Liever luisteren? Dat kan!

Toen ik jong was – ik ben eind jaren zestig geboren – gingen we aangenaam ongezien door het leven. Maar tegenwoordig open je nog geen boek op je smartphone, of vanuit je ooghoeken zie je een schim een notitieblok pakken. Hij noteert de titel en houdt bij welke zinnen je markeert. Als je vervolgens je bank-app opent, klokt een onzichtbare bankmedewerker het aantal milliseconden dat je vinger blijft zweven boven de knop hypotheek aanvragen. Bezoek je LinkedIn, dan maakt een sociale netwerk-notulist een sprongetje zodra je een berichtje liket. Af en toe meen je ze, in een hoek van je woonkamer, fluisterend te horen telefoneren. Zodra je de deur uitloopt, lopen ze achter je aan. Of je er ooit mee hebt ingestemd dat je op deze manier wordt geschaduwd, ben je allang vergeten. En wat er met al deze observaties gebeurt – je zou het niet weten. Pas als je je smartphone uitzet, zijn de schimmen opeens verdwenen.

De aanwezigheid van deze onzichtbare metgezellen kun je glashard aantonen met de Googerteller. Dat is een stuk software dat vorig jaar gemaakt werd door internetexpert Bert Hubert. Hubert snapt het internet op het diepste niveau: hij bouwde ooit PowerDNS, software waarmee grote internetaanbieders het dataverkeer in banen leiden. Al jaren zocht Hubert naar manieren om anderen duidelijk te maken in welke mate we dag in dag uit worden afgeluisterd.

Hubert: ‘Als je in je browser het adres van een nieuwssite intikt en op enter drukt, worden er onder water binnen een seconde tientallen tot honderden verbindingen gelegd met bedrijven over de hele wereld. Hetzelfde gebeurt als je op een linkje of een knop klikt. Het is angstaanjagend. Toch maakt bijna niemand zich er druk om. Vaak geloven mensen me zelfs niet, ook niet als ik een uitdraai laat zien met het afluisterverkeer dat normaal onzichtbaar blijft.’

De Googerteller laat dat verkeer meteen horen. Bij elk datapakketje klinkt een harde piep. In een filmpje op Twitter liet Hubert afgelopen zomer zien wat er gebeurde tijdens een bezoek aan een vacaturepagina op een website van nota bene de overheid. De Googerteller ging continu af. ‘Binnen een week was mijn video meer dan een miljoen keer bekeken. Veel mensen zijn zich rot geschrokken.’ Er hebben zich sindsdien allerlei ontwikkelaars gemeld die graag willen helpen om de app verder uit te breiden. ‘Zo zijn we druk bezig om de afluisteractiviteiten van veel meer bedrijven dan alleen Google te laten horen. Om ze uit te elkaar te kunnen blijven houden, hebben de grootste boosdoeners inmiddels een eigen toonhoogte gegeven.’

WEINIG PRIVÉ

Is het echt zo erg? Worden er inderdaad zo veel data over ons verzameld? Misschien heb je inderdaad een aantal apps op je telefoon ooit toestemming gegeven je gedrag te registeren. Denk aan een hardloopapp, een menstruatieapp of een app die ’s nachts bijhoudt of je al dan niet snurkt. Ook maak je regelmatig gebruik van Google Maps om je weg te vinden, waardoor je automatisch je locatie deelt.

Maar daarnaast gebeurt er van alles waar je nooit toestemming voor hebt gegeven – in ieder geval niet bewust. Zo verstuurt de gemiddelde Android-telefoon per dag ongevraagd zo’n 120 MB aan bedrijven als Google en Meta. Dat ontdekte een Iers-Britse onderzoeksgroep onder leiding van Haoyu Liu, Paul Patras en Douglas J. Leith in 2021. Gemakkelijk was dat niet. De onderzoekers zetten een combinatie van geavanceerde hackerstechnieken in. In een enkel geval moesten ze de telefoon zelfs openbreken om toegang te krijgen tot de datastroom die het apparaat versleuteld verliet.

Vrijwel elke website gebruikt Google Analytics om te analyseren welke pagina’s bezoekers vooral interessant vinden en op welk moment ze stoppen met het bestellen van hun producten.

In een ander onderzoek ontdekte Leith dat de Google Dialer bijhoudt hoelang telefoongesprekken duren. Ook kan Google achterhalen met wie je aan het bellen bent, tenminste wanneer de andere kant ook gebruikt maakt van de Google Dialer. Daarnaast bestaan er apps die doorgeven welke andere apps er op je telefoon zijn geïnstalleerd. Dat lijkt onschuldig, maar kan veel informatie over je prijsgeven. Denk daarbij aan medische apps, dating-apps en vereniging-apps.

