privacy Archieven - Pagina 2 van 4 -

Gemeente Amsterdam: smart city?

Amsterdam is innovatiestad van Europa 2016. Die prijs is uitgereikt voor het innovatie-ecosysteem. Maar wat is een stad die zélf innoveert? Leidt dat tot een ‘smart city’? En waar begin je dan: bij het oplossen van bestaande problemen of met experimenteren? Ger Baron, chief technology officer (CTO) van de stad Amsterdam: “Er is een kennisachterstand als het gaat om technologie.”

“Gemeente Amsterdam heeft een CTO ingehuurd met twee doelstellingen: hoe kan de stad zicht houden op en gebruik maken van alle technologische ontwikkelingen; daarnaast heeft technologie als verschijnsel ook impact op de stad; hoe kan de stad proactief omgaan met ontwikkelingen, denk aan drones of robotisering. Het grootste deel van de aandacht van het team gaat uit naar feitelijke vraagstukken oplossen met nieuwe technologie.”

Google als concurrent van de overheid?

“Organisaties zijn gebaseerd op de principes van de tweede industriële revolutie: centralisatie en standaardisatie. In de digitale revolutie ontstaan niet alleen nieuwe diensten en producten, maar gaan organisaties en zelfs sectoren op de schop, kijk naar energiebedrijven. Transformatie vindt overal plaats, dus ook bij de gemeente.” Ook de gemeente heeft sterk met deze disruptie te maken, aldus Baron: “We worden nog niet weggeconcurreerd, maar Google investeert in z’n labs met het idee dat ze beter overheid kunnen spelen dan de overheid zelf. En goed voorbeeld hiervan is het bedrijf Sidewalk Labs. Verkeersmanagement was een overheidstaak, maar TomTom en Google vullen op dat vlak een deel van de gemeentelijke taken in.”
Innovatie heeft ook een sociale component. Soms is sociale innovatie zelfs een voorwaarde om technologische innovaties goed te laten slagen. Van wie is de stad en hoe functioneert de besturing van de stad-als-organisatie eigenlijk? Baron: “In het digitale tijdperk verdwijnt bijvoorbeeld geleidelijk het verschil tussen centrale en decentrale overheid. Het leidt ook tot de vraag wat een overheid zelf nog moet doen. Waarom kan ik een bedrijf als Randstad niet mijn uitkering laten regelen?”

Schaarste als kader voor innovatie

smart city De stad Amsterdam piept en kraakt – schaarste is een van de meest belangrijke problemen, iets wat je terugziet in een zwaarbelaste openbare ruimte. Het afval wordt bijvoorbeeld opgehaald volgens vaststaande rijschema’s; volle containers en zwerfafval kan je online melden, maar het hele systeem is niet real time, niet vraaggestuurd en niet zelf-lerend. Zijn dit de prioriteiten van een smart city?
“Met innovatie kan je die problemen te lijf gaan en de kwaliteit van de stad verbeteren. Gebiedsontwikkeling was voorheen een kwestie van grond verkopen, bebouwen en zorgen dat er mensen wonen. Je kunt veel bereiken als je veel meer monitort met het doel doorlopend te verbeteren. Als het gaat om het afval: we hebben alle aanbieders van slimme technologie al langs gehad. Misschien is de oplossing niet ‘anders rijden’, maar grotere containers neerzetten op die plekken waar ze altijd vol zijn. Dat is behoorlijk voorspelbaar; het is de vraag of vraaggestuurd ophalen het meest slimme is. Je zult vermoedelijk een combinatie uitkomen van dynamische routes en variabele containers. Containers in Zuid, West en Nieuw-West hebben al sensoren, waarmee wordt geoefend. Bij de inzet van personeel moeten we rekening houden met de cao. Oplossingen zitten niet alleen in algoritmen. Een ander deel van de dagelijkse realiteit bestaat uit politiek, waar ook zaken als economische en sociale waarde meespelen. Ik krijg als CTO de ruimte om dit soort dilemma’s voor te leggen; de beslissingen worden uiteindelijk op politiek niveau genomen. Het wordt pas lastig als discussies over innovatie op basis van verkeerde informatie worden gevoerd – denk aan misverstanden over connectiviteit. Wat is LoRa, wat is glasvezel, wat is 4G of 5G? Er is een kennisachterstand als het gaat om technologie. Verder varieert het per bestuurder en per thema hoe hoog technologie op de agenda staat. De kijk op technologie verschilt per domein. De gemeente Amsterdam is een organisatie met ontzettend veel rollen: we kopen voor 800 miljoen euro per jaar aan zorg in, in het mobiliteitsdomein gaat 600 miljoen per jaar om. We zijn bestuurder op afstand van het Havenbedrijf dat ook iets met energie doet.”

Innovatie-competenties opbouwen

Kennis over innovatieprocessen en technologie is cruciaal. Baron heeft met zijn team daarom ook gewerkt aan de opbouw van drie competenties. “Op de eerste plaats zijn we aan de slag gegaan met de data-component. We hebben een data-lab opgezet waar data scientists aan het werk zijn. Op de tweede plaats hebben we ingezet op de ontwikkeling van methodieken. Wat kan je bereiken met lean, scrum of design thinking? Hiervoor hebben we verschillende gespecialiseerde teams samengesteld. Dat werkt beter dan even snel een pilot uitvoeren. Als derde punt hebben we de samenwerking onder de loep genomen – iets waar overheden slecht in zijn. We kunnen bijvoorbeeld veel verbeteren in aanbestedingen, bijvoorbeeld de leveranciersrelatie te veranderen van zuiver transactioneel – het plat inkopen van een dienst – naar relationeel – het samen realiseren van oplossingen.”
Net als in oudere bedrijven heeft ook gemeente Amsterdam te maken met legacy – de last van verouderde systemen die niet zo maar vervangen kunnen worden – te groot, te duur, te complex. Die legacy kan innovatie, vernieuwing en wendbaarheid in de weg zitten en steeds meer organisatie die dit probleem ervaren kiezen er voor om innovaties buiten de organisatie op te zetten. “We voeren klassieke innovatieprojecten uit, denk aan de ontwikkeling van gepersonaliseerde gezondheidszorg. We hebben ook een categorie innovaties die direct gelinkt zijn aan problemen, bijvoorbeeld overlast in een uitgaansgebied. De derde is de radicale innovatie, waarbij we de kans krijgen en nemen om de gemeente opnieuw te ontwerpen. We doen dat onder meer op het vlak van dienstverlening en nog een aantal andere thema’s.” Daarbij grijpt Amsterdam terug op design thinking: terug redenerend vanuit business outcomes of verwachtingen van burgers naar een ontwerp. De gemeente subsidieert nu wasmachines voor minima, maar misschien moet je wel inzetten op de behoefte aan schone kleding en kan je dat oplossen met een gedeelde machine, aldus Baron.

Slimme stad = transparant bestuur

Wanneer de processen in de slimme stad data-driven worden, wordt ook het functioneren van het bestuur transparanter. Zijn ambtenaren bang voor de slimme stad? “Ik zelf ben daar niet bang voor. Tot nu toe bezit de overheid een informatievoorsprong. Nu wordt dat omgedraaid, burgers weten beter wat de overheid doet. Dat is onontkoombaar. Er is op dit moment een gezond wantrouwen tegen de overheid, juist door dat gebrek aan transparantie. Boston maakte tijdens een periode van grote sneeuwoverlast aan klagende burgers inzichtelijk hoe de beperkte capaciteit aan sneeuwschuivers werd ingezet. Dat zorgt voor veel begrip. Maar transparantie vraagt soms ook om duiding – denk aan het naast elkaar leggen van begrotingen van steden en de politieke keuzes die worden gemaakt over het takenpakket van een stad.”
In hoeverre is Amsterdam al een slimme stad? Er is nog een lange weg te gaan, aldus Baron. Ook de stad verkeert, net als vrijwel iedere andere organisatie, in een digitale transformatie: zowel de stad – burgers, omgeving – als het bestuur. “Je kunt het zien als een reis. We weten nog niet wat de goede oplossingen zijn, we zijn nog niet data-driven of volledig connected. Onze straatlantaarns schrijven we in vijftien jaar af, dus die kan je niet zo maar even vervangen door ‘slimme palen’. Bij het inkopen van diensten en producten zijn we wel vooruitgegaan: we kijken daar in termen van oplossingen en we denken beter na over het verkrijgen van feedback uit de stad over processen. Maar zeker is dat er de komende jaren een hoop gaat veranderen.”

