Wij willen met u aan tafel zitten en in een openhartig gesprek uitvinden welke uitdagingen en vragen er bij u spelen om zo, gezamelijk, tot een beste oplossing te komen. Oftewel, hoe kan de techniek u ondersteunen in plaats van dat u de techniek moet ondersteunen.

Bij de Tweede Kamerverkiezingen in maart volgend jaar is er een extra verificatie nodig om de integriteit van de verkiezingen te kunnen waarborgen. Dat betoogt de Stichting Tegen Hackbare Verkiezingen, die is opgericht door beveiligingsonderzoeker Sijmen Ruwhof.

De Kiesraad staat hiervoor open, maar zegt dat het nog wel de vraag is hoe dit kan worden uitgevoerd.

De stichting van Ruwhof wordt gesteund door bekende deskundigen op het gebied van computerbeveiliging, zoals de hoogleraren Herbert Bos (VU), Michel van Eeten (TU Delft) en Bart Jacobs (Radboud Universiteit). Ruwhof waarschuwt al langer voor de gevaren van stemmen tellen per computer.

‘Computers niet veilig genoeg bij verkiezingen’

In een rapport dat de stichting vandaag naar buiten heeft gebracht, wordt gesteld dat de optelsom van het aantal stemmen niet alleen door een computer moet worden vastgesteld, maar ook handmatig moet worden nageteld. Betrokken partijen als gemeenten, de Kiesraad en het ministerie van Binnenlandse Zaken vinden dit niet nodig, aldus het rapport. “Terwijl alleen op die manier mogelijke hacks en manipulaties aan het licht komen.” De stichting stelt dat “computers niet veilig genoeg zijn om op te vertrouwen bij een verkiezing”.

De stichting waarschuwt verder dat “buitenlandse inlichtingendiensten geavanceerde hackmogelijkheden hebben, veel budget, en goed doordachte plannen om zelfs toegang tot de meest afgeschermde militaire computernetwerken te krijgen als ze dit echt willen”.

D66-Kamerlid Kees Verhoeven liet vandaag via Twitter weten uitleg te willen van het kabinet:

Ruwhof schrijft in het rapport dat de Kiesraad en het ministerie van Binnenlandse Zaken een extra verificatie niet nodig vinden omdat de computers waarin de optelsom wordt gemaakt, niet zijn aangesloten op internet. Een woordvoerder van de Kiesraad noemt dat echter “ongenuanceerd” en benadrukt dat de stem-aantallen die binnenkomen van hoofdstembureaus altijd worden geverifieerd.

Het ministerie van Binnenlandse Zaken zegt in een reactie dat de stemtelsoftware in september is onderzocht door een onafhankelijke partij, HackDefense, en die heeft positief geoordeeld. Het ministerie laat verder weten de Kiesraad te steunen in het zoeken naar een manier om tijdens de Tweede Kamerverkiezingen volgend jaar extra controles uit te voeren.

Ruwhof is blij met de reactie van de Kiesraad. Wel benadrukt hij dat er uiteindelijk een wijziging van de Kieswet nodig is. “In de wet moet komen te staan dat gemeenten twee extra dagen de tijd hebben om het stemproces te verifiëren.” Volgens Ruwhof willen Kamerleden van de VVD, D66, CDA, GroenLinks, SP en SGP actie ondernemen.

Speelt al jaren

Het is niet de eerste keer dat er kritiek is op het gebruiken van telcomputers. In 2017 had toenmalig minister Plasterk het gebruik van software bij het optellen van stemmen verboden, na berichtgeving van RTL Nieuws dat het systeem eenvoudig te hacken was. Een jaar later werd dat door minister Ollongren teruggedraaid omdat de telsoftware verbeterd zou zijn.

NOS Tech

Zo’n 10.000 keer per dag krijgt in Nederland iemand een melding van de CoronaMelder-app. Dat schat Ron Roozendaal, die als chief information officer van het ministerie van Volksgezondheid de leiding heeft over de app. Die is inmiddels 3,7 miljoen keer gedownload.

Die 10.000 mensen waren niet allemaal binnen anderhalve meter van een besmet persoon, erkent Roozendaal. “In het overgrote deel van de gevallen herkent de app de afstand correct. Maar in een klein deel van de gevallen was je op grotere afstand.”