Je zou zeggen: koop dan een iPhone. Apple staat er immers om bekend privacybescherming hoog in het vaandel te hebben. Helaas is ook dat beeld inmiddels vertroebeld: twee beveiligingsonderzoekers van softwarebedrijf Mysk ontdekten afgelopen november dat je iPhone elke activiteit in de App Store en Apple TV registreert, zelfs als je in de instellingen hebt aangegeven dat je dat niet wilt.

Daarnaast is je surfgedrag weinig privé. Vrijwel elke website gebruikt Google Analytics om te analyseren welke pagina’s bezoekers vooral interessant vinden en op welk moment ze stoppen met het bestellen van hun producten. En dan bestaan er ook nog ontelbaar veel websites met een onzichtbare pixel. Als je bent ingelogd op Facebook – of een ander platform – kunnen ze je dankzij die pixel feilloos identificeren. Dat kan overigens vaak ook al op basis van je ‘fingerprint’: de unieke combinatie van gegevens die je smartphone of laptop over je lekt, zoals het type hardware en allerlei softwarematige instellingen.

Misschien vind je het prima dat je slijterij inzicht heeft in je voorkeuren om je aantrekkelijke gepersonaliseerde aanbiedingen te kunnen doen. Alleen zou je het vervelend vinden als jouw zorgverzekeraar daarover ook wordt geïnformeerd.

Behalve op het internet worden we ook in de fysieke wereld steeds vaker in de gaten gehouden. Dat geldt bijvoorbeeld voor slimme speakers als Amazon Echo of Google Home.

En dan heb ik het nog niet eens over de groeiende verzameling surveillancecamera’s in onze openbare ruimte. Dankzij gezichtsherkenningssoftware kan de handel en wandel van mensen tot in detail worden gevolgd, zo bewees de Belgische kunstenaar Dries Depoorter met zijn videowerk The Follower. Depoorter hackte daarvoor een paar slecht beveiligde surveillance-camera’s op toeristische locaties en sloeg de filmbeelden op. Vervolgens ging hij op zoek naar Instagramposts die op dezelfde locatie waren gemaakt. Met gezichtsherkenningssoftware doorzocht hij daarna de camerastreams. Zo isoleerde hij korte videofragmenten van de exacte omstandigheden waaronder de Instagramposts tot stand kwamen. Denk aan een jonge vrouw die in rap tempo een reeks verschillende poses aanneemt op momenten dat de mensenstroom een paar tellen stokt.

Algoritmische ongehoorzaamheid

HANDEL

Is het erg dat grote delen van mijn dagelijks leven worden vastgelegd? Als ik me daarover druk maak, betekent dat dan automatisch dat ik iets te verbergen heb? Wel, het punt is dat iedereen iets te verbergen heeft. Niemand wil namelijk haar of zijn totale identiteit aan onbekenden prijsgeven. Misschien vind je het prima dat je slijterij inzicht heeft in je voorkeuren om je aantrekkelijke gepersonaliseerde aanbiedingen te kunnen doen. Alleen zou je het vervelend vinden als jouw zorgverzekeraar daarover ook wordt geïnformeerd. Ook is het heerlijk dat je videoplatform steeds beter snapt welke softporno bij jou in de smaak valt, maar je wilt liever niet dat je hele sociale omgeving daar inzicht in krijgt. En het kan handig zijn als je huis leert wat jouw gewoontes zijn, maar je wilt niet dat inbrekers in die lessen delen.

Je moet met de mogelijkheid rekening houden dat je online gedragingen in de toekomst met terugwerkende kracht alsnog als verdacht kunnen worden aangemerkt.

Daarnaast is er nog een effect dat je niet moet onderschatten: jouw data zijn handel. Al jouw kleine snippertjes detailgedrag worden door databoeren zo veel mogelijk samengevoegd om een zo compleet mogelijk beeld van jou te laten ontstaan. Dit persoonlijke ‘online profiel’ is interessant voor adverteerders. Steeds wanneer je een website bezoekt, vindt op de achtergrond een geautomatiseerde veiling plaats waarop in milliseconden wordt besloten welke adverteerder het voorrecht van jouw aandacht verdient.

Er bestaan ook landen waar jouw online profiel voor iets heel anders wordt gebruikt, namelijk voor het berekenen van je sociale score. Wanneer je iets doet dat die score doet dalen – zoals oversteken bij rood licht of meedoen aan een demonstratie – kan het zomaar gebeuren dat je bijvoorbeeld je toegangsrechten tot het openbaar vervoer verliest. Dit probleem is in Europa niet aan de orde, maar je moet wel met de mogelijkheid rekening houden dat je online gedragingen in de toekomst met terugwerkende kracht alsnog als verdacht kunnen worden aangemerkt.

