt meerdere keren per dag willekeurig een melding met de eis om binnen 20 minuten je eigen foto (selfie) te uploaden. Volgens de website van de Poolse overheid controleert de applicatie de locatie van de gebruiker (via GPS) en maakt ook gebruik van gezichtsherkenning. Als aan het verzoek om een foto te uploaden niet wordt voldaan, kan de politie naar het adres komen. Volgens de verordening bewaart het ministerie van Digitalisering persoonsgegevens van gebruikers gedurende 6 jaar na het deactiveren van de applicatie (in overeenstemming met het Burgerlijk Wetboek), met uitzondering van foto's die onmiddellijk worden verwijderd nadat het account is gedeactiveerd.

Naast Polen zijn ook in andere Europese landen eigen toepassingen verschenen of in ontwikkeling, bijvoorbeeld in Oostenrijk (met medewerking van het plaatselijke Rode Kruis), Frankrijk, Ierland en Duitsland.

Tegen deze achtergrond heeft de Europese Commissie voorgesteld om een pan-Europese aanvraag in te dienen voor het volgen van de verspreiding van het coronavirus in overeenstemming met speciale aanbevelingen voor de ontwikkeling ervan, op basis van de wet op de bescherming van persoonsgegevens in de EU

Onder de opgesomde principes van de toekomstige toepassing worden de efficiëntie van het gebruik van gegevens vanuit medisch en technisch oogpunt, hun volledige anonimiteit en alleen gebruik voor het maken van een model van de verspreiding van het virus aangegeven. Om het risico op het lekken van persoonlijke gegevens te verminderen, zullen applicatieontwikkelaars zich moeten houden aan het principe van decentralisatie: informatie over de bewegingen van een geïnfecteerde persoon wordt alleen verzonden naar de apparaten van personen die mogelijk contact met hem kunnen opnemen. Afzonderlijk werd benadrukt dat de genomen maatregelen gerechtvaardigd en tijdelijk moesten zijn.

De deadline voor het indienen van voorstellen voor de uitvoering van deze maatregelen is 15 april. Bovendien zullen de EU-lidstaten uiterlijk op 31 mei de Europese Commissie op de hoogte moeten stellen van de genomen maatregelen en deze beschikbaar moeten stellen voor collegiale toetsing door de EU-leden en de Europese Commissie. De Europese Commissie zal de geboekte vooruitgang beoordelen en zal vanaf juni periodiek rapporten publiceren met verdere aanbevelingen, waaronder het opheffen van maatregelen die niet langer nodig zijn.

Rusland: het ministerie van Telecom en Massacommunicatie, mobiele operators en regio's

Wat is er gebeurd?

Van eind februari tot begin maart, na de invoering van maatregelen om de verspreiding van het coronavirus tegen te gaan, deden zich in Rusland de eerste gevallen voor van versterking van de controle over de bevolking met behulp van technische middelen. Volgens Mediazona kwamen politieagenten naar de quarantaineovertreder met een foto, waarschijnlijk gemaakt door een camera, die was aangesloten op een gezichtsherkenningssysteem. Mikhail Mishustin gaf het ministerie van Telecom en Massacommunicatie de opdracht om tegen 27 maart een systeem op te zetten voor het traceren van contacten van patiënten met een coronavirusinfectie op basis van de gegevens van mobiele operators. Volgens Vedomosti werkte dit systeem op 1 april al. Tegelijkertijd begonnen de samenstellende entiteiten van de Russische Federatie hun oplossingen te ontwikkelen. In Moskou lanceerden ze begin april een monitoringsysteem voor patiënten met coronavirus met behulp van de applicatie Social Monitoring, en bereidden ze ook de introductie van passen met speciale codes voor (het decreet over hun introductie werd op 11 april ondertekend). In de regio Nizhny Novgorod, de eerste van de regio's, werd controle door QR-codes ingevoerd, in Tatarstan - per sms.

Wie oefent controle uit en hoe?

Digitale controle betreft vooral burgers die besmet zijn of in officiële quarantaine zitten. Om hun bewegingen te volgen, vraagt het ministerie van Telecom en Massacommunicatie om "gegevens van aantallen en data van ziekenhuisopname of datum van quarantaine". Deze gegevens worden doorgegeven aan mobiele operators, die toezicht houden op de naleving van de quarantainevoorwaarden. De overtreder van de voorwaarden krijgt een bericht en bij herhaalde overtreding worden de gegevens overgedragen aan de politie. Volgens Vedomosti zullen verantwoordelijke functionarissen in de samenstellende entiteiten van Rusland gegevens in het systeem invoeren. Tegelijkertijd is Roskomnadzor van mening dat het gebruik van nummers zonder adressen en namen van abonnees van mobiele operators niet in strijd is met de wet op persoonlijke gegevens.

