Kinderprivacy en Mozilla op de stoel van de rechter

Goedemorgen! Is het nog van deze tijd dat ouders in hun eentje mogen bepalen hoe en wanneer hun kind op internet verschijnt? En: een beveiligingsbedrijf brengt Mozilla in een lastig parket.

Hoeveel privacy heb je eigenlijk, als kind in deze eeuw? Toen de auteurs van deze nieuwsbrief nog minderjarig waren, zag de wereld er fundamenteel anders uit dan nu. Dat zal voor de meeste lezers niet anders zijn.

Schattige babyfoto’s zijn van ons niet op internet te vinden. Niet dat ze niet bestaan, maar alle foto’s met bolle wangen en pruillipjes liggen netjes ergens op een zolder te vergelen. Dat gaat inmiddels anders.

The Atlantic interviewde een aantal kinderen – enkel genoemd bij hun voornaam – die zichzelf voor het eerst opzochten via Google. Vaak verwachtten ze daar niet al te veel van; ze hebben immers zelf nog niet zoveel op internet gezet. Maar al snel ontdekken ze dat hun ouders en anderen dat wel al hebben gedaan.

Kinderfoto’s, maar ook scores die zijn behaald bij sporten en zelfs complete schoolopdrachten bleken terug te vinden. Allemaal zonder dat die kinderen was gevraagd of zij dat eigenlijk wel online wilden hebben.

De reacties van de kinderen verschilden, van boos en teleurgesteld tot enthousiast: kijk eens, wat er allemaal van mij te vinden is op internet!

Juridisch hebben ouders die ongevraagd kinderfoto’s plaatsen ook in Nederland de wet aan hun zijde. Onder de zestien jaar hebben ouders of verzorgers de zeggenschap over de privacyrechten van hun kinderen.

Maar is dat eigenlijk nog wel van deze tijd? Beslissingen die je ouders op je vijfde maken – bijvoorbeeld om een awkward filmpje van jou op internet te plaatsen, met je naam pontificaal ernaast – kunnen de rest van je leven gevolgen hebben. Als dat filmpje vervolgens viral gaat, bijvoorbeeld.

Daarmee hebben keuzes die je ouders over jou als minderjarige maken gevolgen voor je meerderjarige bestaan. Maar probeer dan je privacyrechten maar eens uit te oefenen over iets dat zichzelf al over internet heeft verspreid.

Ex-Google-ceo Eric Schmidt stelde in 2013 al schertsend voor dat een ‘delete’-knop voor het internet het op je achttiende mogelijk zou maken om alles wat daarvoor over jou is verzameld en gepubliceerd, te laten verwijderen.

Dat zou natuurlijk niet werken. Maar misschien moeten we het omdraaien, en zouden ouders kunnen beseffen dat foto’s en video’s die ze nu delen, over 20 jaar misschien nog steeds wel terug te vinden zijn.

Het groene slotje in je browserbalk geeft een versleutelde verbinding aan: ja, dit is echt de site van jouw bank, hier kun je veilig je wachtwoord invullen. Een fundament onder het moderne internet – encrypt all the things! Desondanks zitten de makers van Firefox nu in een benarde positie dankzij ditzelfde systeem.

Wie op dat groene slotje klikt, ziet details van het onderliggende cryptografische certificaat. Deze wordt uitgegeven door een certificaatautoriteit (CA), een veelal private organisatie die de authenticiteit van de website verklaart. En op wiens woord de gebruiker dus af moet kunnen gaan.

Diginotar was een Nederlandse CA waarvan in 2011 bleek dat certificaten onjuiste informatie over Google-domeinen bevatten. Zo konden duizenden Iraanse Gmail-gebruikers mogelijk afgeluisterd worden – voor sommige onderzoekers reden om de hack toe te schrijven aan de Iraanse regering.

Voor de Nederlandse overheid was de Diginotar-hack een wake-up call. Ook overheidsdiensten en DigiD leunden namelijk op deze certificaten. Door slordigheid van een klein Nederlands bedrijf was de verbinding van internetters wereldwijd plotseling niet meer te vertrouwen, maar dus ook in eigen land zorgde dit voor risico’s. Niet lang na de hack kwam de eerste nationale cybersecurity-strategie en werd het kleine GovCERT omgetoverd tot het Nationaal Cyber Security Centrum.

Gelukkig hoeven individuele internetters niet van elke CA het beveiligingsniveau te kunnen inschatten. De makers van de Chrome, Firefox, en Edge-browsers doen dit voor hen met een witte lijst. Maar dat roept nieuwe vragen op, doordat browsermakers nu vooral kijken naar technische waarborgen. Dat moet een nieuw Diginotar voorkomen. Maar wat als een organisatie zijn beveiliging prima op orde heeft, maar ethische vragen oproept?

Mozilla, de organisatie achter Firefox, heeft recent een CA-aanvraag gekregen van DarkMatter. Dit Amerikaanse beveiligingsbedrijf wil zelf SSL-certificaten uit kunnen geven. De lijst van Mozilla wordt door veel Linux-distributies ook gebruikt.

Oplettende lezers kennen DarkMatter uit de vorige editie van Cybernieuwtjes. Het is namelijk het bedrijf achter Project Raven, waarin voormalig NSA-medewerkers journalisten en activisten afluisterden in opdracht van de Verenigde Arabische Emiraten.

De aanvraag stelt Mozilla voor een dilemma. DarkMatter is een prima kandidaat voor de witte lijst van Firefox, althans volgens de criteria waarmee een CA-aanvraag nu getoetst wordt. Die gaan namelijk over maatregelen om een Diginotar-scenario te voorkomen. En niet over de politieke of economische belangen die een bedrijf kan hebben om beveiligde verbindingen van gebruikers juist te saboteren.

Hiervoor is een precedent. In 2015 werd een Chinees staatsbedrijf van de witte lijsten van Chrome en Firefox gehaald omdat deze betrapt werd op het uitgeven van valse Google-certificaten, mogelijk met surveillance als doel. Maar in dit geval is het blazoen van DarkMatter nog schoon, althans in de rol als certificaatautoriteit.

Mozilla wordt dus gedwongen om zich uit te spreken: zo willen we dat het internet gebruikt wordt, en zo niet. Ook in dit technische systeem moeten normatieve keuzes gemaakt worden, zo blijkt dus. Het wordt interessant om te zien of Mozilla haar criteria voor CA’s zal aanpassen, en welke daarvoor in de plaats komen. Internetgebruikers delegeren hun vertrouwen aan de witte lijst in hun browser, laten we goed in de gaten houden hoe browsermakers daarmee omgaan.

Een leuk tweetje in reactie op een Brits plan om Facebook aan een gedragscode te onderwerpen.