Zo’n 70 procent van de mensen die een melding krijgen is sowieso binnen anderhalve meter afstand van een besmet persoon geweest, schat het ministerie. Zo’n 20 procent krijgt de melding als er anderhalve tot drie meter afstand is geweest: op ‘veilige’ afstand, maar nog relatief dicht in de buurt.

Maar van de tachtig mensen die bij een praktijktest op een Defensieterrein op grotere afstand stonden, kregen een paar proefpersonen een melding terwijl ze tussen drie en tien meter afstand stonden.

Bij de praktijktest ging het daarbij om kleine aantallen. “Maar op 10.000 meldingen per dag zijn dat er alsnog wel tientallen”, zegt Roozendaal. “Het ging daarbij wel om mensen die langere tijd bij iemand met corona in de buurt waren.”

Op hoeveel afstand gewaarschuwde mensen in de praktijk waren, weten de bouwers van de app niet: er worden geen statistieken bijgehouden en wie een melding ontvangt, weten ze ook niet. Zelfs het aantal van 10.000 meldingen is een schatting. “Zo’n 1400 à 1500 positief geteste mensen gebruiken hem per dag, en we schatten dat die gemiddeld 5 tot 15 contacten hebben gehad.”

Bluetooth

De corona-app werkt via Bluetooth. Die technologie heeft een bereik van maximaal 10 meter. Iemand die een melding krijgt van de app, was dus in ieder geval op die afstand. “Maar de kans dat het daadwerkelijk om tien meter gaat, nadert nul”, zegt Roozendaal.

De app meet namelijk de sterkte van het Bluetooth-signaal en probeert op die manier een inschatting van de afstand te maken. Of je een telefoon in je broekzak hebt, maakt daarbij ook uit.

“Als je twee telefoons op 2,5 meter van elkaar op een tafel hebt liggen, en een van de twee is van iemand die positief is getest en ook de corona-app gebruikt, zou je best een melding kunnen krijgen”, zegt Roozendaal. “Als je hem in je broekzak hebt, is die kans al een stuk kleiner.”

Toch in quarantaine

Op sociale media gaan verhalen rond van mensen die zeggen meldingen te hebben gehad, terwijl ze bij niemand in de buurt zijn geweest. “Dat is heel onwaarschijnlijk”, zegt Roozendaal. “We horen soms ook verhalen van mensen waarbij de app misschien het signaal van de buren lijkt op te pikken, maar dat lijkt heel erg mee te vallen.”

Wel kan een signaal in een tuin zijn opgepikt. “Dat de buren bijvoorbeeld aan beide kanten van een heg zaten, dicht bij elkaar”, zegt Roozendaal. “En we kennen ook een verhaal dat het signaal door een ruit zou zijn gegaan.”

Maar in de meeste gevallen was je in de buurt van iemand met het virus, stelt Roozendaal. “Minimaal een kwartier en sowieso dicht in de buurt. Dus daarom geldt het advies: heb je een melding gehad, ga in quarantaine.”

Eerder legden we uit hoe de app CoronaMelder precies werkt, dat zie je in deze video:

Eerder bleek dat bedrijven zich zorgen maakten over personeel dat in quarantaine moet na een melding van de app. “Maar ik zou ook tegen die werkgevers zeggen: heeft iemand van je werknemers een melding gehad, dan blijft het advies om in quarantaine te gaan”, zegt Roozendaal.

Dat de techniek niet honderd procent nauwkeurig is, maakt volgens hem niet uit. “Dat is het bron- en contactonderzoek van de GGD ook niet: alsof je nog weet of je een week geleden precies op anderhalve meter van iemand zat”, aldus Roozendaal. “En als je op twee meter van iemand zat, is het misschien ook verstandig om in quarantaine te gaan.”

Voor wie zich na een melding thuis opsluit, is er wel licht aan de horizon: vanaf december kunnen mogelijk ook mensen zonder klachten zich laten testen, waardoor de quarantaine minder lang hoeft te zijn.

NOS Tech

Technologiebedrijf Uber heeft medewerkers in Amsterdam onder hoge druk laten tekenen voor ontslag in ruil voor een financiële compensatie. Daarmee omzeilde het bedrijf de Nederlandse ontslagregels, blijkt uit onderzoek van NRC. De krant bekeek de ontslagronde op het internationale hoofdkantoor van eerder dit jaar, waardoor zo’n tweehonderd banen moesten verdwijnen.

