Grootste internationale online privacyschending dreigt door ingewikkeld akkoord

Grootste internationale online privacyschending dreigt door ingewikkeld akkoord

Hoekstra stemt volgende week

Wie leest een verslag aan de Tweede Kamer waar volgende week over wordt gestemd dat begint over “de FATF die de FATF-standaarden aangepast heeft om te verduidelijken hoe deze moeten worden toegepast in verband met ‘virtual assets’? Toch kan deze oersaaie, technische zin leiden tot een van de grootste privacyschendingen van onze tijd.

De grote speler in dit verhaal is de Financial Action Task Force (FATF). Deze instantie regelt op internationaal niveau allerlei zaken rond het bestrijden van witwassen en het financieren van terroristische organisaties. Nederland zit ook in deze task force bij monde van het Ministerie van Financiën. Voorstellen van de FATF worden overgenomen door de G20 waardoor deze voorstellen gelden als mondiale standaarden.

De FATF spreekt ook over aanpassingen rond cryptovaluta en blockchaintechnologie. Op dit moment wordt gesproken over voorstellen van verschillende autoriteiten die al jaren regels willen invoeren “om effectieve regulering van en toezicht op ‘virtual asset service providers’ te waarborgen.” Niet toevallig staan de wijzigingen op de agenda nu de Verenigde Staten dit jaar de voorzittersrol vervullen.

De kern van de privacyschending vormt de aanbeveling waarmee alle VASPs van zogenaamde virtual assets ook informatie moeten verzamelen en uitwisselen over klanten. Het venijn zit hem in de paragraaf die zegt dat alle overdrachtsgegevens van de partijen van de hele keten van transfers of transacties beschikbaar moet zijn. Wanneer dit particulieren zijn, zijn het persoonsgegevens en is de Algemene Verordening Gegevensbescherming of AVG, de strenge Europese privacywet, van toepassing. Wie denkt dat het alleen om digitaal geld of cryptovaluta gaat vergist zich.

Plenaire vergadering

In februari 2019 hield de Financial Action Task Force een plenaire vergadering over de zaak. In het verslag van de vergadering komt naar voren dat de term virtual assets gebruikt wordt om te ‘voorkomen dat de indruk ontstaat dat er sprake is van een wettig betaalmiddel’. Op deze manier hoeft de term ‘virtual currencies’ of ‘cryptocurrencies’ niet gebruikt te worden. Het probleem is alleen dat de term ‘virtual assets’ volledig multi-interpretabel is en daarmee lijkt die term niet afdoende om in de toekomst werkelijke kaders vast te leggen omdat praktisch alles eronder kan vallen.

Een ander problematisch punt bij de rapportage van het Ministerie van Financiën over deze vergadering is de uitleg in een Kamerbrief van 21 maart 2019 dat het zou gaan om ‘het terrein van girale overschrijvingen’, terwijl het juist helemaal niet gaat over financiële transacties in het bekende gebied van ‘ouderwets’ geld. Hiermee is de kamer op onjuiste wijze geïnformeerd en wordt voorbijgegaan aan de brede toepasbaarheid van deze systemen.

Gegevens op straat

De FATF beperkt zijn aanbevelingen dus niet tot cryptovaluta zoals bitcoin, maar spreekt van virtual assets, een niet-gedefinieerde en daardoor erg ruime term. In de meest brede interpretatie is elk digitaal ‘ding’ dat van eigenaar kan wisselen een virtueel goed. Cryptogeld, maar ook een figuur in een game of zogenaamde virtual twins van fysieke goederen in de ‘echte’ wereld. Daarnaast zouden ook air miles en bonuspunten eronder vallen, net als toekomstig te verhandelen andere tokens, zoals energietokens, die een bepaalde waarde vertegenwoordigen.

De brede term virtual asset zal ook de fysieke wereld raken met de eerder genoemde virtual twins. In de nabije toekomst kun je het eigenaarschap van bijvoorbeeld je auto aan een andere eigenaar overdragen met zo’n virtuele ‘tweelingauto’ als eigendomsbewijs. Aan een dergelijk virtueel goed hangen persoonsgegevens die op dit moment niet meegestuurd hoeven te worden. Ze zijn beschikbaar bij de verschillende instanties die te maken hebben met deze overdracht, in Nederland onder andere de RDW. Als het nodig is voor autoriteiten zoals de politie of opsporingsdiensten om deze gegevens te verkrijgen om onderzoek te doen naar witwassen of andere duistere zaken, dan kunnen zij de gegevens bij deze partijen vorderen.