Naast deze maatregelen wordt de geolocatie van patiënten in Moskou gemonitord met behulp van de applicatie Social Monitoring die is geïnstalleerd op smartphones die speciaal voor burgers zijn uitgegeven. Om de informatie te bevestigen dat de gebruiker thuis is, naast de telefoon, vereist de applicatie dat er periodiek een foto wordt gemaakt

Volgens het hoofd van de Moskouse afdeling voor informatietechnologie (DIT) wordt de overdracht van gegevens over de gebruiker geregeld door een overeenkomst die hij ondertekent bij het kiezen van de optie voor behandeling thuis. Ze worden opgeslagen op DIT-servers en worden na het einde van de quarantaine verwijderd. Bovendien wordt er controle uitgeoefend op alle auto's van degenen die verplicht in officiële quarantaine moeten zitten (patiënten en hun naasten), evenals via het stadsvideobewakingssysteem.

Op 11 april ondertekende de burgemeester van Moskou een decreet over de invoering van digitale passen voor reizen in Moskou en de regio Moskou met eigen en openbaar vervoer. De passen werden uitgegeven op 13 april en werden verplicht op de 15e. Ze kunnen worden verkregen op de website van de burgemeester van Moskou, per sms of door de informatiedienst te bellen. Voor afgifte van een pas moet u persoonsgegevens verstrekken, waaronder uw paspoort, autonummer of OV-chipkaart (Trojka-kaart), evenals de naam van de werkgever met FIN of reisroute. De pas is niet verplicht om te voet door de stad te reizen, behoudens de eerder ingevoerde beperkingen.

Passen om het verkeer van burgers te controleren zijn ook geïntroduceerd in andere Russische regio's:

Op 30 maart tekende de gouverneur van de regio Astrachan, Igor Babushkin, een bevel over speciale passen tijdens de quarantaine. Op 13 april is in de regio een elektronisch platform voor het uitgeven van passen gelanceerd. Aanvragen worden ingediend op een speciale website, een pas met een QR-code wordt naar de e-mail van de aanvrager gestuurd. De gouverneur gaf ook de opdracht om de eerder uitgegeven passen te controleren aan de hand van de door de organisaties verstrekte lijsten.

In de regio Saratov werd op 31 maart een pasjessysteem ingevoerd. Aanvankelijk was bepaald dat pasjes voor werkende burgers op papier zouden worden uitgegeven met de noodzaak van certificering in de administraties. Op de allereerste dag leidde dit tot wachtrijen, waardoor de lancering van het toegangssysteem vertraging opliep. De regionale overheid heeft de mogelijkheid toegevoegd om de passen elektronisch te verkrijgen. De introductie van de passen werd nog twee keer uitgesteld.

Op 31 maart keurde Tatarstan de procedure goed voor het afgeven van vergunningen voor het verkeer van burgers. Vergunningen worden afgegeven via een sms-dienst: eerst moet u zich registreren en een unieke code ontvangen, daarna dient u voor elke beweging een aanvraag in. Het besluit omschrijft de gevallen waarvoor geen toestemming nodig is. Voor werkende burgers wordt een attest van de werkgever verstrekt. Na de lancering werden wijzigingen aangebracht in de dienst: op 5 april werd de lijst met gegevens die nodig zijn voor registratie beperkt en op 12 april werd de interval tussen de afgifte van vergunningen verlengd om misbruik van het systeem tegen te gaan.

In de regio Rostov werd op 1 april door gouverneur Vasily Golubev de eis ingevoerd voor de afgifte van certificaten aan werknemers van organisaties die tijdens de epidemie actief waren. Op 4 april werd de controle over auto's bij de ingang van Rostov aan de Don verscherpt, wat leidde tot vele kilometers files. Op 7 april meldde Rostovgazeta.ru dat de regionale autoriteiten de mogelijkheid overwegen om een "smart pass" in te voeren.