Tweeten

Lees ook: 'Van wie is de slimme stad?'

Volg je connected baby op je smartphone

Alles wordt connected: auto’s, huizen, apparaten, speelgoed. Ook al zijn we zelf als mens ook vrijwel de gehele dag online, niemand zit te wachten op connected humans – bijvoorbeeld via sensoren in ons lichaam. Maar dieren en baby’s gaan dat pad effenen. Eerst met wearables, sensoren en slimme apps.

starling2

De Consumer Electronics Show in Las Vegas (6-9 januari) is het jaarlijkse hoogtepunt voor de gadget freaks en fans. Vorig jaar ging CES vooral over wearables, connected cars, het slimme huis en virtual reality. Gadgets zijn over het algemeen alleen duurzaam succesvol als ze gemakkelijk zijn in het gebruik en een duidelijke toevoegde waarde hebben. Niemand is afhankelijk van een smartwatch, maar inmiddels kan bijna niemand meer zonder navigatie-app. Innovaties hebben ook een hoge adoptiekans als ze appelleren aan onze angsten. Dat is precies waar de Baby Tech Summit – onderdeel van de CES – op aanhaakt. Er worden zelfs awards uitgereikt voor de beste baby tech innovaties.

Angst en baby’s, dat gaat goed samen, want baby’s zijn kwetsbaar. Uitvinders en fabrikanten doen hun uiterste best om ouders er van te doordringen: zonder technologie stelt u uw kind onnodig bloot aan allerlei gevaren. Niemand wil later het verwijt krijgen dat problemen voorkomen hadden kunnen worden als er maar tijdig was ingegrepen. Bijvoorbeeld door de taalontwikkeling van het kind te monitoren, door de voeding te testen of door een sensor aan het kind te bevestigen die aangeeft dat je kind nog in de auto zit – terwijl jij door een shopping mall zwerft. Amerikaanse ouders worden er fijntjes op gewezen dat er iedere negen dagen een kind door oververhitting overlijdt omdat het per ongeluk is achtergelaten in een auto. De Evenflo SensorSafe geeft een opvallende melding als je op je plaats van bestemming bent gekomen, om je er aan te helpen herinneren dat je kind nog in zijn of haar zitje zit. Een variant op deze sensor is de Buddy Tag, die er voor zorgt dat je zoekgeraakte kind kan worden teruggevonden (‘ideal during outings with kids to amusement parks or shopping malls’). De tag geeft ook een signaal af als je kind in het water is gevallen. Daarnaast heeft de Buddy Tag een ‘Panic Button’ voor het kind zelf.

Starling3 Om de groei en ontwikkeling van je kind te bewaken kan je aan de slag met Starling, een sensor die je vastmaakt aan de kleding van je kind. Starling belooft van de opvoeder een betere ouder te maken – en tevens het kind slimmer. De sensor telt het aantal woorden dat het kind dagelijks hoort. Hoe, daarover is Starling niet heel erg duidelijk. De bijbehorende smartphone app komt op basis van de meetcijfers met suggesties om meer interactie met je kind aan te gaan. Zo wordt voorkomen dat ouders meer met zichzelf of hun smartphone bezig zijn dan met hun kleintje. Inderdaad, in Starling zit een tegenstrijdigheid. Dat geldt trouwens voor veel smart tech gericht op het opvoeden van kinderen: voor de ouders is er een app. De app Cognoa gaat een stuk verder en neemt de gehele ontwikkeling van het kind als uitgangspunt. Met Cognoa kunnen ouders voorkomen dat ze te laat om hulp vragen, waardoor stoornissen te laat worden gediagnosticeerd. De app is een virtuele test: ouders beantwoorden een aantal vragen en moeten twee korte video’s uploaden. Op basis van machine learning checkt de app of er ontwikkelingsachterstanden zijn of aanwijzingen voor autisme. De app presenteert een rapport dat ouders kunnen overleggen aan een arts. De sociale component zorgt er voor dat ouders met vergelijkbare vragen contact met elkaar kunnen houden. ‘Peace of mind for great parents’, aldus de app: een echte angst-remmer.

Vorig jaar werd op CES het internet of pets (IoP) geïntroduceerd. FitBark, PetPace, Nuzzle en PitPat zijn gps-trackers voor dieren, meestal in de verkoop als ‘smart collars’ voor honden en vorig jaar een succes op CES. WonderWoof stelt je in staat op je smartphone te zien hoe gezond je viervoeter is, maar ook waar de andere hondenvriendjes zich bevinden. Veel van wat je voor dieren kunt maken, kan je ook toepassen op kids. En over het algemeen geldt: monitoren is gemakkelijker dan opvoeden; daarom zijn er veel sensoren en apps die de fysieke activiteit en ontwikkeling van je kind kunnen monitoren.

Sommige apps nemen zelfs het verwisselen van een luier als uitgangspunt om allerlei gegevens te verzamelen. The Smart Changing Pad is een verschoningskussen met ingebouwde draadloze weegschaal en touch screen. Gewicht, het aantal voedingen en het aantal schone luiers zijn genoeg voor de bijbehorende smartphone app om ouders het inzicht te geven of hun kind wel op een goede en gezonde wijze eet en groeit. Ideaal voor ouders die op het werk toezicht willen houden op de fysieke verzorging van hun kind: wordt onze kleine niet vetgemest door de nanny? En voor alle connected baby-tech geldt natuurlijk: wie kijkt er mee met de verzamelde data?

Fisher Price, ook bekend van gehackt kinderspeelgoed, heeft een connected kinderstoeltje in het assortiment. Stop je kind in het stoeltje en zorg met je smartphone voor verschillende wiegstanden, zestien verschillende muziekjes en geluiden uit de natuur en een mobile die rondjes draait. Vermoedelijk ook een succes bij vaders. En met Nima weten voedselpuristen binnen twee minuten of het eten dat je aan je kind wilt geven, wel of geen gluten bevat. Ook hier is de hardware gekoppeld aan een smartphone app. Tests voor melkeiwit en pinda’s zijn in de maak.

connected cattle De agrarische sector is al een paar stappen verder en maakt naast smart tags ook gebruik van smart pills. Quantified Ag richt zich met sensoren op het monitoren van de groei van slachtvee; Vital Herd heeft een smart pill ontwikkeld (een zogenaamde insidable) die het hele leven in de maag van een melkkoe blijft en daar informatie afgeeft over temperatuur, maagzuur, hormonen en zuurstofinname. Het zal nog even duren, maar hij komt er aan: de insidable voor je opgroeiende kind. Zodat je zeker weet dat je alles uit je kind haalt wat er in zit.

insidable for kids

Tweeten

Privacy in Europa, achterdeurtjes in de VS

Het Hof van Justitie van de Europese Unie heeft op 6 oktober de Safe Harbour beschikking van de Europese Commissie ongeldig verklaard. Aanleiding voor deze uitspraak is de zaak die de Oostenrijkse Maximillian Schrems had aangespannen tegen Facebook. Volgens Schrems hebben de onthullingen van Edward Snowden aangetoond dat de VS geen passend beschermingsniveau bieden voor persoonsgegevens tegen Amerikaanse inlichtingendiensten.

De Europese privacywetgeving stelt dat het verboden is om persoonsgegevens terecht te laten komen (voor opslag en/of bewerking) in een land buiten de EU als dat land niet voldoet aan de Europese maatstaven voor privacybescherming.
Omdat Europese bedrijven en burgers massaal zaken doen met Amerikaanse bedrijven is in 2000 het Safe Harbour verdrag gesloten. Amerikaanse bedrijven die de Safe Harbor richtlijnen respecteren, krijgen een uitzonderingspositie. Dat betekent dat Amerikaanse bedrijven – van Apple tot Facebook en van Google tot Amazon – alleen Europese persoonsgegevens mogen verwerken in Amerikaanse datacenters als ze voldoen aan die regels.

Tegenover de Safe Harbor Act staat de in 2001 opgetuigde Patriot Act (een reactie van de Bush-regering op 9/11). Een belangrijke bepaling in de Patriot Act is dat Amerikaanse bedrijven die actief zijn in andere landen, toegang moeten geven tot hun gegevens – zonder gerechtelijk bevel. De Patriot Act en de Safe Harbor Act stonden uiteraard met elkaar op gespannen voet.