Volgens de aanbeveling van de FATF in paragraaf 7b zullen bij de transfer van virtual assets de herleidbare gegevens van beide partijen die te maken hebben met de transactie of overdracht, met al hun gegevens, in deze hele transactieketen terechtkomen. Die informatie moet volgens de paragraaf voor iedereen in de waardeketen beschikbaar zijn en blijft zichtbaar voor eenieder in die hele transactieketen.

Privacyschending

Door deze aanbeveling worden bij transacties waar een particulier bij betrokken is, persoonsgegevens door de hele keten verspreid, iets dat met heel veel moeite bestreden is met de komst van de AVG.

Het is niet de eerste keer dat de AVG genegeerd lijkt te worden. We hoeven maar te kijken naar de perikelen rond de invoering van het Payment Service Directive 2 of PSD2 om te leren dat het beschermen van de privacy van Europese burgers lastig is. Het eerste voorstel voor de PSD2 stamt uit 2012 en ging in maart 2018 in. Op meerdere punten biedt de PSD2 beperkte en vooral papieren waarborgen, die mogelijk ontstonden doordat de AVG later dan de PSD2 van kracht werd, namelijk mei 2018.

Klantgegevens internationaal opvraagbaar

In het geval van de FATF-regulering leidt het opnemen van persoonsgegevens tot het verzenden van gegevens van klanten of andere persoonsgegevens naar buiten de Europese Unie. Het ongeclausuleerd verzenden van gegevens is juist met veel moeite bestreden nadat aan het licht kwam dat via het internationale bancaire systeem SWIFT klantgegevens probleemloos door de Verenigde Staten uitgelezen konden worden. Verder spraken zowel het Hof van Justitie in Europa (2016) als het Supreme Court in de VS (2018) zich op grond van privacy-overwegingen expliciet uit tegen het vasthouden van soortgelijke gegevens in de telecomsector.

Voor Stichting Privacy First zijn de aanbevelingen van de FATF aanleiding een dringend beroep te doen op de Minister en de aanbevelingen van tafel te halen. Volgens deze onafhankelijke stichting moeten de voorstellen eerst beoordeeld worden door de bril van de AVG en niet alleen door die van Financiën. “Onder het mom van bestrijding van witwassen zet de Minister zijn handtekening onder een ontwikkeling die alleen maar kan leiden tot privacyschendingen. Op dit moment zijn de aanbevelingen zo ruim dat de Minister niet kan weten waar hij  ‘ja’ tegen zegt.”

Privacy First zegt niet alleen geschrokken te zijn van de FATF-aanbevelingen maar ook het proces waarbij kritiek op het voorstel niet gehoord wordt. Stichting Privacy First vat het kort en bondig samen: “Het is weer een voorbeeld dat Fintech en persoonsgegevens zo verweven raken, dat structurele aandacht moet komen voor financiële privacy. Dit voorstel zou niet alleen door Financiën afgehandeld mogen worden.”

Doof voor kritiek

Nederlandse marktpartijen hadden al eerder kritiek geuit op de voorstellen. Ze staan niet alleen in hun kritiek. Over de hele wereld wordt met lede ogen aangezien hoe de voorgestelde regels onder grote druk worden aangenomen. De FATF raadpleegde de visie van de markt en kreeg een lawine van kritiek over zich heen. Daarbij zaten talloze constructieve suggesties die zowel recht doen aan de opsporingsdoelen als aan randvoorwaarden rond privacy. De reacties aan de FATF bleven echter geheim en het debat werd verder achter gesloten deuren gevoerd. De tekst bleef ongewijzigd.

In Nederland ontstond de situatie dat een brandbrief vanuit de marktpartijen en Privacy First is gestuurd aan het Ministerie van Financiën waar vooralsnog niets mee gedaan is. De brief leidde niet tot een verdere uitnodiging van het Ministerie. Het eerstvolgende bericht daarna vanuit Financiën was het persbericht van de G-20 afgelopen weekend. Daarin juichten de Ministers de voorgenomen aanbeveling van de FATF toe. Zowel internationaal als nationaal toont het Ministerie van Financiën zich daarmee doof voor gerechtvaardigde vragen rond de privacybescherming.

