Online kijken: hoe veilig is dat voor jou?
Delen
Laten we bij het begin beginnen. Wat doe je precies?
“De afgelopen jaren heb ik mij binnen het project Theseus voornamelijk gericht op de aanpak van ondermijnende criminaliteit op bedrijventerreinen in Gelderland. Daarnaast ondersteun ik diverse gemeenten en uiteraard onze eigen dienst. Met een achtergrond in criminologie en aanvullende OSINT-opleidingen breng ik onder andere expertise in het verzamelen en analyseren van informatie uit openbare bronnen. Het onderwerp van dit interview sluit daar naadloos op aan.”
Wat is OSINT?
“OSINT staat voor Open Source Intelligence en gaat over het produceren van inlichtingen op basis van gegevens die afkomstig zijn uit openbare bronnen. Dit zijn gegevens die vrij toegankelijk zijn en door iedereen geraadpleegd kunnen worden. Denk hierbij aan kranten, websites, blogs, sociale media etc. Je kunt je voorstellen dat dit een heel breed vakgebied is, waardoor het onmogelijk is om alles te vertellen. Daarom richt ik mij in dit artikel op een klein onderdeel hiervan, namelijk de sporen die je achterlaat als je online onderzoek doet en de risico’s die daarmee gepaard gaan. Ik vraag me af waarom organisaties zich wél op fysieke veiligheid van hun medewerkers richten, maar nauwelijks op hun digitale veiligheid?”
Welke kruimels laat je in de digitale wereld achter?
“Elke klik, elke zoekopdracht, elke pagina die je bezoekt, laat iets achter. Websites gebruiken analysetools zoals Google Analytics om bezoekersgedag in kaart te brengen. Denk hierbij aan hoe vaak je een site bezoekt, welke pagina’s je bekijkt, hoelang je op een pagina blijft, via welke route je binnenkomt, welk apparaat je gebruikt, het land waar je je bevindt, je IP-adres en zelfs je zoektermen. Dit lijkt onschuldig maar samen vormt het een gedetailleerd profiel. Soms kan je zelfs achterhalen bij welke organisatie een IP-adres hoort. Niet iedereen is zich even bewust van de digitale kruimels die hij achterlaat. Ook binnen mijn organisatie ben ik bezig met het creëren van bewustzijn van de sporen die je achterlaat, maar ook van de mogelijkheden van OSINT. Dit sluit perfect aan op een van onze kernwaarden, namelijk expertise.”
Welke tips wil jij aan professionals geven die beroepshalve informatie opzoeken, bijvoorbeeld aan toezichthouders?
“De belangrijkste tip is om een basistraining OSINT te volgen. Of dit nu een meerdaagse training is of een dagdeel in-company, dat maakt niet uit. Het gaat om bewustwording van de mogelijkheden en ook zeker van de risico’s. Het is belangrijk geen privé laptop of privé accounts tijdens de online zoektocht te gebruiken. Het laatste wat je wilt is dat iemand een melding krijgt dat jij zijn LinkedIn-profiel hebt bekeken. Gebruik ook geen nep-accounts, aangezien dit niet zomaar is toegestaan. Daarnaast adviseer ik niet toe te treden tot groepen en/ of kanalen en geen (openbare) wifi te gebruiken, maar te kiezen voor je mobiele netwerk. En leg vooral goed vast wat je wél doet.
Misschien nóg wel belangrijker: vraag na binnen je organisatie of er al collega’s zijn die zich met OSINT bezighouden en welke wetten en regels daarbij gelden. De OSINT-wereld is enorm interessant en verdient zeker meer aandacht in ons werkveld. Het is onmogelijk om alles in één artikel te behandelen, maar wie zich verdiept in de verschillende zoekmachines, search operators en de mogelijkheden die reverse image search en geolocating bieden zal zien dat er een wereld voor je opengaat. Maar, alles uiteraard binnen de grenzen van wat kan en mag, met respect voor de proportionaliteits- en subsidiariteitsbeginselen.”
Zit je op het goede spoor?
Wil je aan de slag met digitaal onderzoek, maar weet je niet of je op het goede spoor zit. Volg de stappen hierbij. Bij twijfel: stop en overleg.
Stap 1: is er een concrete aanleiding?
Bijvoorbeeld een melding, signaal van ondermijning of dreigende verstoring van de openbare orde. Nee? Stop: online onderzoek is toegestaan. Ja? Ga door naar stap 2.
Stap 2: is het doel niet gericht op strafrechtelijk opsporing?
Nee? Een strafrechtelijk onderzoek is verantwoordelijkheid van het OM en de politie. Je draagt de zaak over en stopt met online onderzoek. Ja? Ga door naar stap 3.
Stap 3: worden uitsluitend publiek toegankelijke online bronnen geraadpleegd?
Denk aan open social media, websites, openbare chats, geen inlog of toestemming nodig. Nee? Stop: besloten groepen en dm’s zijn niet toegestaan. Ja? Ga naar stap 4.
Stap 4: is het onderzoek beperkt, gericht en tijdelijk?
Dit betekent: geen structureel volgen, geen profielopbouw van personen Nee? Stop: let op risico van stelselmatig onderzoek. Dit is niet toegestaan. Ja? Ga naar stap 5.
Stap 5: is redelijkerwijs voorzienbaar Ja?
dat géén volledig beeld van iemands privéleven ontstaat? Nee? Stop: let op risico van stelselmatig onderzoek. Dit is niet toegestaan. Ja? Ga naar stap 6.
Stap 6: wordt gewerkt vanuit een herkenbaar gemeenteaccount?
Dit betekent: geen privéaccount, geen nepaccount, geen valse hoedanigheid of bijvoorbeeld via jouw mobiele telefoon. Nee? Stop: niet toegestaan. Ja? Ga naar stap 7.
Stap 7: worden alleen noodzakelijke persoonsgegevens verwerkt?
Dit betekent: geen bijzondere persoonsgegevens, geen onnodige bijvangst. Nee? Stop: niet toegestaan, pas werkwijze aan. Ja? Ga naar stap 8.
Stap 8: zijn het doel, de werkwijze en afweging vooraf vastgelegd?
Dit betekent, bij voorkeur volgens intern protocol. Nee? Eerst vastleggen. Dan pas uitvoeren. Ja? Ga naar stap 9.
Stap 9: worden alle handelingen vastgelegd?
Dit betekent: dat het onderzoek achteraf controleerbaar is. Nee? Stop: niet uitvoeren zonder zaken vast te leggen. Ja? Ga door naar stap 10.
Stap 10: ontstaan tijdens het onderzoek aanwijzingen voor strafbare feiten of concrete verdachten?
Ja? Onderzoek stoppen en overdragen aan de politie en het OM. Nee? Ga door naar stap 11.
Stap 11: is opslag van gegevens noodzakelijk voor het doel?
Nee? Niet opslaan. Alleen waarnemen. Ja? Beperkt opslaan met bewaartermijn en autorisatie.