Circa 5.500 bedrijven slaan persoonsgegevens op in de VS. Wat de gevolgen zijn van het niet langer geldig zijn van de Safe Harbor Act, is onduidelijk. Het is mogelijk dat nationale privacy-toezichthouders nieuwe eisen gaan stellen aan Amerikaanse bedrijven die gegevens van Europese burgers verwerken, zoals het onderbrengen van data in Europese datacenters. Ze kunnen daartoe worden opgeroepen door Europese burgers en regeringen.

Veel bedrijven hebben de afgelopen jaren gekozen voor het geheel of gedeeltelijk afstoten van hun serverpark waarop data en/of applicaties draaien. Soms is daarbij de overstap gemaakt naar nieuwe, cloudgebaseerde applicaties van Amerikaanse aanbieders die voldoen aan de Safe Harbor Act. Het vervallen van die privacyregelingen zou voor deze bedrijven verstrekkende gevolgen kunnen hebben. Amerikaans cloudproviders zouden hun datacentercapaciteit in Europa moeten uitbreiden en datasets zouden moeten worden verplaatst naar Europa. Denk daarbij niet alleen aan Google of Apple, maar ook aan Salesforce (een partij die onder meer cloudgebaseerde CRM-platforms levert), of aan Amazon (dat ook in Europa zijn vleugels wil uitslaan). Een alternatief voor de bedrijven die massaal kiezen voor cloudgebaseerde IT-oplossingen, is het terug naar binnenhalen van hun data: opslaan binnen de muren van je eigen bedrijf. Dat betekent: opnieuw investeren in eigen datacenters.
Beide oplossingen gaan veel geld kosten. Het is de vraag of daarmee winst wordt geboekt op het vlak van privacybescherming. Bij het zaken doen met Amerikaanse bedrijven beslist uiteindelijk de Amerikaanse overheid hoe er met onze gegevens wordt omgegaan.

Dit jaar liep de geldigheid van de Patriot Act af. Er is een nieuwe wet aangenomen die – onder andere naar aanleiding van de onthullingen van Edward Snowden – paal en perk moet stellen aan de afluisterpraktijken van Amerikaanse geheime diensten. Met die nieuwe Freedom Act wordt met name het massaal aftappen van datacommunicatie (ook al het internetverkeer van Europeanen) onmogelijk gemaakt, maar Amerikaanse privacy-experts zijn cynisch. De Freedom Act bevat aanvullende bepalingen en uitzonderingen, die de Amerikaanse inlichtingendiensten allerlei mogelijkheden bieden. De VS mogen weliswaar niet meer ongericht aftappen, maar er mag wel gericht in data worden gezocht. En in noodgevallen heeft de Amerikaanse overheid nog steeds de beschikking over ‘back doors’ waarmee toegang kan worden opgeëist tot gegevens zonder rechterlijke toetsing.

Die achterdeurtjes zijn cruciaal voor de Amerikaanse inlichtingendiensten. Dat is ook de reden waarom deze diensten een enorme hekel hebben aan de encryptietechnologie van bedrijven als Apple en Google. Sinds de invoering van iOS8, Apple’s besturingssysteem, worden de data van iedere iPhone-gebruiker (dus ook vermeende terroristen) versleuteld opgeslagen. Het gaat dan om foto’s, tekstberichten, contactlijsten en de gesprekshistorie. Als we de techneuten moeten geloven kan ook Apple geen toegang krijgen tot de achterliggende gegevens, zelfs als er een gerechtelijk bevel aan te pas komt.

In de VS is dan ook een sterke lobby aan de gang om volledige encryptie tegen te houden: de inzet is dat techbedrijven een achterdeur moeten kunnen blijven bieden aan veiligheidsdiensten. Een vergelijkbare strijd speelde zich enkele jaren geleden af in India, waar de overheid de fabrikant van Blackberry dwong de encryptiesleutels af te geven. Met zo’n achterdeur is privacy uiteraard geen grondrecht, maar een soort gelegenheidsrecht: per saldo was ook bij Blackberry de opbrengst dat burgers niet meer wisten waar ze aan toe waren.

Het vervallen van de Safe Harbor Act mag wellicht leiden tot allerlei veranderingen, aan de feitelijke situatie rondom privacy verandert weinig. Privacy gaat niet over ‘ik heb niets te verbergen’, maar over de mogelijkheid om zelf te bepalen wie en wanneer welke persoonlijke gegevens mogen worden ingezien; en dat je daarbij kunt vertrouwen op de intenties van degene met wie je je gegevens deelt. Tot nu toe wordt het recht daarover te beslissen primair opgeëist door overheden en de informatieverwerkers zelf. Er zijn twee mogelijkheden voor een tegenwicht: transparanter en kritischer gebruik van clouddiensten – zowel door bedrijven als consumenten – en het gebruik van encryptie. Voor dat laatst is een stevig vertrouwen in de technologiesector nodig. Zijn Amerikaanse techbedrijven bestand tegen de druk van de Amerikaanse overheid? Laten zij de achterdeur op een kier?

Tweeten

Drones voor de samenleving, drones tegen de samenleving

De drone heeft een januskop. Burgers beschermen of bespieden? Infrastructuur inspecteren of saboteren? Hulpverlening bij incidenten in beeld brengen of belemmeren? Een pizza bezorgen of een explosief afleveren? De mogelijkheden van drones zijn eindeloos. Dat dubbele gezicht wordt vooral veroorzaakt door de persoon achter de drone: iemand met de beste bedoelingen, of iemand met minder prettige bedoelingen. Dit dubbele gezicht bepaalt de komende jaren het veiligheidsbeleid rondom drones.

In augustus 2015 kwam het kabinet (namens De Ministers van Veiligheid en Justitie en EZ, en de Staatssecretaris van Infrastructuur en Milieu) met een (tweede) brief over drones. Daarin wordt het disruptieve karakter van drones onderschreven: de techniek snelt voort en de impact van drones is nog niet geheel te overzien. Die brief gaat zowel in op economische kansen (denk aan diensten op het gebied van bewaking, inspectie, onderzoek en media), als op risico’s rondom vliegveiligheid, privacy en security. Met dat laatste gaat het om de openbare orde en veiligheid, dus de bescherming van burgers tegen drones.

Dat het kabinet de risico’s van drones serieuzer is gaan nemen, blijkt uit het feit dat er een koerswijziging wordt voorgesteld ten opzichte van eerder beleid. Zo wordt op het vlak van vliegveiligheid nu gesuggereerd dat de bestaande tweedeling in drone-klassen (lichter en zwaarder dan 4 kg) niet voldoet. “De introductie door EASA van een subcategorie onder de 1 kg en de subcategorie onder de 4 kg, elk met een aantal eisen aan piloot en toestel, sluit aan bij de opmerkingen vanuit de drones-sector en de bemande luchtvaart,” aldus de brief – hetgeen de verwachting wekt dat er binnenkort nieuwe regels komen voor verschillende groepen drone-gebruikers.

Het kabinet gaat in de laatste notitie veel verder dan alleen ruimte bieden aan innovatieve toepassingen. Het potentieel misbruik van drones door kwaadwillenden heeft de aandacht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de relevante nationale en internationale veiligheidspartners, aldus de brief. De komende vijf jaar wordt een gezamenlijke aanpak binnen de overheid ontwikkeld, gericht op onder meer het in kaart brengen van de risico’s van misbruik van onbemande systemen, het ontwikkelen van integraal beleid en het stimuleren van ontwikkelingen en kennisdeling ten aanzien van detectie, identificatie en neutralisatie. Drones worden in dit licht gezien als vliegende computers, die ook met kwade bedoelingen kunnen worden ingezet – of overgenomen.

Zelfs met de bestaande wet- en regelgeving van de FAA wordt ingeschat dat de Amerikaanse dronesmarkt de komende drie jaar in omvang ruimschoots zal verdubbelen: van 130 miljoen dollar dit jaar naar 280 miljoen dollar in 2018. Wanneer de FAA de regels versoepelt en drone-operaties ook toestaan buiten de ‘line of sight’, zou het aantal dronevluchten per dag kunnen oplopen tot een miljoen per dag in 2035 – en dan hebben we het over alleen de VS. Als alle voorspellingen uitkomen, wordt de kans dat we ook in Nederland dagelijks drones zien vliegen de komende jaren snel groter. Maar we weten niet precies wat er vliegt.