Update 12 juni 2019, 16:03: Inmiddels heeft het Ministerie van Justitie de brief die vandaag is verzonden aan Privacy First om 11 uur online gezet.

Desgevraagd reageert Simon Lelieveldt als volgt op de brief:

De Minister gaat nogal karig in op de maatschappelijke vraagpunten die in de originele brief vanuit de markt zijn aangekaart. Het politieke probleem van botsing van internationale regels rond privacy en die rond opsporing komt niet ter sprake. Het Tele2-arrest van het Hof van Justitie blijft onbesproken en we horen ook niet of de Autoriteit Persoonsgegevens hiernaar heeft gekeken.

Ik zie de Minister zeggen dat de uitleg van definities later wordt verduidelijkt. Er komt een evaluatie nadien en contactgroepen voor de uitwerking. Maar de definities zelf worden intussen wel aangenomen en die hebben een brede reikwijdte waar niet op terug te pakken zal zijn. Verder stelt de Minister dat informatie alleen bij Virtual Asset Service Providers terechtkomt terwijl de aan te nemen regel ook spreekt over ‘counterparts (if any).’ Dit strookt niet maar hoe het precies zit komen we niet te weten. De Minister en FATF schermen namelijk alle informatie en precieze teksten af en wat hij doet is stellen: vertrouw me: het komt allemaal goed. De geschiedenis rond Swift laat echter zien dat het een kostbare vergissing kan worden.

De feitelijke oproep aan de Minister was om de discussie breder te trekken en een goede maatschappelijke belangenafweging te organiseren. Hij doet het tegenovergestelde: hij technocratiseert het proces en de inhoud. Wetenschappers noemen dat ‘depolitiseren’ en doorgaans kom je ermee weg. In datzelfde technocratische domein kan hij echter ook weten dat de effectiviteit van de soortgelijke maatregel in de banksector zeer beperkt is. De hele regel leidt dus tot veel kosten, negatieve privacy-impact, mensenrechtschending en geen baten.

Ik verwacht dat het vervolg wordt dat het aan de rechter is om de belangenafweging tussen privacy en opsporing te maken. Het is uit de rechtspraak in EU en VS, alsook mensenrechtverdragen, vrij duidelijk dat je als overheid omwille van criminaliteitsbestrijding niet zomaar iedereens data kan gaan vasthouden en laten rondsturen.

Er is aan het Ministerie van Justitie en het Ministerie van Financiën om een reactie gevraagd, maar tot op heden is hier geen rechtstreeks antwoord op gekomen. De hierboven aangehaalde reactie is op een brief verzonden aan Privacy First en de VBNL.

Boek: Cryptovaluta voor Dummies

Boek: Cryptovaluta voor Dummies

Cryptovaluta voor Dummies, door Krijn Soeteman
Cryptovaluta voor Dummies

Vanaf 23 november is mijn boek ‘Cryptovaluta voor Dummies‘ verkrijgbaar (ook experimenteel via OpenBazaar * en per 12 april 2019 in het Duits als Kryptowährungen für Dummies)!

Voor mij zijn cryptovaluta, en bitcoin in het bijzonder, door het werken aan dit boek nog interessanter geworden dan ze al waren. Toch moeten we niet vergeten dat het nog een groot experiment is, waarvan niemand de uitkomst kan voorspellen.

Waar heb ik het allemaal over in het boek? Natuurlijk komen bekende munten langs, zoals bitcoin, ethereum, litecoin, stellar en wat al niet meer. Daarnaast, of eigenlijk eerst, heb ik het over de geschiedenis van geld en waarom bitcoin zo bijzonder is. Dat heeft meer met goud te maken dan je misschien in eerste instantie zou denken.

Vervolgens duiken we diep in de achterliggende gedachtes achter ethereum en de komst van smart contracts, waarna er een enorme hausse van nieuwe tokens en cryptovaluta opkwam.

