Hoe kwetsbaar is de ‘publieke kern’ van het internet?

 Abstract:

De WRR publiceerde in 2015 op eigen initiatief het rapport ‘de publieke kern van het internet’. Het betreft een pleidooi om de basisinfrastructuur van het internet, een ‘kern’ van protocollen en hardware, te behandelen als mondiaal publiek goed. Het gaat immers om het fundament waar het hele bouwwerk op gebaseerd is: alle diensten die via het internet worden uitgewisseld zijn er van afhankelijk. De WRR komt tot deze conclusie aan de hand van een aantal internationale trends, waarbij men mede vaststelt dat er steeds meer een focus is op (nationale) veiligheid die staten via het internet proberen af te dwingen. Daarom is het nu meer dan ooit belangrijk het functioneren en de integriteit van deze kern te beschermen tegen oneigenlijke interventies door overheden en anderen, aldus de WRR. Wanneer het vertrouwen in het functioneren van de basisinfrastructuur geschaad wordt dan heeft dat zeer negatieve gevolgen voor iedereen, en omdat het internet voor Nederland een grote sociaaleconomische betekenis heeft, roept de WRR de Nederlandse regering op deze boodschap internationaal uit te dragen en onderdeel te maken van haar diplomatieke agenda. ISOC Nederland heeft argumenten uit het rapport gebruikt bij de bepaling van haar positie met betrekking tot verschillende dossiers (e.g. de voorgestelde nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten), maar het pleidooi van de WRR blijft in 2016 onverminderd relevant.

Inleiding
Het lijkt alweer een tijd geleden, maar in maart 2015 verscheen een rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) genaamd ‘De publieke kern van het internet’[1]. Omdat de erin vervatte conclusies langere termijn trends beschrijven, en bovendien raken aan fundamentele beleidskeuzes die gemaakt moeten worden door de Nederlandse regering met betrekking tot het internet, heeft ISOC Nederland in 2015 bijgedragen aan de promotie van de aanbevelingen in het rapport: onder andere door het organiseren van een workshop voor NL IGF en het participeren in een gerelateerd panel tijdens het global IGF in Brazilië. Daarnaast hebben we argumenten van de WRR gebruikt in onze kritische respons op het voorstel om de bestaande Wet op de inlichtingen – en veiligheidsdiensten (Wiv) aan te passen[2]. Maar ook in 2016 blijft de aangeroerde thema’s relevant: zo komt het Ministerie van Buitenlandse Zaken met een internetstrategie als onderdeel van de Nederlandse diplomatieke buitenlandagenda, en zullen voorstellen voor een nieuwe Wiv en een Wet Computercriminaliteit III (WCIII)[3] in het parlement behandeld worden. In een internationale context zal onder andere de IANA-transitie tot een goed einde gebracht moeten worden, en zal men een oplossing moeten vinden voor het ongeldig verklaren van de ‘Safe Harbor’ besluit door het Europese Hof[4].

Strekking van het rapport
Samengevat schetst de WRR een beeld waarbij enerzijds het internet ons veel goeds heeft gebracht, met name op economisch en sociaal-maatschappelijk terrein. En voor Nederland als internet-hub zijn de omstandigheden gunstig om de vruchten te plukken van toekomstige digitale ontwikkelingen: denk aan de ‘cloud’, ‘the internet of everything’, ‘virtual reality’ en nieuwe mobiele toepassingen. Er is echter een aantal globale bewegingen gaande, aldus de WRR, die een bedreiging vormen en die, indien we er niet proactief op reageren, het vereiste vertrouwen in het functioneren van het grenzeloze internet kunnen schaden. Het is dan ook zaak dat Nederland dit internationaal agendeert: sterker nog, de WRR pleit ervoor het internet tot een speerpunt van het Nederlandse buitenlandbeleid te maken. Er is namelijk een ‘kern’ van het internet die tot neutrale zone verklaard en beschermd moet worden om het vereiste vertrouwen voor de toekomst te borgen. In de woorden van de WRR:

‘Kerngedachte daarbij is dat de centrale protocollen en infrastructuren van het internet als een mondiaal publiek goed beschouwd moeten worden. Deze publieke kern van het internet moet gevrijwaard blijven van oneigenlijke interventies van staten en andere partijen die schade toebrengen en het vertrouwen in het internet eroderen.’

En:

‘De vraag hoe nationale belangen en de governance van het internet als mondiaal publiek goed met elkaar in balans kunnen worden gebracht, moet uiteraard internationaal beantwoord worden. Dat vereist een heldere Nederlandse stellingname.’