Voor de personeelsleden die weg moesten, vroeg het bedrijf een collectieve ontslagronde aan bij het UWV, dat bekijkt of de ontslagen rechtmatig zijn. Maar op het UWV werd door het Amerikaanse bedrijf niet gewacht. Nog voor de procedure was afgerond, hadden de meeste personeelsleden al getekend voor een vertrekregeling.

Die regeling werd onder hoge druk opgedrongen, zo blijkt uit gesprekken van NRC met negen oud-personeelsleden. Getroffenen konden de dag dat zij hoorden dat ze konden vertrekken al niet meer inloggen in bepaalde systemen. Ook kregen ze dagelijks herinneringen om toch maar voor de regeling te tekenen, en werd hun gemeld dat hun functie simpelweg ophield te bestaan.

Bezwaren van UWV

De meeste personeelsleden tekenden, zo’n tien medewerkers niet. En het UWV heeft na vijf maanden nog altijd geen uitsluitsel gegeven of de ontslagronde wel of niet rechtmatig is. De ondernemingsraad van Uber, vakbond FNV en het UWV stellen dat het bedrijf er grote moeite mee had om de ontslagronde te onderbouwen. Ook werd de ondernemingsraad niet op tijd ingelicht.

“Bij Uber moest alles vooral heel snel”, zegt FNV tegen NRC. “Op dag 1 werd het in Amerika aangekondigd, op dag 7 moest alles in Nederland geregeld zijn. Vaststellingsovereenkomsten zijn onder tijdsdruk en zonder goede voorlichting getekend. Uber heeft dit gewoon doorgedrukt.”

Nederlandse regels gevolgd

Uber zegt in een reactie in NRC dat de Nederlandse ontslagregels “volledig zijn toegepast”. “Afscheid nemen van collega’s is nooit ongecompliceerd of eenvoudig, zeker niet in de huidige omstandigheden.” Volgens het bedrijf heeft de ondernemingsraad “de juiste informatie” gekregen. “Deze informatie hebben zij destijds als voldoende beoordeeld, wat heeft geleid tot een positief advies van de ondernemingsraad.”

Het bedrijf wil in 2022 verhuizen naar een nieuwbouwlocatie op de Zuidas in Amsterdam, waar het Uber 30.000 vierkante meter gaat huren. Die plannen gaan gewoon door, aldus Uber in NRC.

NOS Tech

Iets voor 07.00 uur woensdagmorgen Nederlandse tijd, de dag na de presidentsverkiezingen, kwam de eerste test voor Twitter. President Trump claimde, zonder bewijs te geven, dat de Democraten de verkiezingen willen stelen.

Het platform besloot het bericht af te schermen en er een melding bij te zetten met de boodschap dat de inhoud “in twijfel wordt getrokken” en “mogelijk misleidend is” over het verkiezingsproces. Deze ingreep is sindsdien, tot het moment van publicatie, nog tien keer toegepast (daarnaast citeerde Trump een tweet die was afgeschermd).

Ook Facebook plaatste meldingen bij berichten van Trump, maar sprak niet van “in twijfel trekken” of “misleiding”. In plaats daarvan biedt Facebook algemenere uitleg over het tellen van de stemmen en zegt dat de uitslag nog niet definitief is.

Gealarmeerd

Een ander verschil: Facebook staat het delen van de berichten nog altijd toe, bij Twitter kan een bericht alleen worden gedeeld als het voorzien is van commentaar. Liken en reageren is niet mogelijk.

The New York Times meldt dat Facebook is “gealarmeerd” door de onrust over het tellen van de stemmen. Het platform zou al wijzigingen hebben doorgevoerd, die ertoe moeten leiden dat er minder desinformatie rondgaat en dat die minder zichtbaar is.

Een van de berichten van Trump waarin hij de stembusgang in twijfel trekt, was donderdag het populairst op Facebook in de VS:

De acties van de twee platforms, net als die van YouTube en Instagram (voor deze app gelden dezelfde regels als voor moederbedrijf Facebook), worden dit jaar nauwlettend gevolgd. In 2016 werden ze verrast doordat Russische trollen de platforms misbruikten om op grote schaal desinformatie te verspreiden, met als doel Trump aan de overwinning te helpen. De sociale media lieten al die nepberichten onweersproken.