Maar ook: hoe gebruik je nou een wallet bij ethereum? Hoe zit dat met al die combinaties van websites, decentrale applicaties, (hardware)-wallets en wat al niet meer. Je zult ook zien dat het er misschien lastig uitziet, maar dat het eigenlijk best meevalt (en ga er vooral zelf mee aan de slag, daar leer je het meest van).

Uiteraard kan ook het kopje ‘geld verdienen met cryptovaluta’ niet ontbreken. En nee, dat is geen beleggingsadvies, slechts een overzicht.

Het is veel te veel om op te noemen in een korte samenvatting, maar binnenkort kun je er zelf doorheen bladeren in de boekhandel!

* OpenBazaar is een p2p-marktplaats, waardoor de verkoper zelf ook online moet zijn. Ik heb het boek erop gezet omdat ik vind dat een boek over cryptovaluta ook met cryptovaluta verkrijgbaar moet zijn (al vraagt het om een omweg).  Nu is er gelukkig heel wat veranderd sinds de laatste paar incarnaties van dit systeem en kun je ook iets kopen als de verkoper offline is. Net als cryptovaluta zelf, is het een experiment, wel een interessant experiment in mijn ogen (al heb ik zelf nog nooit iets via OB gekocht).

Cryptovaluta: wie gebruikt ze?

Bijna niemand, maar dat antwoord zag je wel aankomen

Er is een probleem met cryptovaluta, -tokens en andere, op blockchain gebaseerde zaken: wie gebruikt het? Bijna niemand. Is dat vreemd? Nee, dat is niet gek. Als voorbeeld CryptoKitties. Het eerste bekende spel op een blockchain met als bijzonderheid dat elk katje ook daadwerkelijk uniek is. Het was leuk spelen toen het geheel nog op een testnet van Ethereum draaide en alles technisch gezien gratis was (Ethereum is de blockchain waar CryptoKitties op draait, een soort van Bitcoin). Maar toen ging het naar het echte netwerk, mainnet heet dat, en daar ging het mis.

Is ie niet schattig, Son of Lir. Het wil!

CryptoKitties liftte leuk mee op de hype van dat moment en prompt liep het hele hoofdnetwerk vast. Het zorgde voor enorm hoge transactiekosten, want iedereen zou en moest zo’n kat bemachtigen. Of laten paren (siren heet dat), ongeacht sekse, want sekse hebben de katjes niet. Of ruilen. Of iets anders, maar elke actie zorgt voor een transactie en elke transactie kost een beetje geld. Het netwerk zelf kan zo’n 15 transacties per seconde aan. Je begrijpt al waar dat op uitliep: ravage. Om nog transacties te kunnen uitvoeren, ook als die niks met die katten te maken hadden, moest je diep in de buidel tasten: hoe meer je betaalde, hoe groter de kans dat je transactie rap uitgevoerd werd.

Wippen, ruilen, verkopen

Al snel had ik omgerekend 45 euro in ether uitgegeven aan het spelletje. Dat ging naar een katje kopen (5 euro voor een kat + transactiekosten), een katje laten wippen met een ander katje voor een nieuw katje (transactiekosten voor paren, transactiekosten voor het binnenkrijgen van het katje). Ik zette een katje te koop (transactiekosten voor het in de etalage zetten). Ik zette een katje in de etalage om te paren met een ander, mij onbekend katje (transactiekosten voor mijn kat achter het raam zetten). Kortom, elke scheet kost iets, want elke actie op het netwerk kost iets, want je gebruikt namelijk computerkracht in het netwerk.

Technisch gezien klopt het natuurlijk helemaal dat je, als je rekenkracht nodig hebt, je daarvoor betaalt. We zijn alleen ergens bij het begin van het populariseren van internet gaan denken dat alles ‘gratis’ is. Oh nee, je verkoopt je data, maar dat laten we nu even links liggen.

Terug naar die katjes. Ik heb nooit zo goed begrepen waarom verzamelspelletjes zo populair zijn en ik snap het nog steeds niet. Maar 45 omgerekende eurootjes voor wat spelen met unieke kattenplaatjes vond ik toch net wat ver gaan en omdat het mijn interesse niet is,.

Toch voel je op je klompen aan dat er wel ‘iets’ zit in zo’n systeem. Moet dat met een blockchain? Niet per se. Dat verzamelen gebeurt op grote schaal binnen zogenaamde free to play-games. De spullen die je in-game kunt kopen blijken alleen vaak gejat te worden, zoals in Fortnite.