Juist deze diverse samenstelling – overheidsdrones, commerciële drones en privé-drones – maakt het veiligheidsvraagstuk in de komende jaren groter. Overheid noch burgers kunnen drones niet of niet altijd identificeren, laat staan onschadelijk maken. De herkomst en gebruiksdoelen van de drone zijn niet altijd bekend; dat maakt het gedrag van drones onvoorspelbaar. Hoe weet je zeker dat de bestuurder achter een drone weet wat hij doet, wanneer je alleen een drone ziet? En hoe weet je wat de bedoelingen van de drone zijn? Lloyds is een van de eerste wereldwijde verzekeraars die zich over de risico’s rondom drones heeft gebogen. De belangrijkste risico’s: achteloze piloten die niet stilstaan bij de risico’s in de lucht; inconsistente en achterblijvende regelgeving met gebrekkige handhaving; en de kwetsbaarheid van drone-technologie voor cyberaanvallen.

Die hard drones fans blijven er op hameren dat de risico’s overschat worden en dat serieuze drone-gebruikers zich aan de regels zullen houden. Wanneer je ‘drone’ vervangt door ‘schietwapen’ (er zijn immers ook speelgoedgeweertjes te koop) wordt duidelijk dat deze beloften weinig zekerheid bieden. Bij de bestrijding van bosbranden in de VS zag de FAA zich genoodzaakt een campagne te lanceren om drone-gebruikers die de inzet van blushelikopters belemmerden, weg te houden.

Tot nu toe is het nog geen enkel probleem om op verboden gebied te landen (zoals het Witte Huis) of een drone te voorzien van een schietwapen. Drones kunnen worden ingezet om stijgende of landende vliegtuigen te laten crashen; drones kunnen pakketjes met explosieven of gif droppen boven grote mensenmassa’s of boven verboden gebied. Kortom, de maatschappij kan niet alleen vertrouwen op de blauwe ogen van goedbedoelende hobbyisten en professionals. Keith Kaplan, CEO van de Amerikaanse UAVSA (Unmanned Aerial Vehicle Safety Association, een organisatie van commerciele dronegebruikers) is helder. “Drones are aircraft,” zegt hij. “The simple truth is, if you buy a drone, you’re a pilot.” (…) “Just because there’s no one in the aircraft doesn’t make it a flying video game.” Kaplan pleit dan ook niet voor aanpassing van wet- en regelgeving. Hij vindt dat drones een plaats in de bestaande luchtvaartwetgeving dienen te krijgen.

Er wordt niet alleen wereldwijd over nieuwe of aangepaste regelgeving nagedacht, maar ook over technische oplossingen waarmee drones ‘onschadelijk’ kunnen worden gemaakt. In het geval van het overtreden van regels of een bedreiging kan je een drone niet zo maar ‘uit de lucht schieten’ – bijvoorbeeld wanneer een drone zich boven een mensenmassa bevindt. Er zijn weliswaar oplossingen bedacht om drones zachtjes te laten landen, maar een meer voor de hand liggende oplossing ligt in het geforceerd overnemen van de besturing van de drone – zodat de drone gecontroleerd kan landen of terugkeert naar de eigenaar. Daarvoor is een zender nodig die het signaal van de eigenaar overtreft zonder dat de drone neerstort als gevolg van elkaar verstorende signalen. Deze techniek, ook wel ‘jamming’ genoemd, is in New York tijdens de jaarwisseling al toegepast.

Andere technische oplossingen zijn de inzet van transponders (waardoor drones identificeerbaar zijn) en software die drones weghoudt bij no fly zones (geo-fencing). De Chinese drone-fabrikant SZ DJI Technology Co Ltd, de maker van de drone die in januari in de tuin van het Witte Huis crashte, neemt deze technologie nu op in nieuwe drones. Het Nederlandse ministerie van Veiligheid en Justitie zoekt samen met de Koninklijke Marechaussee en de politie naar innovatieve oplossingen die kunnen worden gebruikt ter bescherming tegen onbemande mobiele systemen. Via het programma Veilig door Innovatie en in samenwerking met de Rijksdienst voor Ondernemend Nederland is hiervoor 1,75 miljoen euro vrijgemaakt. Doel is te komen tot concepten/prototypes voor de bescherming tegen onbemande systemen, met nadruk op bescherming tegen drones. Er wordt op dit vlak ook informatie uitgewisseld met TNO.

Wijzelf kunnen trouwens ook aan de bak: iedereen kan een eigen no fly zone laten registreren, bijvoorbeeld rondom je huis. Het idee is dat de database met geodata uiteindelijk wordt gebruikt door drones. Maar het probleem van technologische oplossingen is dat ze prima te omzeilen zijn door mensen die geen boodschap hebben aan veiligheidsmaatregelen. Als je een auto kunt hacken (tegenwoordig ook een computer op wielen) dan kan je ook een drone hacken. Ook het stapje van joyriding naar joy-flying is zo gemaakt. Even de drone van papa lenen.

Tweeten

Dit blog maakt deel uit van een drieluik over drones, privacy, flight safety en security.

Het begrip drones wordt hier als generieke verzamelnaam gebruikt voor onbemande en op afstand bestuurde vliegende objecten (RPAS).

Wat doet die drone boven mijn hoofd?

De cameradrone biedt ongekende mogelijkheden. Een daarvan is het afrekenen met onze privacy. Een ongewenste cameradrone observeert zonder aanspreekbare observator.

Sommige mensen gaan heel ver in het bewust openbaren van hun privéleven. Maar wie vindt het prettig als er mensen voor hun huis blijven staan en langdurig naar binnen blijven staren?

Het besef van privacy heeft veel te maken met controle: als informatie over ons handelen wordt vastgelegd, willen we dat graag weten en er invloed op kunnen uitoefenen. Het kan een bewuste keuze zijn om een TV-ploeg in je privéleven toe te laten, waarbij je vooraf duidelijke afspraken hebt gemaakt over wat er wel en niet gefilmd en uitgezonden mag worden. Ook als gebruiker van diensten van Google en Facebook willen we graag zelf aan het stuur blijven zitten. Wanneer de privacy onder druk staat, maar we een goede uitleg krijgen over het waarom (denk aan de trajectcontrole op de A2) dan zijn we bereid veel te slikken. Naarmate de controle verder verschuift van ons naar een andere partij – bijvoorbeeld wanneer Facebook je profielfoto voor advertentiedoeleinden mag gebruiken, zonder dat je weet waar en wanneer – worden we steeds minder enthousiast en verandert ‘waarnemen’ in ‘gluren’.

Vanuit onze woonkamer kijken we graag naar buiten, maar het omgekeerde – het bespieden van bewoners vanaf het trottoir of de straat – is niet gebruikelijk. Ook al zou dat vanuit de openbare ruimte gebeuren (er hangen in Nederland meer dan 200.000 bewakingscamera’s in de openbare ruimte, naast anderhalf miljoen particuliere camera’s), we worden niet graag bewust aangestaard. We staan er met miljoenen smartphones om ons heen niet bij stil dat we ongemerkt vaak op een foto of in een video belanden. Een bewakingscamera kan je vermijden; iemand met een camera in zijn of haar handen is herkenbaar en aanspreekbaar. Maar wanneer we achtervolgd zouden worden door een cameradrone, komen we vermoedelijk in verzet.

Als iemand onze gangen wil volgen, willen we dat graag weten. We willen ook weten wie ons volgt, of daarbij iets wordt vastgelegd (beeld, audio) en wat er met die informatie wordt gedaan. Een cameradrone die in de openbare ruimte vliegt, laat al deze vragen onbeantwoord. We weten niet wie de afzender of eigenaar is, of er iets wordt geregistreerd en zoja, wat, door wie en met welk doel. Kunnen we er op een onverwacht moment nadeel van ondervinden? De kern is: je weet niet of je privacy wordt aangetast – en daarmee is je privacy in principe opgeheven. Privacy lijkt veel op vertrouwen: als je niet weet of je iemand kunt vertrouwen, dan….