Hebben de platforms het goed gedaan?

“Dit is dé grote test voor hen”, zegt hoogleraar communicatiewetenschap Claes de Vreese van de Universiteit van Amsterdam. Hij vindt het nog te vroeg om te concluderen of ze het goed hebben gedaan. “Op dit moment zie ik de Amerikaanse president als het grootste probleem. Hij is een grote bron van onzekerheid, zaait onrust en trekt in twijfel of de verkiezingen wel goed zijn verlopen en of het stemmen goed verloopt.”

De Vreese merkt daarbij op dat dit jaar blijkt dat de techplatforms een andere rol hebben gekregen. “Je ziet dat ze in toenemende mate inhoudelijke keuzes moeten maken, terwijl ze altijd hebben gezegd niet arbiter van de waarheid te willen zijn.”

“Als je het afzet tegen 2016, dan doen ze enorm veel. Dat valt wel op natuurlijk”, zegt Stefan Kulk, universitair docent technologie en recht aan de Universiteit Utrecht. Wel vraagt hij zich af in hoeverre het afschermen van Trumps berichten door Twitter ook echt helpt.

Zowel The New York Times als CNN houdt bij welk nepnieuws er rondgaat. Nieuwsuur maakte woensdag dit overzicht:

De Vreese wijst verder naar YouTube en dan met name op een video van One American News Network, waarin prematuur de winst wordt toegekend aan Trump, met inmiddels meer dan 377.000 weergaven. De ‘bijsluiter’ van YouTube is dat de uitslag van de verkiezingen “mogelijk nog niet definitief is”.

Desgevraagd zegt een woordvoerder van YouTube tegen The Verge dat de video niet tegen de interne regels is en dus mag blijven staan. Kulk noemt de houding van YouTube passiever dan die van Facebook en Twitter.

De Amerikaanse Journalist Casey Newton, die al jaren schrijft over techplatforms en democratie, is ook kritisch over de manier waarop YouTube omgaat met de video. “Omdat YouTube geen beleid heeft tegen het prematuur opeisen van de winst, staat er alleen een melding dat de uitslag mogelijk niet definitief is.”

Chat-apps en besloten Facebookgroepen

De vraag die zich nu lastig laat beantwoorden, is of de bedrijven genoeg doen. Volgens Judith Möller, universitair docent politieke communicatie aan de Universiteit van Amsterdam, is het te vroeg voor conclusies, maar ziet ze wel dat Facebook en Twitter actief bezig zijn.

Möller benadrukt echter dat dit nu niet de belangrijkste communicatiekanalen zijn. “Je moet veel meer naar chat-apps kijken als WhatsApp. Ik heb het vermoeden dat er nog veel meer rondgaat – in chat-apps maar ook in besloten Facebookgroepen.” Het zicht daarop is natuurlijk veel beperkter.

Een Facebookgroep die onderdeel is van een beweging die zonder onderbouwing claimt dat sprake is van kiezersfraude, is donderdagavond Nederlandse tijd door het platform verwijderd. ‘Stop The Steal’ had al meer dan 300.000 leden voordat Facebook het offline haalde. Volgens het bedrijf waren er “zorgwekkende” oproepen tot geweld van leden van de groep, meldt CNN.

NOS Tech

In de laatste update van de online berichtendienst WhatsApp krijgen gebruikers de mogelijkheid om berichten na zeven dagen automatisch te laten verdwijnen.

De service staat automatisch op ‘uit’ en de gebruiker kan zelf beslissen of hij die op ‘aan’ zet. De berichtendienst verwijdert dan na zeven dagen bestanden als foto’s, video’s en ongelezen tekstberichten. Op deze manier wordt onder meer opslagruimte op de mobiele telefoon vrijgemaakt.

Gebruikers kunnen per contact bepalen of ze deze mogelijkheid willen toepassen, maar de dienst werkt alleen als de gesprekspartner de functie ook heeft aanstaan.

Geen garantie

De mogelijkheid is nu beschikbaar voor Android-gebruikers en moet binnen enkele weken beschikbaar komen voor alle twee miljard gebruikers, aldus WhatsApp. Mensen die er gebruik van maken, hoeven niet bang te zijn dat al hun oude berichten en bestanden verdwijnen, aldus de berichtendienst.