Globale trends
Afgezien van alle continue technologische ontwikkelingen, ziet de WRR drie globale trends in het internationale speelveld die het internet raken.
– Ten eerste is er sprake van een demografische verschuiving onder de mondiale internetgebruikers. De volgende miljard gebruikers zal met name komen uit Azië (India, China), Afrika en de Arabisch sprekende landen. De dominantie van de ‘westerse stem’ in het internationale debat over internet gerelateerde onderwerp zal op termijn geen gegeven meer zijn, en dit heeft grote gevolgen voor de machtsverhoudingen binnen en de culturele kijk op het internet.
– Daarnaast is er sprake van een groeiend veiligheidsdenken en militarisering van het internet. Behalve economische bedreigingen als cybercriminaliteit en diefstal van bedrijfsgeheimen maken overheden zich steeds meer zorgen over de kwetsbaarheid van vitale infrastructuur en over spionage door andere staten. En handelen daar ook naar.
– Ten derde is er sprake van zogenaamde ‘dataficatie’ van de samenleving met bijbehorende surveillance. Data zijn komen centraal te staan in de manier waarop bedrijven naar hun klanten kijken en overheden naar hun burgers. En we staan pas aan het begin van een ‘internet of everything’ waarbij ieder voorwerp connectiviteit kan krijgen, en zelfstandig gaat communiceren en beslissen. De daarbij gegenereerde data worden continu gelogd (‘in the cloud’) en daar vervolgens met geavanceerde algoritmes geanalyseerd en geprofileerd, wat weer opnieuw transacties initieert zonder menselijke tussenkomst. In de begindagen van het internet waren de gebruikers vrij en hadden ze controle, aldus de WRR, nu komt de macht steeds meer te liggen bij grote internetbedrijven en overheden. Het beheer van en de toegang tot die big data, en de mogelijkheid tot vergaande surveillance, heeft tevens grote gevolgen in een internationale context en voor de relaties tussen staten.

Vanwege genoemde trends is er steeds meer sprake van een ‘governance through the internet’ dan ‘governance of the internet’.

In het kader van deze ontwikkelingen suggereert de WRR daarom een ‘kern’ van het internet te definiëren, een nog af te bakenen set van protocollen en infrastructuur, die als een mondiaal ‘publiek’ goed te beschouwen is: alle applicaties en diensten die via het internet uitgewisseld en gebruikt worden zijn van deze kern afhankelijk, het is het fundament waar het hele bouwwerk, ons volledige digitale leven, op is gebaseerd. Bescherming van deze kern is dan ook te beschouwen als een verlengd nationaal belang voor Nederland. Als het vertrouwen in het functioneren van deze kern beschadigd wordt, en de integriteit ervan wordt aangetast, dan heeft dat vergaande sociaal-maatschappelijke en economische gevolgen.

Ergo: Nederland dient, als onderdeel van de diplomatieke agenda, zich vast te leggen op het verspreiden van een internationale norm waarin de centrale protocollen en –infrastructuur van het internet als een neutrale zone worden aangemerkt.

De WRR wijst er in het slot van haar betoog fijntjes op dat, indien Nederland deze boodschap in internationale gremia gaat verkondigen, men wel een ‘practice what you preach’ adagium moet hanteren. Dit is immers de meest solide basis om als aanjager te fungeren, en bovendien om als klein land serieus te worden genomen en een impact te hebben. Volgens de WRR zal Nederland er dus voor moeten waken niet buiten de kaders van haar eigen internationale boodschap te treden: een wat ISOC Nederland betreft realistisch scenario gezien bijvoorbeeld de actuele wetsvoorstellen om Nederlandse opsporingsdiensten hackbevoegdheden te geven en inlichtingendiensten de ruimte om in bulk via alle mogelijke internetinfrastructuur ongericht data te laten verzamelen. En dat met de Snowden-onthullingen nog vers in het geheugen.

Internet Governance Fora
Zoals gezegd, ISOC Nederland heeft het pleidooi van de WRR omarmd en hoste een workshop over het rapport tijdens het NL-IGF event dat plaatsvond op 1 oktober 2015[5]. Gedurende de sessie, die ingeleid werd door auteur van het rapport prof. Dennis Broeders, werd duidelijk dat er consensus is met betrekking tot een vereist vertrouwen in het functioneren van het internet bij zowel burgers als bedrijfsleven. Maar hoe deze te beschermen, en wat dat in concreto betekent voor lopende wetsinitiatieven, daar hadden de panelleden verschillende gedachten over: Kees Verhoeven (Tweede Kamer D66) en Michiel Steltman (Digitale Infrastructuur Nederland) hadden de meeste sympathie voor de strekking van het WRR betoog en ze onderstreepten waarden als noodzakelijkheid en proportionaliteit met betrekking tot overheidsingrijpen, als ook het belang van transparantie en publiek-private samenwerking. Terwijl Ronald Prins (Fox-IT) meer het accent legde op de (nationale) veiligheidsaspecten en aangaf dat meer bevoegdheden voor politie en veiligheidsdiensten onvermijdelijk zijn, juist om het genoemde vertrouwen te herstellen. Belangrijkste boodschap voor de WRR tijdens dit NL-IGF leek te zijn dat de zogenaamde ‘publieke kern’ verdere afbakening en definitie vereist om concrete vervolgstappen te zetten.