Tot nu toe roepen dronefilmpjes op YouTube vooral ‘likes’ op. De vervelende variant van het onverwachte online filmpje is de chantagevideo op Facebook. Om die reden zou een vliegende, maar ongrijpbare camera ons ongerust moeten maken. Niets is gemakkelijker en anoniemer dan vanuit de lucht een object of persoon benaderen, registreren en verdwijnen. Dat biedt overheden allerlei mogelijkheden, maar baart die zelfde overheden ook zorgen. Mensen zijn tamelijk weerloos tegen acties van drones die verder gaan dan een filmpje maken: denk aan het afleveren van een explosief. Daarbij speelt mee dat we nog niet beschikken over tegenmaatregelen: een drone kan snel verschijnen en verdwijnen zonder dat je iets kunt ondernemen. Hier en daar begint al iets door te sijpelen van het ongemakkelijke gevoel of komt men in actie tegen de aantasting van de openbare ruimte.

In Nederland hebben we wet- en regelgeving op het gebied van privacy. Daarnaast zijn er sinds 1 juli 2015 aangescherpte regels voor het gebruik van drones, waarbij een onderscheid wordt gemaakt tussen particulier en professioneel gebruik. Fans van drones verwijzen vaak naar die regels: ze zouden duidelijk zijn en als iedereen zich er aan houdt is er niets aan de hand. Helaas kent Nederland een zeer beperkte handhavingscultuur en zijn maar weinig Nederlanders bezig met het thema privacy: ze hebben immers niets te verbergen? Of zou dat veranderen wanneer er regelmatig een drone boven hun hoofd verschijnt? Op dat moment wordt namelijk de betekenis van privacy duidelijk: centraal staat dat niet een ander, maar jijzelf beslist dat je (n)iets te verbergen hebt.

Tweeten

Dit blog maakt deel uit van een drieluik over drones, privacy, flight safety en security.

Het begrip drones wordt hier als generieke verzamelnaam gebruikt voor onbemande en op afstand bestuurde vliegende objecten.

Wat weegt zwaarder: drones en risico’s

Op 14 oktober 2011 kwam een traumahelikopter tijdens een vlucht in aanvaring met een meeuw. De vogel ging dwars door het glas van de cockpit heen en kwam terecht op de zitplaats naast de piloot. Normaal zit daar een HEMS-verpleegkundige die de piloot assisteert bij opstijgen en het landen. De vogel had ook de piloot kunnen raken, met een helikoptercrash als meest waarschijnlijke uitkomst. Naast piloot en HEMS-verpleegkundige vervoert de traumaheli ook een trauma-arts en soms gaat er een patiënt mee. Een crash van een traumaheli heeft niet alleen gevolgen voor de mensen aan boord, maar kan ook desastreuze gevolgen hebben op de grond.

Waar meeuwen eigenbelang hebben bij het vermijden van helikopters, zijn gebruikers van drones zich niet altijd bewust van de risico’s die zij nemen; laat staan dat bij hen een levensbelang speelt. Drones worden ingezet bij incidenten – niet alleen door professionals of journalisten, maar ook door omstanders en hobbyisten, zoals de video laat zien.

Niet voor niets werd er kort na het ongeval met kranen in Alphen aan den Rijn een vliegverbod voor drones afgekondigd. Een drone kan de aankomst of het vertrek van een traumahelikopter (of de activiteiten van een politieheli) vertragen – eenvoudigweg omdat piloten niet zeker zijn van een vrij luchtruim – of een crash veroorzaken. Voor dat laatste is ook een drone van 100 gram voldoende.

De groeiende populariteit van drones vraagt om nieuw beleid en de aanzet hiertoe is al gedaan: het WODC (Wetenschappelijk Onderzoek- en Documentatiecentrum, een onderdeel van het ministerie van Veiligheid en Justitie) publiceerde in maart 2015 een ‘verkennend onderzoek naar onbemande luchtvaartuigen’. Het belang van die verkenning is duidelijk: zowel burgers, bedrijfsleven als overheid hebben steeds meer interesse in het gebruik van drones: voor de lol, voor bedrijfsmatige toepassingen (inspecties, bezorgen, fotografie) en voor toezicht. Voor de overheid telt ook mee dat zij een rol heeft als toezichthouder op de luchtvaart en zich daarnaast dient in te zetten voor wet- en regelgeving op het gebied van privacy.

Het zijn ook precies die drie elementen – privacy, security en flight safety – die de ruggengraat van nieuw beleid zouden moeten vormen. Op dit moment wordt in de wet- en regelgeving echter een onderscheid gemaakt op basis van het gewicht van een drone. Tot vier kg is privégebruik aan de orde, waarbij verschillende regels gelden. Is een drone zwaarder dan 4 kg, dan gelden strengere regels. Die grens van 4 kg is echter tamelijk arbitrair. Het gewicht van de traumameeuw was circa 270 gram, aldus curator Kees Moeliker die de pechvogel heeft opgenomen in de collectie van het Natuurhistorisch Museum Rotterdam. Een vederlichte drone is er al voor een paar tientjes, voor serieuzere exemplaren met een prijs van onder de 300 euro loopt het gewicht snel op tot rond de 400 gram. Een professionele drone (waarmee ook de beruchte Domtoren-video werd gemaakt; goed voor een boete van ruim 8000 euro wegens het overtreden van de regels, later verlaagd naar 350 euro) weegt al snel meer dan een kilo. Het is allemaal in de (online) speelgoedwinkel te koop en je kunt er zo mee aan de slag – regels of geen regels.

Helaas pleit WODC-medewerker Bart Custers in het Financieele Dagblad van 1 augustus voor meer ruimte voor ‘lichtere drones’ (met een gewicht van minder dan vier kilogram) en niet voor een grondige analyse van mogelijke risico’s en problemen. Dat is vreemd, want in het mede door hem opgestelde WODC-verkenning wordt wel een overzicht gegeven van de verschillende soorten risico’s van drones. Zo kunnen ze het doel van schade zijn (diefstal van bijvoorbeeld de lading die ze vervoeren), een middel van schade (aanslagen via een crash, inbreuken op de privacy) of een een bron van ‘niet-intentionele effecten’ – denk aan ongevallen als gevolg van een neerstortende drone of een botsing met ander luchtverkeer, bijvoorbeeld wanneer een drone een vliegtuigmotor raakt. “Bij een botsing met een kleine drone zal een verkeersvliegtuig mogelijk niet veel schade oplopen, maar bij een botsing met een grotere drone, bijvoorbeeld wanneer die een van de motoren raakt, ontstaan gevaarlijke situaties waarbij in potentie veel (dodelijke) slachtoffers kunnen vallen.”

In zijn betoog in het FD wekt Custers de verkeerde indruk wanneer hij stelt dat kleine drones doorgaans minder schade opleveren wanneer er iets mis gaat. Ze zouden een kleinere actieradius hebben waardoor botsingen met vliegtuigen onwaarschijnlijk zijn. Maar wat is ‘doorgaans’ en wat is ‘onwaarschijnlijk’? En waar is de risicoanalyse?

Drones worden steeds kleiner, camera’s ook. Privacy is niet langer een kwestie van vrijheid binnen je eigen huis, je zult de gordijnen moeten sluiten en in sommige gevallen ben je niet eens veilig in je eigen tuin – die voor een drone net zo toegankelijk is als de publieke ruimte. Die toegankelijkheid maakt het ook gemakkelijk om een drone in te zetten om een hyperlokale aanslag te plegen, die aan het wakend oog van het traditionele luchtruimtoezicht ontsnapt. Een drone kan bovendien anoniem via internet en camera bediend worden. Technologie zoals nachtzicht en hittezoekende systemen is eveneens beschikbaar. Kortom, beleidsmakers moeten niet naïef zijn.

Een aantal risico’s kan worden beperkt door drones verplicht uit te rusten met een transponder. Waar de zweefvliegsport zich tevergeefs tegen de verplichte invoering van zo’n apparaatje verzette, ligt hier voor de drone-industrie – die zich laat voorstaan op innovatie en daar ook letterlijk ruimte voor opeist – juist een uitgelezen kans om te innoveren. En waar Amazon graag een deel van het luchtruim zou willen opeisen voor drones, richt Google zich inmiddels op een mogelijke rol als ‘drone-verkeersleiding’ en werkt het bedrijf tevens aan de ontwikkeling van een lichtgewicht transponder.

