Veilig grasduinen in de bibliotheek: ook digitaal
De privacy van hun bezoekers en gebruikers is voor openbare (in eigenlijk voor alle) bibliotheken een groot goed. Zij willen een plek zijn waar iedereen ongezien alle informatie tot zich kan nemen. Getuigenissen van mensen als Stephen Fry die in hun puberjaren in de bibliotheek(bus)collectie ontdekten dat hun homoseksuele gevoelens veel normaler waren dan ze dachten, spreken boekdelen (sic). Bibliothecarissen ontlenen een belangrijk deel van hun beroepseer aan hun compromisloosheid juist op dit punt: de privacy van bezoekers en leners is bij hen in veilige handen. Maar is dat ook digitaal wel het geval?
Connecticut Four
Tot welke gevolgen dit kan leiden, liet het geval van de Connecticut Four zien. Onder de Patriot Act, die na de aanslagen van 9/11 werd ingevoerd, werden de bevoegdheden van het opsporingsapparaat en de veiligheidsdiensten in de VS uitgebreid. Dit leidde ertoe dat enkele bibliothecarissen werden geconfronteerd met een zogenaamde security letter. In zo’n brief stond niet alleen dat zij gegevens over een verdachte uit hun bibliotheeksysteem moesten leveren aan de opsporingsbevoegden, maar zelfs dat zij er met letterlijk niemand over mochten praten dat dit was gebeurd, noch dat zij zo’n brief hadden ontvangen. Vier bibliothecarissen verzetten zich hiertegen en startten een rechtszaak, in de processtukken waarvan zij aanvankelijk anoniem werden opgevoerd. Uiteindelijk maakten deze Connecticut Four zich zelf bekend toen zij dit gebruik van de Patriot Act aan de kaak wilden stellen.
De bibliotheek-pc als telefooncel
Door de onthullingen over de massale datacollectie door veiligheidsdiensten in de laatste twee jaar, is duidelijk geworden dat privacybescherming meer inhoudt dan het beschermen van gebruikers- en leenregistraties. Een groot deel van het internetverkeer wordt gescand op combinaties van zoekwoorden. Bij ‘verdachte’ combinaties gaat er een alarmbel af en gaan menselijke speurders de gangen na van de gebruiker(s) van het betreffende IP-adres.
Een bibliotheekcomputer is het digitale equivalent van de telefooncel op straat.
Een bibliotheekcomputer is het digitale equivalent van de telefooncel op straat: wie anoniem wil blijven, chat, mailt en surft bij voorkeur op een van de daar aanwezige publieks-pc’s. (De 9/11-terroristen onderhielden waarschijnlijk via bibliotheek-pc’s onderling contact, wat de belangstelling van opsporingsinstanties voor de openbare bibliotheken verklaart.)
Versleutelen met HTTPS
Door de komst van online catalogi wordt er vanuit huis gezocht naar beschikbaarheid van boeken in bibliotheekcollecties. Dat verkeer is niet langer veilig. Nu is het niet waarschijnlijk dat veiligheidsdiensten erg geïnteresseerd zijn in uw en mijn seksuele voorkeuren, lichamelijke en psychische problemen laat staan vakantieplannen. Het punt is wel dat iedereen met minder goede bedoelingen en een beetje technische kennis uw internetverkeer kan monitoren.
Als bibliotheken hun privacyplicht ook online serieus nemen, dan is het versleutelen van het internetverkeer tussen thuisgebruiker en bibliotheeksite een goede oplossing die bovendien weinig hoeft te kosten. Enkele dagen geleden publiceerde de Electronic Frontier Foundation, de Amerikaanse digitale burgerrechtenorganisatie, een artikel op haar website getiteld ‘What every librarian needs to know about HTTPS‘. Hierin wordt uitgelegd waarom het aan te bevelen is om al het verkeer met bibliotheekwebsites via een beveiligde HTTPS-verbinding, met encryptie van begin tot eind, aan te bieden. Zoals de titel aangeeft is het artikel verplichte kost voor elke bibliothecaris, om niet te zeggen: elke informatieprofessional.