De chatapp waarschuwt dat de ontvanger van berichten die na ontvangst kan doorsturen of er een afbeelding van kan bewaren. Er is dus geen garantie dat een bericht volledig verdwijnt.

Mogelijk wordt de functie van de app op den duur uitgebreid, zodat gesprekken ook al na kortere tijd gewist kunnen worden. Eerst wil WhatsApp zien of het aanslaat.

NOS Tech

De politie heeft in Nederland een man van 19 aangehouden die computerprogramma’s zou hebben gemaakt die bij phishing worden gebruikt. Voor zover bekend is het de eerste keer dat zo’n softwarebouwer is aangehouden.

De man wordt ervan verdacht tientallen phishing panels te hebben gemaakt en verkocht. Met die software kunnen criminelen nepwebsites opzetten van banken. In phishingmails worden slachtoffers verleid op een link te klikken, waarna ze naar deze valse sites worden verwezen.

Terwijl de slachtoffers hun inloggegevens van de bank achterlaten, kunnen de gebruikers van het phishing panel meekijken, inloggen op de echte site van de bank en de rekening plunderen. De NOS toonde aan hoe eenvoudig het is om dat soort pakketten online te kopen.

Grote speler

Het Openbaar Ministerie beschouwt de verdachte als een van de grotere spelers op deze criminele markt. “Hij adverteerde op sociale media zoals Telegram”, vertelt officier van justitie Koen Hermans. “Wij denken dat hij zijn software aan bijna vijftig afnemers heeft verkocht.”

Die afnemers verdienden volgens het OM miljoenen aan oplichting met valse betaallinks. De verdachte zelf zou een ton hebben overgehouden aan de verkoop van zijn software, die specifiek gericht was op Nederlandse banken.

Schermnaam opgedoken

De politie kwam de man op het spoor toen de naam waaronder hij online actief is opdook in meerdere onderzoeken naar phishing. Het lukte daarna om zijn identiteit te achterhalen.

Volgens de politie had de 19-jarige bij zijn aanhouding een doorgeladen vuurwapen binnen handbereik. Hij is twee weken geleden gearresteerd in het oosten van het land, maar de politie en het Openbaar Ministerie hebben dit vandaag pas bekendgemaakt.

Of de verdachte alleen werkte of samen met andere ontwikkelaars, wordt nog onderzocht. Het OM sluit meer aanhoudingen niet uit.

NOS Tech

“De CoronaMelder-app werkt volledig anoniem.” Het is een zin die het ministerie van Volksgezondheid meerdere malen heeft verspreid over de corona-app die door het departement is ontwikkeld. Eén probleem: het klopt niet helemaal.

“Als je naast Mark Rutte staat, hij de CoronaMelder gebruikt en vervolgens corona blijkt te hebben, dan kún je dat te weten komen voordat dat hij dat zelf bekend heeft gemaakt”, zegt kunstenaar en privacydenker Tijmen Schep. Hij wil gebruikers waarschuwen dat de app niet alle privacyrisico’s kan uitsluiten.

De CoronaMelder registreert de identiteit van gebruikers niet. Maar als je fysiek bij iemand in de buurt bent en zijn identiteit kent, kun je wel degelijk achterhalen of hij later de app gebruikt om contacten in te lichten.

Om dat te illustreren, heeft Schep de website CoronaDetective ontworpen. Bezoekers zien wie om hen heen de CoronaMelder-app gebruikt en kunnen andere gebruikers van een naam voorzien. Iemand met kwade bedoelingen zou de identiteit van appgebruikers met corona kunnen verspreiden, bijvoorbeeld als het gaat om een BN’er die dat zelf geheim wil houden.

Codes via bluetooth

De CoronaMelder werkt door via bluetooth continu unieke codes uit te zenden. Die worden door andere appgebruikers opgevangen. Als iemand besmet is met het virus, worden zijn codes naar alle andere appgebruikers gestuurd. De app controleert dan of jij in de buurt bent geweest van iemand met het virus. Dat gebeurt door de codes die jouw telefoon heeft ontvangen te vergelijken met de lijst van ‘besmette’ codes.