Het gaat zelfs zover dat niet alleen het Jeugdjournaal onlangs berichtte over phising naar Fortnite-spullen, maar ook het grotemensenjournaal. Zo’n verzamelonderdeel in een game zou best een blockchain kunnen gebruiken om dat soort problemen tegen te gaan. Misschien niet zo’n blockchain als bij CryptoKitties want die is te traag en log, maar een ander type of op andere wijze geïmplementeerd. Misschien eentje die blockchainpuristen als minderwaardig zien, eentje waar minder nodes in het netwerk zitten. Maar dat is erg technisch.

Waardelaag

Dit soort problemen ontstaat doordat er geen waardelaag in internet gebouwd zit. Niemand kan iets unieks aan iemand anders geven met de zekerheid dat dit niet gekopieerd wordt of dat er iets anders oneigenlijke mee gebeurt zonder dat er een derde partij tussen zit. Die derde partij kan een bank zijn, maar ook een game-uitgever of wat voor partij dan ook die als centrale database wil dienen. Dat gaat vaak overigens prima, maar als de firma failliet gaat of je ineens niet meer aardig vindt, kun je van de ene op de andere dag alles kwijt zijn. Soms is dat misschien terecht, maar nog veel vaker is er een stomme fout in het spel.

Nu was er iemand, of iemanden, die een systeem bedacht waarbij geen derde partij nodig is om met zekerheid iets digitaals aan iemand anders te geven. Dat noemde deze persoon met pseudoniem Satoshi Nakamoto ‘Bitcoin’. Hij — het is tenslotte een mannennaam — gebruikte een combinatie van bestaande cryptografische en speltheoretische technieken, maar dan op zo’n manier gecombineerd dat sjoemelen bij voldoende computers in het netwerk praktisch vrijwel onmogelijk wordt.

Alles wat met blockchains te maken heeft is één groot experiment en dat de uitkomst van veel experimenten binnen die systemen al velen teleurgesteld heeft, is daar een onderdeel van.

Het duurde een paar jaar voor dit systeem uit een uithoek van internet meer bekendheid kreeg en steeds meer mensen zagen er wat in. De populariteit steeg en er kwamen steeds meer klonen van Bitcoin en ook nieuwe systemen, soms duidelijk gebaseerd op Bitcoin en soms echte vernieuwers. Grote bedrijven gingen stilletjes aan de slag om handige onderdelen over te nemen en te implementeren zonder het woord ‘blockchain’ in de mond te nemen om later op de grote trom te slaan met namen waar het woord ‘ledger’ in te vinden is. Nog iets later kwam een groter publiek in aanraking met de systemen en de laatste apotheose dateert van december 2017. Hoge bomen vangen veel wind en inmiddels roepen steeds meer mensen dat het maar onzin is, al die blockchains. Je kunt er niks mee en alles is ronduit k*t. Behalve Bitcoin voegen ze er vaak aan toe.

Veel kritiek die gegeven wordt, is al jaren bekend en iedereen die al langer rondloopt in deze scene kent de punten. Helaas zorgt het eens in de zoveel tijd voor iemand die vindt dat hij het allemaal even heeft uitgezocht en zo op geïnformeerde wijze kan zeggen dat het allemaal idioot is waar al die mensen mee bezig zijn. Zo iemand vindt een ict-er die haarfijn uitlegt waarom het een te dure databank is die je niet wil gebruiken. Er wordt wat gestrooid met woorden als ‘merkle-boom’ en de wijsheid is in pacht.¹

Gouden bergen, diepe dalen

Dat laatste is jammer. Ik onderschrijf dat de oplossing die Satoshi Nakamoto bedacht neerkomt op het combineren van oude technologie op een nieuwe manier wat het protocol ‘Bitcoin’ als geheel erg interessant maakt. Dat je dit protocol niet een-op-een moet overnemen om in te zetten op andere plekken waar je denkt dat je een blockchain(achtige) structuur bruikbaar kunt inzetten, lijkt me meer dan logisch. Het is niet óf een database óf een blockchain. Het is altijd en-en. Er zit heel wat interessants in de pijplijn om tot werkelijk nuttige zaken met blockchains te komen, maar dat zal nog even duren. Vijf jaar? Tien jaar? Wie zal zal het zeggen. Net als bij games: geef nooit een datum waarop het product werkelijk af is, want er is altijd uitstel.

