ANS

Het leven van Brenno de Winter leest als een jongensboek, maar dan wel een met veel ingewikkelde, technische termen. De ICT-journalist verschijnt regelmatig in de media wegens hacks van de OV-chipkaart en onlangs nog KPN. 'Ik veroorzaakte een groot bloedbad voor de overheid.'

Tekst: Jasmijn Lobik en Joeri Pisart Foto's: Joeri Pisart

Met een mond vol tagliatelle grijnst Brenno de Winter (40): ‘Stoer hè?’ Om de haverklap grijpt hij naar zijn smartphone om de NOS en GeenStijl te woord te staan over de malaise bij KPN. Over luttele minuten spreekt hij bij het ANSdebat in LUX, op exact hetzelfde moment verschijnt hij op het achtuurjournaal. De Winter heeft namelijk binnen een paar uur voor elkaar gekregen wat een team van honderd man in twee weken niet lukte: de hackers van KPN achterhalen en met ze spreken. ‘KPN moest een gigantisch team 24 uur per dag aan het werk zetten om het lek te kunnen dichten, terwijl het in feite slechts een grapje van een stel jonge hackers was.’ Dat De Winter hen wel te pakken kreeg, was geen kwestie van dom geluk. Mysterieus glimlachend: ‘Ik bewandel andere wegen dan politie en justitie.’ Zelf maakt De Winter ook furore als hacker. Vanuit journalistiek oogpunt toont hij het gemak waarmee overheidsgegevens kunnen worden gestolen en veranderd. Begin 2011 stond heel Nederland op zijn kop omdat hij de OV-chipkaart kraakte, waar hij strafrechtelijk voor werd vervolgd. Vervolgens wees de journalist op het gevaar van slecht beveiligde certificaten, waardoor persoonsgegevens van onder andere DigiD en de Belastingdienst praktisch op straat lagen. De leek snapte niets van de details, maar begreep dat er iets goed mis was. In de Tweede Kamer heerste het idee dat beroerde beveiliging slechts incidenteel voorkwam, daarom zette De Winter Lektober in gang. Dit hield in dat hij afgelopen oktober samen met de redactie van ICT-site Webwereld.nl dagelijks een digitaal lek aan het licht bracht. Nietsvermoedende overheidsinstanties vielen ten prooi aan de journalist. Vanwege zijn toewijding en strijdvaardigheid in dergelijke kwesties werd hij onlangs verkozen tot Journalist van het Jaar.

Had u verwacht dat u deze prijs zou winnen? ‘Niet bepaald, ik was er niet eens mee bezig. Opeens werd ik gebeld door Villamedia met het goede nieuws. Ik heb wel keihard gewerkt en oprecht geprobeerd technische zaken van maatschappelijk belang in het publieke debat te plaatsen. Toch verraste het me, want het was de eerste keer dat de titel naar een ICT-journalist ging. Dat betekent dat mijn vakgebied niet meer vies, maar mainstream is. We vinden geld belangrijk, we vinden olie belangrijk en nu vinden we ook eindelijk technologie belangrijk. In mijn ogen is dit niet meer dan terecht.’

Wat is uw mening over de huidige ICT-journalistiek? ‘Het is nog altijd de industrie van de fanboys, dat is af en toe jammer. Men is voor of tegen Apple en meer niet. Wel is er de laatste jaren een nieuwe lichting journalisten opgekomen. De kwaliteit van verslaggeving stijgt, toch worden niet alle aspecten van de ICT belicht. Vanuit Webwereld.nl kijken we ook naar de sociaal-maatschappelijke kanten, andere media beschrijven vooral het technische verhaal.’

Van nature is De Winter een rasechte nerd. Hij ontwierp software, gaf projectleiding, testte computersystemen en voerde beveiligingsaudits uit, maar stond niet stil bij de impact die technologie kan hebben. Met bijna religieuze overtuiging hield hij zich bezig met futiliteiten als de strijd tussen Windows en Linux. ‘Op een gegeven moment besefte ik me dat dit achterhoedegevechten zijn. In de samenleving doen deze er niet toe, privacy wel. Dit besef kwam voor mij na 11 september.’