In de regio Nizjni Novgorod werd het controlemechanisme op 2 april goedgekeurd door het decreet van de gouverneur Gleb Nikitin. Een aanvraag voor een pas wordt gedaan met behulp van de service "Kaart van een inwoner van de regio Nizjni Novgorod" op een speciale website of via een mobiele applicatie voor Apple-apparaten, evenals door de helpdesk te bellen. Na beoordeling van de aanvraag ontvangt de aanvrager een pas in de vorm van een QR-code voor een smartphone of een aanvraagnummer. Voor rechtspersonen is er een procedure voor het afgeven van bevestigingen dat ze vanwege de epidemie op niet-werkdagen kunnen opereren.

Op 12 april, tegen de achtergrond van de creatie van verschillende digitale oplossingen voor toegangscontrole op regionaal niveau, lanceerde het ministerie van Telecom en Massacommunicatie van de Russische Federatie de federale applicatie "State Services Stopcoronavirus" (beschikbaar voor Apple- en Android-apparaten) in een testvorm. Volgens het ministerie kan de aanvraag worden aangepast aan de omstandigheden van een specifieke regio, behalve voor Moskou, waar een andere oplossing van kracht is (zie hierboven). Zonder de relevante besluiten van de regionale autoriteiten is de aanvraag van het ministerie van Telecom en Massacommunicatie niet verplicht. De eerste regio waar deze oplossing zal worden gebruikt, is de regio Moskou - dat maakte gouverneur Andrei Vorobyov op de avond van 12 april bekend.

Beschermt de staat persoonsgegevens?

Commentaar door informatiebeveiligingsspecialist Ivan Begtin

De Europese benadering bij het proberen tegemoet te komen aan de wettelijke vereisten voor gegevensbescherming is over het algemeen correct. De EU besteedt meer aandacht en middelen aan deze kwesties dan in Rusland. Maar we moeten begrijpen dat niemand beschermd is tegen het probleem van datalekken, voornamelijk vanwege de menselijke factor. Er zijn al precedenten geweest, bijvoorbeeld lekken van kiezersgegevens in Turkije, zaken met particuliere bedrijven. Nu, wanneer systemen op de vlucht worden gemaakt, zou ik een dergelijke mogelijkheid niet uitsluiten. Met de gegevens van "Gosuslug" is dit nog niet gebeurd, maar misschien heeft alles zijn tijd.

De redenen kunnen verschillen. Laten we zeggen het gebrek aan beveiliging van een database die op afstand toegankelijk is. Hackers of beveiligingsspecialisten kunnen dit detecteren en alle informatie krijgen. Er zijn speciale diensten Censys en Shodan die worden gebruikt om naar dergelijke technische kwetsbaarheden te zoeken.

Een andere optie is wanneer de gegevens worden misbruikt met directe bedoelingen. Dat wil zeggen, mensen die toegang hebben tot databases gebruiken dit om voordelen te verkrijgen.

Het is zinvol om verschillende diensten te monitoren voor "doorbrekende" mensen. In Rusland zijn er bijvoorbeeld zo'n vijf van dergelijke diensten die een dienst aanbieden om mensen te controleren

Dat wil zeggen, het is niet nodig dat de hele database wordt samengevoegd, maar personen die er op afstand toegang toe hebben, kunnen mensen "ponsen" en deze informatie verkopen. Dit kan worden gedaan door ambtenaren, aannemers die hebben meegewerkt aan de totstandkoming van deze systemen. Dat wil zeggen, mensen die er toegang toe hebben. In Rusland is dit vrij gebruikelijk: als u op internet zoekt naar "pons" -services, kunt u veel vinden. Vaak zijn dit gegevens van het Ministerie van Binnenlandse Zaken, de verkeerspolitie, de Federale Migratiedienst en andere overheidsorganisaties.

De vrees dat de staat de infrastructuur van controle over burgers in stand kan houden, is niet ongegrond. In principe wil iedereen die data verzamelt daar geen afstand van doen. Hetzelfde geldt voor sociale netwerken: als je daar komt, blijft de informatie over jou daar hoogstwaarschijnlijk nog steeds staan, zelfs als je je account hebt verwijderd. Overheidsdiensten hebben een zeer breed belang bij het verzamelen van gegevens over burgers en zullen profiteren van de huidige situatie. Tegelijkertijd verbinden zij zich, ook onder druk van publieke organisaties, publiekelijk om de gegevens na het einde van de pandemie te wissen. Maar desalniettemin is de motivatie voor het behoud van deze infrastructuur zeer hoog bij overheidsinstanties.