IK BEN SPARTACUS

De hamvraag is: zijn er manieren om onszelf tegen deze spionagemaatschappij te beschermen? Er bestaat een tak van wetenschap die zich daarin heeft gespecialiseerd. Een van de boegbeelden ervan is Helen Nissenbaum. Ze stond aan de wieg van TrackMeNot, een programmaatje dat je aan je browser kan toevoegen. Iedere keer als je een zoekopdracht uitvoert, verstuurt TrackMeNot ook een grote verzameling fake-opdrachten. Zo lost je gedrag op in ruis. Samen met ontwikkelaar Finn Brunton schreef Nissenbaum een boek over het misleiden van surveillance-algoritmes: Obfuscation: A User’s Guide for Privacy and Protest.

Veel van de technieken die in dit boek worden beschreven, waren ook al in gebruik vóór de opkomst van het internet. Zo wierpen geallieerde bommenwerpers in de Tweede Wereldoorlog aluminiumstrookjes uit die het Duitse radarsignaal weerkaatsten. Daardoor doken er op het vijandelijke radarscherm zo veel vlekjes op dat het echte vliegtuig niet meer te onderscheiden was.

Ook kun je samenwerken om je identiteit te verhullen. Dat deden de rebellerende slaven in de film Spartacus van Stanley Kubrick uit 1960. Toen Romeinse soldaten hen vroegen om hun leider aan te wijzen, riepen ze massaal ‘Ik ben Spartacus’. Dezelfde techniek werd gebruikt door een vriendinnenclub op een middelbare school in Maryland om Instagram te verwarren. In 2020 vertelde ene Samantha Mosley op een beveiligingsconferentie hoe zij en haar vriendinnen hun accounts onderling lieten circuleren. Daardoor ontving Instagram vanaf hetzelfde account steeds andere locatie- en apparaatgegevens en zaten er bovendien bizarre variaties in de onderwerpen die er door het account geliket werden.

PLUNDERNETWERK

Wat je ook kunt doen: zo min mogelijk data delen. In plaats van te kiezen voor de zoekmachine van Google, kun je een zoekmachine gebruiken als Startpage, die je identiteit afschermt. Daarnaast kun je VPN-software installeren die je IP-adres verbergt. Je kunt zelfs besluiten een burner phone te kopen om daarmee anoniem een sociaal netwerkaccount aan te maken. Denk aan de advocaat-in-louche-zaakjes Saul Goodman uit de serie Better Call Saul, die in seizoen 4 wegwerpsimkaarten aanbiedt waarmee zijn cliënten ‘informatie-hygiëne’ kunnen betrachten.

Gelukkig zijn er ook steeds meer sociale netwerken die dergelijke praktijken onnodig maken omdat ze je privacy per definitie goed beschermen. Dat geldt bijvoorbeeld voor PubHubs.net, een initiatief van de hoogleraren Bart Jacobs van de Radboud Universiteit Nijmegen en José van Dijck van de Universiteit Utrecht. PubHubs is bedoeld voor publieke organisaties ‘die op zoek zijn naar een alternatief voor Facebook’, zegt Jacobs. ‘Denk aan scholen die zoiets als een schoolreisje nu nog vaak via dat plundernetwerk organiseren. Als ouders daarover klagen, is het lastig het anders op te lossen. Er is momenteel immers geen openbaar netwerk waarop publieke instellingen op een fatsoenlijke manier dagelijks kunnen communiceren met burgers.’

ALGORITMES FOPPEN

Volgens strategisch adviseur digitale geletterdheid en ethiek Remco Pijpers van Kennisnet is het daarnaast belangrijk om jongeren al op de basisschool bewustzijn bij te brengen over de gevaren van grootschalige dataverzameling ‘en duidelijk te maken dat je mag rebelleren. Er worden ongelofelijk veel data over kinderen opgeslagen. Hun sociale leven, vooral dat van tieners, speelt zich grotendeels af op hun telefoon. Hun schoolprestaties worden bijgehouden om hun voortgang te meten en onderwijs op maat te bieden. En dan staat thuis ook nog eens Google Home of Amazon Echo op tafel.’

LEES OOKVoor digitaal onderwijs betalen we met de intiemste gegevens van onze kinderen

Daarom kan het volgens Pijpers geen kwaad om kinderen enige ‘algoritmische ongehoorzaamheid’ bij te brengen. ‘Ik pleit er niet voor om de wet te overtreden, en ook niet om de boel plat te leggen, maar dwarsliggen in een gedataficeerde wereld kan wel degelijk een teken van digitale volwassenheid zijn. Leer kinderen programmeren, en manieren om algoritmes te foppen. Al zou het nog beter zijn als leerlingen zelf ontdekken hoe ze surveillance-algoritmes kunnen omzeilen.’