Je kunt met technologie, regels, wetten (en handhaving daarvan) veel problemen proberen te voorkomen, maar de gebruiker is de laatste schakel in een keten die uit verschillende onderdelen bestaat. In de luchtvaart is dit bekend als het gatenkaasmodel; ook in de gezondheidszorg en zelfs in de IT van onder meer de financiële sector wordt dit principe nu stukje bij beetje omarmd om catastrofes te vermijden.

Het verbieden van drones is helemaal niet aan de orde. Lessen trekken uit een ongeluk, veroorzaakt door een drone, dat kan altijd nog. Maar het niet vooraf willen analyseren van risico’s, dat komt neer op het bewust negeren van risico’s. Als dat aan de orde is, zijn de rapen gaar.

Tweeten

Interpolis: cyberrisico’s glashelder

Interpolis, onderdeel van Rabobank, heeft sinds enige tijd de CyberPreventieDienst op de website staan. Deze dienst is ontwikkeld met Capgemini en is bedoeld voor “alle middelgrote bedrijven voor wie computers belangrijk zijn in de bedrijfsvoering”, aldus de webpagina’s. De dienst van Interpolis komt neer op een audit waarmee de beheersing van cyberrisico’s in kaart kunnen worden gebracht.

Weet je niet of het product geschikt is voor jouw bedrijf? Dan doorloop je eerst even de CyberPreventie Check, een handige online vragenlijst die eindigt met een thermometer. Je voelt het al, die eindigt binnen de kortste keren in het rood. En zie, het product ‘Interpolis CyberPreventieDienst’ ligt in de schappen van de online interpolispreventiewinkel en gaat met een paar klikken zo in je winkelmandje (prijs: 1.500 euro).

Na aankoop neemt een cyberrisico-expert van Capgemini binnen vijf werkdagen contact op voor een intakegesprek. Daarna interviewt deze expert zowel de opdrachtgever als de IT-beheerder. Let wel, voor die twee gesprekken staat 1 dagdeel. Terplekke, zo suggereert het plan van aanpak, wordt nog gevraagd om het mogen doen van een aanvullende scan. Voor 750 euro extra voert de cyberrisico-expert met speciale software een aantal controles uit op de firewall, de website en de computersystemen. Of je nu wel of niet voor die extra scan kiest, de adviseur brengt na vijf werkdagen een digitaal rapport uit met aanbevelingen en tips. Die worden een week later nog eens telefonisch doorgesproken en toegelicht.

Wat mag je voor 1.500 euro verwachten? De audit biedt in ieder geval zicht op “welke risico’s specifiek voor uw bedrijfssituatie gelden”. En, aldus Interpolis, “of u daarvoor voldoende maatregelen hebt genomen. Dit kunnen technische maatregelen zijn, maar ook maatregelen op het gebied van organisatie, mensen en middelen.” De audit is bedoeld voor het MKB: bedrijven met een omvang tot 250 werknemers en een omzet tot 50 miljoen euro. Dat zijn, ter illustratie, bedrijven als softwareleverancier Exact, ICT-dienstverlener Detron, webwinkel Fonq, adviesbureau Eiffel of vergelijkingssite Independer. Het in een dagdeel globaal doorlichten van dergelijke bedrijven wordt hard aanpoten voor de auditor: alle security en compliance maatregelen, trainingen, softwarematige oplossingen, hardware-voorzieningen…. En dan hebben we het nog niet eens over bedrijven met mobiele medewerkers, meerdere vestigingen in de Benelux en een hybride IT-landschap waarvan een deel in de cloud staat en een deel on premise.

Natuurlijk is zoiets als een Cyber Preventie Dienst een mooi product. Zeker als je weet dat een gemiddeld datalek al snel enkele miljoenen schade oplevert, aldus het jaarlijkse Cost of Data Breach-onderzoek van IBM. De huidige standaard voor informatiebeveiliging (ISO 27001) is sterk gericht op technische maatregelen. Met de nieuwe Europese norm PAS 555, vorig jaar gepubliceerd door The British Standards Institution, wordt beoogd cyberdreigingen op de agenda van de directie te krijgen. Volgens onderzoek van EY staat bij 70 procent van de bedrijven cybersecurity op het hoogste niveau in de organisatie op de agenda. Aan de andere kant geeft 65 procent van de respondenten aan, dat het budget niet toereikend is om de groeiende risico’s te bestrijden.

Volgens mij is het een unieke marketingvondst, gebouwd op drie ideeën. Allereerst is iedereen bang voor cyberrisico’s. Een aanpak waarbij je je eerste stapje kunt zetten voor 1500 euro, dat moet menig MKB’er aanspreken. Op de tweede plaats slijt Interpolis een adviesproduct, waarmee de verzekeraar de deur opent voor up- en cross selling van andere MKB-diensten. En op de derde plaats krijgt Capgemini met een auditrapportje gemakkelijk toegang tot een prospect, want op securitygebied is natuurlijk altijd nog het nodige te verbeteren.

Het MKB met een omzet tot 50 miljoen doorziet dit waarschijnlijk wel. De MKB’er met twaalf man personeel en een omzet van 1,5 miljoen moet echter zijn knopen tellen. Want iedere klant krijgt bij dit product de volgende waarschuwing van Interpolis mee: “Het is belangrijk dat u, vlak voordat de expert de technische scan uitvoeren, een volledige back-up maakt van alle gegevens die op uw ICT-netwerken en/of systemen staan. Zorg ervoor dat u weet hoe u bij een calamiteit de back-upgegevens weer zo snel mogelijk in uw systeem terugzet.” Preventie, dat begint bij het nemen van de juiste maatregelen. Glashelder.

Tweeten

Wat doet die drone hier?

sg8pl4zk_1 Wat is de overeenkomst tussen de ‘bierfiets’ en een drone? In beide gevallen doen zich situaties voor waarbij de veiligheid in het geding is en de overheid naar passende regels zoekt. Voor wat betreft de bierfiets –voor zo ver bekend een lokaal verschijnsel –heeft de gemeente Amsterdam gezocht naar mogelijkheden tot het opleggen van een verbod, maar veel verder dan het vastleggen van de maximaal toegestane breedte (1,50 meter voor een fiets) is men tot nu toe nog niet gekomen. Het gevolg: dronken toeristen die zich traag op het fietspad of op de weg voortbewegen en zo een risico vormen voor zichzelf en anderen. Het risico van drones lijkt een stuk kleiner: de beschikbare ruimte is immers aanzienlijk groter. De kans op botsingen lijkt weliswaar kleiner, maar de impact kan vele malen groter zijn, bijvoorbeeld wanneer een verkeersvliegtuig of helikopter op een drone stuit. Het aantal incidenten op dit vlak is de afgelopen paar jaar toegenomen. Maar het belangrijkste verschil tussen bierfiets en drone is wel dat het laatste bewegende object veel meer verschillende soorten vragen en problemen oproept.

Danny Mekić, Internet, technology & business consultant, zette na het zien van een drone boven het Stationsplein van Amsterdam CS een aantal relevante issues op een rijtje: “Wat deed dat ding daar? Was een kind van 16 zijn of haar verjaardagscadeau aan het uitproberen? Of zat de politie een winkeldief achterna? Had de AIVD een potentiële terrorist in de smiezen? Of was een spion van de Amerikaanse geheime dienst NSA op zoek naar potentiële infiltranten op Nederlands grondgebied? We zullen het nooit weten.”Drones zijn goed voor een groot potentieel aan nieuwe bedreigingen, zo somt hij op: “Zonder het door te hebben, kun je op straat worden gefilmd, gevolgd (met gemak: dankzij gezichtsherkenning kan zo’n drone een persoon of object automatisch achtervolgen), kunnen je intieme gesprekken worden opgenomen en kan je telefoon- en internetverkeer – thuis én onderweg – worden afgetapt. Uitgerust met infraroodcamera’s kijken drones ook met gemak door muren heen en ten slotte kunnen ze worden uitgerust met wapens.” Deze waaier aan vragen zorgt er voor dat er vanuit verschillende hoeken wordt aangedrongen op regelgeving. De Europese Unie, maar ook de Europese organisatie EASA en de Amerikaanse FAA, sturen aan op (of beschikken al over) regelgeving. Ook de Nederlandse overheid heeft een begin gemaakt met het opstellen van regels. Dat leidt natuurlijk tot veelal sceptische reacties van producenten, hobbyisten, professionals en bedrijven: hoezo nog meer regels? Al deze afzonderlijke groepen kijken uiteraard vooral naar hun eigen belangen.