Vervolgens participeerde ISOC Nederland in een door DINL georganiseerd Open Forum bij het global IGF in november 2015 in João Pessoa, Brazilië[6]. Hier werd het WRR verhaal in een internationale ‘multistakeholder’[7] context getoetst, en geplaatst naast een aantal gerelateerde initiatieven. De Indiase Centre for Internet & Society presenteerde over de Manilla Principles[8], die een framework formuleren voor best practices als het gaat om de aansprakelijkheid van intermediairs als hosters en ISPs (‘liability of intermediaries’). Daarnaast was er een pleidooi van de Braziliaanse Centre for Technology and Society voor het geven van een diplomatieke status aan de DNS.

De betekenis van centrale protocollen als BGP en de DNS werden in het Forum verkend, de vraag werd opgeworpen of en zo ja welke fysieke infrastructuur tot de te beschermen neutrale kern zou horen, en de rollen van de verschillende stakeholders (e.g. overheden, law enforcement, intermediairs, IXPs) werden besproken. Eén van de conclusies van het panel waar ISOC Nederland aan deelnam, was dat er generieke principes geformuleerd moeten worden met betrekking tot de interactie tussen overheidsorganisaties en private partijen, om ervoor te zorgen dat ingrepen ten alle tijden noodzakelijk en proportioneel en dat er een duidelijke wettelijke basis voor bestaat. Volgens het panel biedt de IGF bij uitstek een multistakeholder platform om aan dergelijke vervolgstappen te werken.

Hoe nu verder?
Er is tot op heden nog geen officiële kabinetsreactie op het WRR-rapport verschenen. Het Ministerie van Buitenlandse Zaken (BuZa) werkt momenteel aan de totstandkoming van een internetstrategie als onderdeel van de diplomatiek agenda, en het ziet ernaar uit dat de belangrijkste conclusies van de WRR overgenomen worden. BuZa beschouwt het in ieder geval als belangrijk dat de in het rapport omschreven visie nu reeds in het buitenland bekend gemaakt wordt. Enerzijds is het uitgangspunt de economische belangen die er met het internet voor Nederland gepaard gaan: Nederland huist één van ’s werelds grootste internetknooppunten. Daarnaast is internetvrijheid een belangrijk speerpunt van buitenlandbeleid: Nederland is mede oprichter van de Freedom Online Coalitie[9]. En daarom heeft BuZa professor Broeders gevraagd de aanbevelingen van de WRR in o.a. India, Brazilië en de Verenigde Staten (in het laatste geval voorafgaande aan de WSIS +10 high level meeting bij de Verenigde Naties in december 2015) te presenteren.

De mede door de Nederlandse ambassade georganiseerde sessie in december in Sao Paulo, Brazilië, waarvoor ISOC Nederland een uitnodiging ontving want toevallig toch weer in het land, was aanleiding voor positieve feedback van de Braziliaanse Internet Steering Commitee CGI.br[10]. Met name vanwege het vertrouwensaspect en de door de WRR beschreven internationale trends. Brazilië heeft zich na de Snowden-onhullingen, wat voor een schandaal zorgde omdat bleek dat de telefoon van de Braziliaanse president door de NSA getapt was, expliciet opgeworpen als een voorstander van veranderingen: een minder VS-centrisch internet en een duidelijke multistakeholder-agenda voor wat betreft de internet governance vraagstukken waar we als wereld de komende jaren voor staan. De door Brazilië georganiseerde en gehoste Netmundial meeting in 2014[11] is het bekendste voorbeeld tot op heden van deze aanpak geweest.

Toch was er ook kritiek vanuit CGI.br: enerzijds zijn de door de WRR waargenomen trends vooral aan de orde in het ontwikkelde Westen. Voor veel ontwikkelingslanden is de grootste uitdaging het gebrek aan infrastructuur en het feit dat het gebruik van internettoepassingen dus helemaal niet vanzelfsprekend is. De sociaal-economische voordelen van het internet zijn er überhaupt nog niet. Belangrijker echter is dat het betoog volgens CGI.br teveel vanuit de invalshoek van overheden geredeneerd is. En dat het niet aan overheden gelaten kan worden om te bepalen wat te ‘kern’ van het internet is. Dat brengt het risico met zich dat een intergouvernementele organisatie als de ITU de discussie kaapt met alle ongewenste gevolgen van dien. Wat betekent het als er een verdrag tussen staten tot stand komt? Beperkt dat de verdere evolutie van het internet, met name in ontwikkelingslanden?