Waarom gebeurt dit?

Om de verspreiding van de epidemie onder controle te krijgen, handelen overheidsinstanties in verschillende landen op een vergelijkbare manier: ze breiden hun instrumenten uit om de bewegingen en contacten van burgers te volgen. Dergelijke aanvullende maatregelen gaan verder dan wat in gewone tijden als acceptabel wordt beschouwd, maar deze acties van regeringen stuiten op weinig weerstand van burgers. Dit kan worden verklaard door het concept van beleidssecuritisatie.

Securitisatie is een term die oorspronkelijk is bedacht door de Copenhagen School of Security Studies Barry Buzan, Ole Wever en Jaap de Wilde. In een boek uit 1998 definiëren ze securitisatie als 'een actie die de politiek buiten de gevestigde spelregels plaatst en de kwestie presenteert als iets dat boven de politiek staat'. Securitisatie begint met een actor (bijv. politiek leider, regering) die termen gebruikt die verband houden met veiligheid, dreiging, oorlog, enz., binnen het gewone discours, en het publiek accepteert die interpretatie. Het succes van een securitisatie bestaat uit drie elementen:

het gebruik van "beveiligingsgrammatica" bij het presenteren van een vraag - dat wil zeggen, op taalniveau, presenteren als een existentiële bedreiging (in het geval van een coronavirusepidemie is dit bijvoorbeeld het gebruik van gemilitariseerde woordenschat en het vergelijken van de strijd tegen de ene rij met de historische processen van het land);

de acteur heeft een aanzienlijke autoriteit zodat het publiek zijn interpretatie en "inmenging in het discours" waarneemt (de leiders van het land, medische professionals, WHO);

de verbinding van de huidige dreiging met iets in het verleden dat echt zo'n dreiging vormde (de ervaring van eerdere epidemieën, inclusief historische, bijvoorbeeld de pest in Europa, draagt bij aan de perceptie als zodanig van de huidige epidemie).

De wereldwijde aandacht voor de coronavirusproblematiek dient ook als voorbeeld van securitisatie: peilingen in Rusland en andere landen laten een toenemende angst voor de epidemie zien.

Samenlevingen accepteren de interpretatie van securitisatieactoren en legitimeren daarmee een afwijking van de gebruikelijke regels om de dreiging te bestrijden, inclusief de introductie van speciale digitale controles die in het algemeen onze privacyrechten schenden

Vanuit het perspectief van crisisbeheersing heeft securitisatie duidelijke voordelen. Het invoeren van noodmaatregelen kan besluitvorming en uitvoering versnellen en de risico's van de dreiging verkleinen. Het securitisatieproces gaat echter gepaard met negatieve gevolgen voor zowel het openbaar bestuur als de hele samenleving.

Ten eerste vermindert de invoering van nieuwe noodmaatregelen de verantwoordingsplicht van de autoriteiten. Tijdens een crisis kunnen de instrumenten voor civiele controle, ook over nieuwe veiligheidsmaatregelen, beperkt zijn of simpelweg nog niet gebouwd. Gebrek aan aansprakelijkheid vergroot de kans op zowel onopzettelijke fouten als opzettelijk misbruik door gewone ambtenaren. Een voorbeeld hiervan zijn de schendingen door Amerikaanse inlichtingenofficieren, die bekend zijn dankzij het door Edward Snowden georganiseerde lek. Met behulp van digitale controletools die in hun handen vielen, gebruikten een aantal NSA-medewerkers ze om hun echtgenoten of geliefden te bespioneren. Bovendien heeft de FBI in dezelfde periode misbruik gemaakt van de toegang tot NSA-gegevens over Amerikaanse burgers, in veel gevallen zonder voldoende juridische rechtvaardiging.

Ten tweede brengt de securitisatie van een uitgifte het risico met zich mee dat sommige van de op noodbasis ingevoerde maatregelen niet onmiddellijk na het einde van de crisisperiode en de normalisatie van de situatie worden geannuleerd

Een voorbeeld hiervan is de Patriot Act, aangenomen in de Verenigde Staten in oktober 2001 na de aanslagen van 9/11, waardoor de overheid meer mogelijkheden kreeg om burgers te bespioneren. De actietermijnen van veel bepalingen van de wet zouden eind 2005 aflopen, maar in werkelijkheid werden ze herhaaldelijk verlengd - en de wet met de wijzigingen is tot op de dag van vandaag bewaard gebleven.