Misschien zijn veel zaken die zich op openbare, publieke blockchains zoals die van ethereum en bitcoin afspelen op dit moment wel zeer marginaal te noemen. Ik denk dat we, als ik mezelf tot een enthousiaste community mag rekenen, daar realistisch in moeten zijn. We kunnen niet ontkennen dat ‘even’ wat ether halen om ‘even’ iets te doen, best lastig is. Maar ik zie ook dat er bepaalde zaken zijn die zeker van transparantie en onwrikbaarheid kunnen profiteren. Denk eens aan transparante concertkaartjes of het uitlenen van een boek aan een vriend(in).

Maar het idee dat je dan ook iets functioneels hebt binnen enkele maanden tot een paar jaar met een totaal andere manier van denken, namelijk decentraal denken, lijkt me absurd. ‘Even’ iets met concertkaartjes doen of een systeem opzetten om boeken te lenen aan vrienden is al heel groot en daardoor ook ingewikkeld. Daar ‘even’ een ‘blockchaintje’ achter gooien is niet makkelijk. Dat moet groeien.

Lekker lokaal, dat wereldwijde netwerk

Als je mij vraagt waar nu een grote toekomst ligt voor cryptovaluta en -tokens, is dat in eerste instantie bij veel kleine projecten, heel lokaal. Niks groots en op het eerste gezicht weinig hemelbestormend. Er is niet eens een simpele website waar je zonder kennis van programmeerzaken een tijdelijke token voor je project kunt maken. Je hoort al wel wat er mist: mensen die niet alleen de achterkant begrijpen, maar ook iets met de voorkant kunnen.²

Ik ben dol op it’ers, maar er missen vaak anderen in het hele proces. Niet-it’ers. Mensen die én begrip hebben van de systemen en mee kunnen denken om zo samen tot iets moois kunnen komen, al hoeven ze niet te kunnen programmeren. Beetje van die alfa’s en gamma’s zeg maar.

Geen panacee

Blockchains zijn geen kuur voor alle problemen in digitale netwerken. Het kan een enkel probleem misschien oplossen, maar net zoals bijna alle andere ict-’oplossingen’: het is ook het verplaatsen van problemen. Als je nu niet meer kunt frauderen in je excelletje omdat de toestand in een blockchain is vastgelegd? Dan doe je dat toch lekker elders in de keten, bij de persoon die het in moet voeren bijvoorbeeld.

Een beetje programmeren is uiteindelijk niet zo vreselijk moeilijk. Wat wel moeilijk is, is een cryptografisch veilig systeem verzinnen dat praktisch onkraakbaar is en dat deed de bedenker(s) van Bitcoin: een systeem verzinnen om zonder derde partij een transactie te kunnen doen en er zeker van zijn dat er geen twee transacties met dezelfde bitcoin gedaan kunnen worden.

Alles wat met blockchains te maken heeft is één groot experiment en dat de uitkomst van veel experimenten binnen die systemen al velen teleurgesteld heeft, is daar een onderdeel van. Misschien komen we er ooit achter dat Bitcoin het enige nuttige experiment is, maar om daar achter te komen, moet je wel eerst experimenteren.³

Al met al heeft het in ieder geval gezorgd voor een hausse aan interesse in cryptografie. Dit kan niet anders dan zorgen voor interessante ontwikkelingen. Daar zullen de meesten nooit iets van merken aan de voorkant, maar de achterkant zal daar zeker van profiteren!

¹ Ik verwijs naar een artikel in De Correspondent ‘De blockchain: een oplossing voor bijna niets

² Ooit geprobeerd een betalingsmodule voor fiat geld toe te voegen aan een website? Dat was en is nog steeds geen sinecure.

³ Dit onderschrijf ik niet, ik denk dat er zeker interessante zaken zijn die baat hebben bij zo’n slome, dure databank als een blockchain voor het opslaan van state of de toestand van een actie binnen een smart contract. Misschien gaan we wel toe naar veel tijdelijke side-chains die inprikken op een of twee grote, betrouwbare blockchains voor de veiligheid bij tijdelijke acties. Of.. of…