Dennis Broeders benadrukte dat het geenszins de bedoeling is om één en ander wettelijk in te kaderen en reguleren: het gaat uiteindelijk om het uitspreken door staten dat ze zichzelf beheersen. Ze zullen zich moeten committeren om juist niet, uit hoofde van hun eigen nationale agenda’s, misbruik te maken en de morrelen aan het fundament, de ‘kern’, van het internet. En het afbakenen van die kern is juist iets wat de multistakeholder community op zich zou kunnen nemen, al dan niet in IGF verband.

Na afloop van de meeting met cgi.br zegde het Braziliaanse Ministerie van Wetenschap, Technologie en Innovatie toe, gezien het belang, met een formele reactie op het WRR-rapport te komen.

Tot slot
Het is dus nog wachten op een formele kabinetsreactie en of, en zo ja hoe, de aanbevelingen van de WRR zich inderdaad vertalen in een nieuwe Nederlandse diplomatieke internetagenda. In de tussentijd is afgelopen december de Verenigde Naties’ ‘ten year review of the World Summit on the Information Society (WSIS+10)’ afgerond[12]. Het onzekere mandaat voor de IGF dat was verlopen, is met tien jaren verlengd. En het ‘outcome document’ van de WSIS+10 High Level meeting bevestigt dat mensenrechten online net als offline beschermd moeten worden. Dat is bemoedigend nieuws.

En in Nederland is op 4 januari jl. het kabinet met een ‘kabinetsstandpunt encryptie’ gekomen[13]. Hierin staat onder andere dat:

‘Het kabinet tot taak (heeft) de veiligheid van Nederland te waarborgen en strafbare feiten op te sporen. Het kabinet onderstreept hierbij de noodzaak tot rechtmatige toegang tot gegevens en communicatie. Daarnaast zijn overheden, bedrijven en burgers gebaat bij maximale veiligheid van de digitale systemen. Het kabinet onderschrijft het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven, en voor de Nederlandse economie.

Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen.’

Ook dat klinkt positief. Weliswaar ‘op dit moment’, en dat wil zeggen dat het geen principiële uitspraak is. Het is voorlopig en onder voorbehoud zal de cynicus zeggen, totdat er e.g. een aanslag plaatsvindt. De vraag is bovendien hoe dit committeren zich verhoudt tot de voorgestelde WCIII en de nieuwe Wiv: hoewel er geen intentie is encryptie ex ante te reguleren, staan de opsporings- en inlichtingendiensten in de verschillende wetsvoorstellen hackbevoegdheden en de verplichte medewerking van aanbieders van ICT-producten en -diensten ter beschikking om toch toegang tot ontsleutelde gegevens te krijgen.

Kortom, het stof is nog niet neergedaald en het laatste woord over onderwerpen als privacy, mensenrechten, netneutraliteit, (nationale) cybersecurity en bevoegdheden van opsporings- en inlichtingendiensten is niet gezegd. En het ‘Publieke kern van het internet’ rapport blijft dus onverminderd actueel.

Bastiaan Goslings
ISOC Nederland bestuurslid

[1] http://www.wrr.nl/publicaties/publicatie/article/de-publieke-kern-van-het-internet-1/

[2] https://isoc.nl/politiek/de-wiv-deel-2/

[3] https://www.rijksoverheid.nl/actueel/nieuws/2015/12/22/wetsvoorstel-computercriminaliteit-bij-tweede-kamer-ingediend

[4] https://www.ntia.doc.gov/press-release/2014/ntia-announces-intent-transition-key-internet-domain-name-functions en https://edri.org/safeharbor-the-end/

[5] http://nligf.nl/upload/pdf/Programma_NL_IGF_-1_okt_2015.pdf

[6] http://www.intgovforum.org/cms/openforums-2015/details/34/493/open-forums-dinl,-digital%20-infrastructure%20-association

[7] http://icannwiki.com/Multistakeholder_Model

[8] https://www.manilaprinciples.org/

[9] https://www.freedomonlinecoalition.com/

en https://www.mensenrechtenwereldwijd.nl/mensenrechtenbeleid/detail/9/3.-nederlandse-prioriteiten : ‘De bevordering van zowel de nationale als internationale digitale veiligheid moet in balans blijven met een vrij internet. Digitale vrijheden en cybersecurity versterken elkaar alleen wanneer zij in samenhang worden aangepakt (…) De door Nederland en de VS opgerichte Freedom Online Coalitie (FOC) – waar inmiddels 19 landen uit 5 continenten lid van zijn –benadrukt wereldwijd het belang van digitale rechten.’

[10] http://www.cgi.br/about/

[11] http://netmundial.br/

[12] Zie voor een verslag https://www.internetsociety.org/blog/public-policy/2015/12/wrapping-successful-wsis10-review

[13] http://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2016Z00009&did=2016D00015