Russische Mi-12 heavy-lift transport helikopter (1960)

Drones worden onder meer ingezet door fotografen en hobbyisten, maar ze kunnen ook bijdragen aan kostenverlaging en innovatie: denk aan inspectie van hoogspanningsmasten, gasleidingen en bosbranden of het doen van archeologisch onderzoek. Veel van dit soort werkzaamheden werden voorheen uitgevoerd met helikopters die aanzienlijk meer geluid produceren en voor hogere kosten zorgen. Zuidelijke Land- en Tuinbouworganisatie ZLTO gaat met behulp van een subsidie van 300.000 euro van de provincie Zeeland en de Europese Unie aan de slag met een proef met nieuwe meettechnieken, waarbij vanuit de lucht met ultraviolet- en infraroodcamera’s wordt gekeken hoe het vochtgehalte is en welke mineralen de grond bevat. De komende jaren zal het toepassingsgebied zich uitbreiden. De Nederlandse drone-industrie, verenigd in de ‘Dutch Association for Remotely Piloted Aircraft Systems’(Darpas), pleit ook voor de snelle realisatie van EU regelgeving, maar de belangrijkste motief is hier dat deze sector de boot denkt te missen omdat de huidige Nederlandse regels te streng zijn.

Vergelijkbare geluiden zijn te horen uit de VS, waar Amazon aanstuurt op een uitzonderingspositie ten opzichte van de FAA-regels. In de VS is de inzet van commerciële drones nu nog verboden. Amazon werkt serieus aan de realisatie van ‘prime air delivery’–binnen 30 minuten. Het bedrijf is bezig dit concept te testen in hun R&D-center in Seattle en claimt dat het bezig is met de negende generatie van hun drone. Zo wordt onder meer gewerkt aan sensors en algoritmen waarmee obstakels kunnen worden gesignaleerd en ontweken. De Amazon drone moet 2,3 kilo aan vracht kunnen transporteren: voldoende om 86 procent van de artikelen uit Amazon’s aanbod te kunnen afwikkelen. Amazon streeft er naar de drones aan te sturen vanaf een eigen vliegveld en het is de bedoeling dat ze daar niet hoger dan 400 voet (ca. 120 meter) boven de grond vliegen. Amazon wil voor de drones gebruik gaan maken van de G-klasse in het luchtruim (tot 1500 voet). Verder wil het bedrijf werken met operators die als een ‘pilot in command’ verantwoordelijk zijn de volledig vlucht: mensen die aan verschillende FAA-criteria voor private pilots voldoen. Een andere stakeholder is de zogenaamde kleine luchtvaart of General Aviation, waar bijvoorbeeld ook de Nederlandse traumahelikopters onder vallen. Zowel hulpverleners als privépiloten lopen risico’s omdat ze tijdens een vlucht drones kunnen tegenkomen. Een botsing met een drone kan fataal aflopen voor de helikopter.

Ook de Nederlandse overheid moet meerdere stakeholders bedienen. Het ministerie van Veiligheid en Justitie is, samen met de Koninklijke Marechaussee en de Nationale Politie zijn op zoek naar mogelijkheden tot bescherming tegen drones –bijvoorbeeld om de besturing over te nemen of de locatie van de bestuurder van het systeem aangeven. Aan de andere kant wil het ministerie via een wetsvoorstel uit maart 2013 (Flexibel cameratoezicht) het ook mogelijk maken dat de overheid zelf drones kan inzetten. De nieuwe Nationale Politie zet een aparte organisatie op voor het gebruik van drones, een zogenoemde politie UAS-organisatie (UAS staat voor Unmanned Aerial Services), maar drones worden al ingezet.

Vanuit luchtvaartperspectief is het aansturen op regels begrijpelijk. In de luchtvaartsector bestaat al langere tijd een veiligheidscultuur die met name in westerse luchtvaartondernemingen goed wordt nageleefd. De EASA erkent het economisch potentieel van drones, maar stelt nadrukkelijk voorop dat drones een probleem zijn, omdat er geen regels bestaan op het vlak van “safety, security and privacy of people”. Drones kunnen op een paar honderd meter hoogte vliegen, maar maken daar geen deel uit van het normale verkeer dat gereguleerd is en onderling communiceert. De EASA pleitte daarom in december 2013 al voor het ontwikkelen van Europese regelgeving die vanaf begin 2016 kan worden ingevoerd; op de volgende punten: een strikte EU-wetgeving op het vlak van veiligheid; bescherming van fundamentele rechten van burgers; strakke maatregelen op het vlak van informatiebeveiliging; gegarandeerde aansprakelijkheidsregelingen en –last but not least –ondersteuning voor marktontwikkeling en Europese ondernemingen. Tot dat de Europese wetgeving er door is, is er dus nog alle ruimte voor drone-incidenten, verontwaardigde reacties en Kamervragen.

Tweeten

Plat gaan

Er is iets veranderd in onze wereld. Niet money makes the world go round, maar het internet houdt onze economie draaiend. Na de bankencrisis die het financiële systeem aan het wankelen bracht, wordt nu gevreesd voor een digitale crisis. De Nederlandse overheid slaat (bij monde van de AIVD) zelfs alarm: het verdienmodel van Nederland kan in gevaar komen.

Meestal rukt eerst de technologie op, dan de commercie en daarna volgen passende maatregelen om alles beheersbaar te houden. Regelgeving is vaak het resultaat van eerdere problemen en van toegenomen sense of urgency. Die bewustwordingsfase hebben burgers en bedrijven echter nog niet helemaal bereikt. Beiden zijn nog steeds verbaasd over het gemak waarmee hackers kunnen binnendringen, maar hebben de digitale samenleving al lang als vanzelfsprekendheid geaccepteerd. Bij ernstige IT-problemen van publieke organisaties wordt vooral gewezen naar verouderde systemen of naar slecht projectmanagement. Ontwrichtende problemen zijn tot nu toe uitgebleven, reden waarom de mogelijke impact van een digitale meltdown minder aandacht krijgt dan verdiend.

IT wordt steeds meer het digitaal zenuwstelsel van bedrijven en instellingen. Toch wordt in de boardroom, zo blijkt herhaaldelijk uit onderzoek, IT nog niet voldoende serieus genomen. Directies van grote bedrijven die in opspraak raken door datalekken en cyberaanvallen, maken zich in de eerste plaats druk over mogelijke reputatieschade. Voor de eventuele financiële gevolgen is minder aandacht, zo blijkt uit onderzoek van Clifford Chance. Dat is niet vreemd: slechts 8 procent van de CFO’s vindt dat hun commissarissen een hoog kennisniveau van digitalisering hebben, terwijl 29 procent van de commissarissen zichzelf in hoge mate als sparring partner voor de Raad van Bestuur ziet, aldus onderzoek van Deloitte. Het lijkt er op dat de mindset niet in orde is: het ontbreekt bij bedrijven aan vastberadenheid, die de cybercriminelen wel bezitten.

Brenno de Winter confronteerde eind 2012 een zaal vol CIO’s met een simpele en succesvolle hack. “Ik heb hier een mobiele telefoon. Die heeft bijna een gigabyte aan data met u gedeeld, omdat deze zichtbaar is als ‘KPN’. Uw telefoon denkt: ‘Leuk, een KPN Hotspot’ en meldt zich automatisch bij mijn telefoon aan. Dat is zojuist door veertien toestellen gedaan. U merkt daar niets van. Normaal gesproken moet u iets invullen om toegang te krijgen, denk aan Wi-Fi op Schiphol. Dat zal ik volgend jaar voor u maken, zodat ik dan ook uw username en password heb.”

In 2013 was een gemiddeld datalek goed voor een schadepost van 2,5 miljoen euro, aldus het jaarlijkse Cost of Data Breach-onderzoek van IBM. Dit is een stijging van 15 procent ten opzichte van 2012. En uit een door PwC gepubliceerd rapport blijkt dat bedrijven maar moeilijk mee kunnen komen in de strijd tegen cybercriminaliteit, omdat organisaties te weinig technologische kennis bezitten.