Wat voor rol speelden de aanslagen op 11 september? ‘Als gevolg hiervan werd in Amerika de Patriot Act er doorheen gejaagd. Die wetgeving had tot doel terreur te bestrijden, maar perkte massaal burgerrechten in. Onder minister van Justitie Donner en daarna Hirsch Ballin klonken ook hier geluiden voor zulke enge wetgeving. Journalisten hebben de taak daar kritische vragen bij te stellen. Het viel me op dat de ICT-journalistiek op dat moment maatschappelijk niets bereikte. Daar wilde ik verandering in brengen. Sindsdien probeer ik de feiten boven water te krijgen en aan te tonen wat er niet deugt. Mijn rol daarin raakte in een stroomversnelling na het herhaaldelijk hacken van de OV-chipkaart.’

Wordt uw kritiek op de OV-chipkaart serieus genomen? ‘Totaal niet. De directie van Trans Link Systems, het bedrijf dat de kaart ontwikkelt, luistert naar niemand. Niet naar vervoersbedrijven, niet naar klanten, niet naar journalistiek, niet eens naar kritiek vanuit de overheid. Als een rapport over de beveiligingsproblemen van de kaart tegenvalt, wordt slechts de helft gepubliceerd. De andere helft blijft zelfs voor het ministerie geheim. Abonnementshouders, waaronder studenten, zijn daarvan de dupe. Het omaatje dat af en toe reist wordt aan alle kanten genomen, ondertussen staat het bedrijf met vingers in de oren hard “lalala, er is niets aan de hand” te schreeuwen. Dat vind ik verschrikkelijk. Toen ik deze praktijken aan de kaak stelde door de kaart te hacken, werd ik zelfs strafrechtelijk vervolgd.’

U pleegde een strafbaar feit, dus die zaak zal u niet hebben verbaasd. Ontsteld: ‘Jawel.’

Waarom? Plotseling geagiteerd: ‘Nou, ik had niet verwacht dat ze een zaak met zo’n lage slagingskans zouden doorzetten. Dat de directie puur om haar eigen ego te strelen een compleet ambtelijk apparaat op een journalist afstuurt. Een rechercheteam heeft vijf maanden onderzoek naar mijn werk gedaan. Dat bracht enorme kosten met zich mee voor de belastingbetaler, puur omdat de reputatie van Trans Link Systems belangrijker werd geacht dan het oplossen van problemen. Hoe asociaal ben je dan?’

U kreeg naar aanleiding van het proces veel bijval. ‘Ik kreeg idioot veel bijval’, lacht De Winter. ‘Tijdens die strafzaak voelde ik me erg alleen, het was fijn om te merken dat er mensen achter me stonden. Om de juridische kosten te betalen startten NU.nl, GeenStijl, Webwereld en PC-Active een inzamelingsactie. Binnen een uur was – pats, boem – de benodigde 2.500 euro binnen, dat bedrag steeg tot 7.500 euro.’

Deze overweldigende steun sterkte De Winter in het idee dat zijn ‘criminele’ acties noodzakelijk waren. Bij de kwestie rondom de certificaten van DigiNotar heerste het idee dat slechte beveiliging slechts incidenteel voorkwam. Toen besloot de journalist dat dit het juiste moment was om aan te tonen wat voor puinhoop het in Nederland was door 31 dagen lang digitale lekken te publiceren. Lektober was geboren. ‘Het werd natuurlijk een groot bloedbad voor de overheid. DigiD werd afgesloten en complete sites van gemeentes werden uit de lucht gehaald.’

Wanneer De Winter praat over het hacken, klinkt hij als een ondeugend schooljongetje dat trots zijn kattenkwaad opbiecht: ‘Een enkele gemeente bleef glashard ontkennen dat ze waren gehackt. We hebben ze drie keer gepakt, pas toen we een bericht eindigden met “en morgen publiceren we de e-mail van de gemeente Horst aan de Maas” gaven ze toe.’