Meer weten over de werking van de app? In deze video leggen we het in 2 minuten uit:

De unieke codes zijn ook te ontvangen zonder de CoronaMelder-app. Als je een code weet te koppelen aan een naam, weet je later om wie het gaat als die persoon positief wordt getest en dat in de app aangeeft.

Een code aan een naam koppelen is makkelijker met kleinere aantallen mensen om je heen. Om je te helpen te onderscheiden wie wie is, laat de website zien hoe ver iemand van je vandaan is, en zelfs of hij naar je toe beweegt of juist van je af.

Het ministerie erkent het risico. Tijmen Schep: “Dit is ook niet te voorkomen, want deze app kan simpelweg niet volledig anoniem werken”. De app leunt juist op unieke, persoonsgebonden codes: het tegenovergestelde van totale anonimiteit.

‘Klein risico’

De site van Schep bevat maatregelen om te voorkomen dat mensen daadwerkelijk langere tijd andere appgebruikers identificeren. Maar op internet is software te vinden waarmee dat wel kan.

Toch acht het ministerie de kans klein dat dit leidt tot ernstige privacyrisico’s. Daarvoor zou iemand op grote schaal codes van appgebruikers moeten verzamelen en die bijvoorbeeld aan een locatie moeten koppelen, stelt het ministerie. Dat mag niet, en dus is de kans “klein dat dit op enige schaal zal gebeuren”, was de inschatting van het ministerie.

“Hoe klein die kans ook is: als iemand zonder dat je dat wil te weten komt dat jij het coronavirus hebt doordat je de app gebruikt, is dat nog steeds vervelend”, vindt Schep.

Bedrijven kunnen in theorie op grotere schaal uitpeilen

Het grootste risico is dat iemand op individueel niveau codes onderschept: weinig mensen zijn in staat om op grote schaal bluetooth-signalen te onderscheppen. Maar sommige bedrijven kunnen dat wel. Dat zijn bedrijven die overal sensoren hangen om zo via wifi en bluetooth bezoekersstromen te meten. Dat gebeurt bijvoorbeeld in winkels, op straatniveau en op NS-stations.

Een van die bedrijven, BlueMark, is geïnteresseerd in de signalen van CoronaMelder. In een inmiddels verwijderde blogpost beschrijft BlueMark hoe zijn technologie ook die signalen kan onderscheppen. Zo kunnen ondernemers zien hoeveel mensen de CoronaMelder hebben geïnstalleerd. Maar de CoronaMelder-data kunnen ook helpen om beter de drukte te meten, stelt het bedrijf.

Volgens Roel Schiphorst van BlueMark zijn er nog geen klanten die CoronaMelder-signalen gebruiken. In de verwijderde blogpost schrijft BlueMark echter over een pilot waarbij gedurende anderhalve maand het gebruik van CoronaMelder in een winkelstraat zou zijn bijgehouden. Schiphorst zegt desgevraagd dat dat “nepdata” was, bedoeld “om aan onze klanten uit te leggen wat er technologisch kan”.

Betrokkenen achten die lezing onwaarschijnlijk. Het ministerie van Volksgezondheid heeft tegen BlueMark een klacht ingediend bij de Autoriteit Persoonsgegevens. Schiphorst wil naar eigen zeggen de discussie “niet in de media voeren”.

Volgens juristen opereert het bedrijf binnen de randen van de wet, zolang het niet de unieke CoronaMelder-codes onderschept.

De technologie van het bedrijf ondersteunt die mogelijkheid wel. Of klanten zich daarbij aan de wet houden, is aan henzelf, zegt Schiphorst van BlueMark. “Wij leveren slechts de technologie, het is aan onze klanten om de wet na te leven.”

‘Heel klein risico’

Schep benadrukt dat hij vindt dat de app over het algemeen goed in elkaar zit. “Dit is een heel klein risico, maar ik vind het wel belangrijk dat mensen weten dat dit kan gebeuren”, zegt Schep.

Of hij de app zelf gebruikt? “Mijn Android-telefoon heeft daarvoor te veel privacy-opties ingeschakeld”, aldus Schep. “Dus neem ik nu af en toe een reservetelefoon mee waarop de app staat geïnstalleerd.”

NOS Tech

Created by R the Company. Powered by SiteMuze.