Schiedam heerst
Hoe is de situatie in Nederland? Geprikkeld door het EFF-artikel ging ik na of Nederlandse openbare bibliotheken al HTTPS aanbieden. Dat is nog maar nauwelijks het geval. Voor zover ik heb kunnen nagaan, heeft alleen de Bibliotheek Schiedam de hele site achter HTTPS gezet. De meeste bibliotheken maken gebruik van de WaaS (website as a service) die door Bibliotheek.nl is ontwikkeld. Destijds is kennelijk geoordeeld dat het voldoende is alleen de gebruikerslogin – het meest privacygevoelige deel – via HTTPS te laten verlopen. De WaaS en de daarin te gebruiken widgets werken niet met HTTPS. Het zoeken in de catalogus en het bekijken van verdere informatie op de site is kennelijk niet als privacyprobleem aangemerkt. Daarbij komt dat, althans bij mijn account bij de Haagse openbare bibliotheek, er zelfs bij login geen HTTPS-verbinding wordt aangeboden. Mogelijk is dat bij andere bibliotheken evenmin het geval. Waar het wel goed is geregeld, is in de e-bookportal van (nu) de Koninklijke Bibliotheek.Niets te verbergen? Toch maar doen
Alles goed en wel, maar is het ontbreken van zo’n beveiligde verbinding nu echt zo erg? Wat kan er in het ergste geval met uw en mijn data gebeuren? Het is inderdaad een gevalletje soep die in de praktijk niet zo heet zal worden gegeten. Mensen die vanuit goede of kwade motieven iets te verbergen hebben, zullen zelf wel opletten en niet zomaar in de catalogus gaan grazen. Of dat alleen doen via hun eigen VPN-verbinding. Mensen die het meekijken door anderen niet vrezen, vinden het misschien wel prima dat er niets wordt versleuteld. Medeburgers met criminele bedoelingen kunnen zo ten minste makkelijk door politie en justitie worden aangepakt.
Je zou in de digitale omgeving dezelfde mate van privacybescherming willen bieden als in de fysieke.
Desalniettemin: als (openbare) bibliotheken echt die veilige omgeving willen zijn voor hun bezoekers en gebruikers – in het midden latend of dit identiteit is of imago – is het wel een probleem. Je zou in de digitale omgeving dezelfde mate van privacybescherming willen bieden als in de fysieke. Geen bibliothecaris die over je schouder meekijkt, geen camera’s, wel plekken waar men boeken en tijdschriften kan raadplegen zonder dat anderen dat kunnen zien. En dus ook geen datastroom die door de AIVD of een slimme buurjongen eenvoudig kan worden onderschept.
Street cred
In een tijd waarin bibliotheken onder de loep liggen van bezuinigende gemeenten kan een sterk privacybeschermingsbeleid aantonen waarom de lokale gemeenschap en de samenleving als geheel niet zonder openbare bibliotheken kunnen. Je geeft er als sector een signaal mee af: uw privédomein is mede onze zorg. Het verschaft daarnaast de nodige street credibility bij het verder positioneren van de bibliotheek als plek waar burgers terecht kunnen met vragen over mediawijsheid. Bijkomend voordeel: sinds medio 2014 beloont Google sites die encryptie met HTTPS aanbieden met een hogere positie in de ranking. Op deze manier wil de zoekgigant webmasters aansporen ’to keep everyone safe on the web’. Daar wil je als neutrale, veilige informatiebemiddelaar toch niet bij achterblijven – of wel?
+ + + Eerste hulp bij informatievrijheid + + +
Tijdens de VOGIN-IP-lezing eerder dit jaar verzorgden Marina Noordegraaf en ik een workshop onder de titel ‘EHBI – Eerste Hulp Bij Informatievrijheid‘. Hierin geven we informatie over bedreigingen van grondrechten van burgers en gaan we met informatieprofessionals in gesprek over de dilemma’s waarvoor zij in de praktijk kunnen komen te staan. Door deze workshop komt het vraagstuk van informatievrijheid en privacybescherming hoger op de agenda van uw organisatie te staan. Bovendien geven we tips en trucs om er wat aan te doen, zoals het gebruik van HTTPS. Bent u geïnteresseerd in het plaatsvinden van deze workshop in uw organisatie? Neem dan vrijblijvend met Marina of mij contact op.
Veilig grasduinen in de bibliotheek: ook digitaal by Frank Huysmans is licensed under a Creative Commons Attribution 4.0 International License.