De Nederlandse Cyber Security Raad pleit voor meer aandacht op strategisch niveau: ieder datalek moet in de boardroom bekend zijn. Toch is het onze eigen overheid die met aanpassingen in de wetgeving bijdraagt aan bagatellisering van de risico’s. Zo hoeven in de onlangs afgezwakte wetsvoorstellen rondom de meldingsplicht van datalekken niet alle datalekken gemeld te worden, maar alleen ‘datalekken met ernstige nadelige gevolgen’. Hierdoor ontnemen we onszelf de kans maximale controle te houden en optimaal te leren van kwetsbaarheden. De overheid waarschuwt, maar legt gelijktijdig het digitale verdienmodel van ons land in de waagschaal. Nederlanders zijn niet helemaal blind voor de toekomst – dat blijkt uit de discussie over bijvoorbeeld de verzorgingsstaat en de pensioenvoorziening. Maar als het gaat om digitale duurzaamheid is het te stil. Ondertussen bouwen bedrijven en overheden driftig verder op een wankel IT-fundament; totale vernieuwing zou veel te veel geld kosten. Een korte time to market slaat bovendien veel beter aan in de boardroom.

De BBC zond onlangs een documentaire uit over zogenaamde ‘preppers’: personen die zich voorbereiden op rampen met behulp van vluchtplaatsen, zelfverdedigingstechnieken en noodvoorraden. Een van de preppers gaf aan dat als het internet wereldwijd plat gaat, het een kwestie van enkele dagen is voordat de hel losbarst. Dat klinkt als een goed Hollywood-scenario voor een rampenfilm, maar realistischer is het advies dat Duitse ondernemers krijgen wanneer ze naar China reizen. Hen wordt aangeraden hun laptop of mobiel vooraf schoon te maken; eenmaal in China is het niet toegestaan om in te loggen op het netwerk van het Duitse moederbedrijf aldus het FD.

In ons land is het wellicht wachten tot dat de eerste overheidsdiensten plat gaan (of de eerste CIO’s nat gaan). Want het duurt nog even voordat het Nationaal Cyber Security Centrum (NCSC) op kracht is. Govcert.nl, voormalige cyberwaakhond van de Nederlandse overheid en voorloper het NCSC, moest het in 2011 nog met zeventien (!) werknemers doen, maar er wordt gewerkt aan opschaling richting 70 security specialisten. Ter vergelijking: de Nederlandse defensieorganisatie bestaat uit zo’n 60.000 personen.

Deze post is tot stand gekomen in samenwerking met Cisco.

[wp_twitter]

Informatiebeveiliging: bewust onbekwaam

In Den Haag rommelt het al een tijdje over de uitbreiding van de meldplicht voor datalekken. Bij het initiële wetsvoorstel (juni 2013) was het uitgangspunt dat een datalek aan het College Bescherming Persoonsgegevens (CBP) moet worden gemeld wanneer redelijkerwijs kan worden aangenomen dat het lek tot een aanmerkelijke kans op nadelige gevolgen leidt. Staatssecretaris Fred Teeven heeft het wetsvoorstel Meldplicht Datalekken inmiddels afgezwakt: het aangepaste wetsvoorstel zegt nu dat alleen datalekken met ernstige nadelige gevolgen moeten worden gemeld. Dit betekent dat een partij die een datalek heeft geconstateerd, zelf moet bepalen of redelijkerwijs kan worden aangenomen dat het lek leidt tot aanmerkelijke kansen op nadelige gevolgen. Teeven vreesde dat bedrijven en instellingen alle datalekken zouden melden – om risico’s op boetes te vermijden.

Datalekken nemen in omvang toe, zo blijkt uit onderzoek. Ten opzichte van 2012 is de gemiddelde schadepost van een datalek in 2013 met 15 procent gestegen tot 2,5 miljoen euro, zo valt op te maken uit het jaarlijkse Cost of Data Breach-onderzoek van IBM.
In het eerste kwartaal van 2014 was een stijging van 233 procent te zien in het aantal gestolen bestanden, aldus de SafeNet Breach Level Index (BLI). Er werden bijna 200 miljoen bestanden gestolen. Zuid-Korea voert de lijst aan: het land is goed voor bijna tachtig procent van de hacks. De financiële sector wordt het zwaarst getroffen met 56 procent van alle verloren databestanden. Ook de gezondheidszorg is kwetsbaar met 24 procent van alle lekken.

Veel datalekken zijn het gevolg van relatief kleine menselijke fouten, aldus het Data Breach investigations Report (DBiR) 2014 van Verizon waarin 63.437 beveiligingsincidenten werden onderzocht. Meestal gaat het om e-mails en documenten die naar de verkeerde persoon, afdeling of organisatie worden gemaild of gestuurd. In 1.367 gevallen veroorzaakten de incidenten ook een bevestigd datalek. Ruim 16.000 incidenten, waarvan er 412 voor een bevestigd datalek zorgden, waren aan menselijke fouten toe te schrijven, zoals e-mailblunders, programmeerfouten en het weggooien van informatie zonder die eerst te wissen of te shredden. Eindgebruikers en IT-professionals gaan beiden de fout in.

De Nederlandse Cyber Security Raad pleit voor meer aandacht voor informatiebeveiliging op strategisch niveau, maar voorlopig lijkt de boardroom daar nog niet klaar voor. Volgens onderzoek van Deloitte vindt slechts 8 procent van de CFO’s dat commissarissen een hoog kennisniveau van digitalisering hebben. 29 procent van de commissarissen beschouwt zichzelf in hoge mate als sparring partner voor de RvB. Toch staat minder dan een derde van de commissarissen (en 24 procent van de CFO’s) positief tegenover het benoemen van een Chief Technology Officer of een Chief Information Officer in de Raad van Bestuur. Een typisch gevalletje van bewust onbekwaam?

ICT~Office, de voorloper van branchevereniging Nederland ICT, heeft staatssecretaris Teeven in 2012 geadviseerd om met de meldplicht niet vooruit te lopen op Europese privacyregels. De toename van de regeldruk moet in verhouding staan tot het beoogde doel, zo was het argument. In 2013 uitte Nederland ICT opnieuw kritiek op het Nederlandse initiatief: er zou te veel regeldruk ontstaan omdat er inmiddels vier verschillende instanties bestaan waar IT-gerelateerde problemen en verstoringen moeten worden gemeld. Misschien is dat juist een goede tussenoplossing die stimuleert om aan verbeteringen te werken?
Anderen vinden dat een wettelijke meldplicht voor datalekken het doel voorbij schiet doordat bedrijven uit angst voor imagoschade de incidenten juist niet melden.

Het bedrijfsleven staat dus niet te popelen om dit probleem te tackelen. Kan een wettelijk afgedwongen meldplicht de meldcultuur aanzwengelen? Of ontstaat een gezonde meldcultuur juist op basis van zelfregulering? De westerse luchtvaartsector kent al een flinke tijd een veiligheidscultuur waarbij het melden van problemen een geaccepteerde gewoonte is en waar feedback wordt gebruikt om processen te verbeteren. Grote luchtvaartmaatschappijen en de International Air Transport Association (IATA) zetten daarbij de toon.

Om tot die verbeterde cultuur te komen waren wel enkele grote vliegtuigcrashes in de jaren zeventig nodig. Daaruit kwam naar voren dat intensieve vliegtraining menselijke fouten niet uitsluit. Met Crew Resource Management, ontwikkeld door NASA, werd ingezet op intelligente samenwerking in de cockpit. Die veiligheidscultuur heeft vliegen tot de meest veilige vervoersmethode gemaakt.

Na een vliegtuigcrash haal je als vliegmaatschappij direct voorpagina’s en primetime. De merkbare gevolgen van beveiligingsproblemen en datalekken bij bedrijven en instellingen zijn tot nu toe relatief gering. Alhoewel? In Nederland doet 65 procent van de middelgrote en grote bedrijven geen zaken met organisaties die te maken hebben gehad met een datalek. Biedt dat hoop? Nee, want tegelijkertijd beschouwt 36 procent van de bedrijven dataverlies als een bedrijfsrisico.

Er is nog een extra reden tot zorg. Meer dan de helft van de gemelde lekken in ons land kan niet worden onderzocht. Het College Bescherming Persoonsgegevens heeft te weinig mankracht. Maar ja, ICT en overheid, da’s geen gelukkige combinatie. Het wachten is dus op het moment dat het een keer goed mis gaat.

[wp_twitter]