Wat vindt u van die stelligheid? ‘Onbegrijpelijk. Het is bijna alsof ik bij de wethouder en burgemeester de onderbroek naar beneden moest trekken. Het is simpel, zij beheren onze data, wij hebben het recht dat de beveiliging ervan adequaat gebeurt. Als gemeentes dit nalaten, moet die puinhoop zichtbaar worden gemaakt.’

Toch blijft het fout gaan. Hoe kan dat? ‘Waarom zouden organisaties hun best doen? Dat kost geld en moeite terwijl ze toch niet worden gepakt. Bij problemen met de beveiliging krijgen ze boetes die dermate laag zijn dat deze niet serieus worden genomen. Het College bescherming persoonsgegevens is een tandeloze tijger van tachtig medewerkers die hele bedrijven moet doorlichten. Zet dat af tegen vijfhonderd animal cops en het is meteen duidelijk hoe serieus de regering privacy neemt. No one gives a fuck.’

De overheid neemt te weinig verantwoordelijkheid. ‘Helaas is dat het geval, daarom blijf ik strijden voor openbaarheid van bestuur. Als iemand kritisch is, schieten overheden meteen in een stuip. Doordat bijvoorbeeld gemeentes problemen blijven ontkennen, raken we in een negatieve spiraal. Ze verbeteren niets, worden minder transparant en bekritiseren mij. Terwijl ik slechts mijn werk doe.’

Staat u door de defensieve houding van de overheid anders in de journalistiek dan toen u begon? ‘Ik was optimistisch en dacht dat alles meteen ten goede zou veranderen. Daarin ben ik zeer pessimistisch geworden. Er spelen nu zaken die pas over vijf jaar een probleem vormen en daarom geen aandacht krijgen, terwijl ze belangrijk zijn voor alle burgers. Een datalek is nu geen ramp, dat wordt het pas als iemand met die data aan de haal gaat. Ondertussen gaat de overheid maar door met het verzamelen van gegevens, terwijl we weten dat zij deze niet kunnen beheren. Vingerafdrukken worden opgeslagen, als deze worden gestolen en misbruikt is de schade onherstelbaar. Je kunt de overheid niet om nieuwe vragen.’

Wat is uw doemscenario? ‘Dat er een regime aan de macht komt dat deze data gaat misbruiken, waardoor Nederland vervalt tot een staat die dicht schuurt tegen een dictatuur. De digitale infrastructuur en juridische constructies waarmee kritiek kan worden gesmoord hebben we inmiddels al gebouwd. Nu is het een kwestie van wachten tot er een partij opstaat die zich keert tegen zijn eigen volk.’

Is dat gevaar niet erg hypothetisch? ‘Nee hoor, het misbruiken van gemeenteadministraties door de nazi’s is helemaal niet hypothetisch. In mijn ogen toont de registratie van reisgegevens met de OV-chipkaart veel gelijkenis met de Stasi, die controleerde wie er allemaal met de bus reisde. Dat gebeurde ook zeer grondig, systematisch en op dat moment vanuit een geldig regime. Het was gunstig als je bij de goede kant hoorde. Als je aan de verkeerde kant zat, zoals mijn familie, was dat dodelijk. Mijn vader is getraumatiseerd door de Tweede Wereldoorlog, dat is een belangrijke reden waarom ik dit doe. Het moet niet nogmaals gebeuren.’

Wat hoopt u dat er verandert? ‘Ik wil dat Nederland een land wordt dat zich bewust is van de risico’s van ICT. Tevens moeten mensen in gelijke mate toegang hebben tot technologie, waardoor zij zich even goed kunnen ontwikkelen. Nu kan het gebeuren dat de PvdA letterlijk aangeeft niet te weten wat Tor is, maar wel dat het verboden moet worden. Daar hoort iedere journalist van wakker te schrikken.’

Kijk hier voor de andere artikelen uit de maart-ANS