Rules of the road voor het internet

93,7 procent van de Nederlandse bevolking is aangesloten op het internet, de Nederlandse consument staat in Europa op nummer vier wat betreft internetaankopen en we zijn zelfs tweede als het gaat om online bankieren.  Deze digitalisering leidt tot veel voordelen, maar brengt ook ingewikkelde vraagstukken met zich mee. Bijvoorbeeld over privacy en de omgang met data. Zo leidde het Facebookschandaal met Cambridge Analytica, waarbij 90.000 Nederlanders werden getroffen, tot veel ophef en onrust. Ook kunnen cyberaanvallen grote onvoorziene gevolgen hebben, zoals de recente NotPetya-aanval, die wereldwijd enorme schade aanrichtte door de data op computernetwerken en servers te wissen.

Nederland heeft daarom een duidelijke visie geformuleerd in zijn internationale cyberstrategie: een vrij, open en veilig internet, voor iedereen. Maar niet elk land deelt deze opvatting. En aangezien het cyberdomein niet wordt afgebakend door landsgrenzen, vergt het waarborgen van online vrijheid en veiligheid internationale inspanning. Samen steken we daarom de handen uit de mouwen om te proberen consensus te bereiken over de omgangsvormen in de online wereld. In eerste instantie wordt hierbij naar het internationaal recht gekeken, waarbij het uitgangspunt is dat het recht in de online wereld gelijk toepasbaar is in de offline wereld. Dit is echter niet altijd even helder, waardoor de meningen over deze omgangsvormen nog wel eens uiteen lopen.

Een van de aanjagers van het debat over online omgangsvormen is het The Hague Program for Cyber Norms, een meerjarig onderzoeksprogramma van de Universiteit Leiden in Den Haag, gefinancierd door het Ministerie van Buitenlandse Zaken. De Veiligheidsdiplomaat sprak met Dennis Broeders, sinds april Senior Fellow van het programma, en vroeg hem naar het nut en de noodzaak van cybernormen.

Wat zijn ‘cybernormen’ eigenlijk?

De afgelopen jaren hebben we door het internet een grote technologische, culturele en sociaal-politieke ontwikkeling doorgemaakt, zonder een duidelijk kader hoe we hiermee om moeten gaan. De uitdaging is nu om een manier te vinden om bepaalde rules of the road vast te leggen voor het internet. Hoe willen we online met elkaar omgaan, in deze nieuwe wereld? In werkelijkheid blijkt de toepassing van internationaal recht nog niet zo eenvoudig te zijn. Er wordt daarom eerst gezocht naar een andere, niet juridisch bindende, omgangsvorm. Daar komen ‘cybernormen’ om de hoek kijken. Cybernormen bevinden zich eigenlijk in een laag onder het recht, het zijn niet-bindende afspraken. Dit heeft voordelen: het feit dat normen niet helemaal uitgekristalliseerd zijn kan handelingsruimte bieden. Maar het brengt ook nadelen met zich mee. Een prangende vraag daarbij is wat we doen als er niet goed met cybernormen wordt omgegaan. Als normen straffeloos overtreden kunnen worden, holt dat hun werking uit.

Kunt u ons een voorbeeld geven van een dergelijke cybernorm?

Een voorbeeld hiervan is het debat rondom de zogenaamde publieke kern van het internet. Het gebruik van het internet is een wereldwijd publiek goed, waar iedereen van zou moeten kunnen profiteren. Er zijn echter steeds meer staten die het internet aan banden willen leggen of soevereiniteitsaanspraken maken. Daarom heb ik in 2015, namens de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) het rapport De publieke kern van het internet: een internationale agenda aan minister Koenders aangeboden. Een belangrijk onderdeel van deze agenda was het vastleggen van een internationale norm die duidelijk maakt dat staten de toegankelijkheid en integriteit van de publieke kern van het internet moeten respecteren. Daarbij gaat het echt om de kernprotocollen en infrastructuur van het internet en niet om de laag van de inhoud (het WWW). Het ministerie van Buitenlandse Zaken heeft die norm in zijn internationale cyberstrategie overgenomen en werd zo een internationale cyber norms entrepreneur. Ook de Global Commission on the Stability of Cyberspace kwam in 2017 met een voorstel voor een norm om de public core of the internet internationaal te beschermen.  Het opstellen van deze cybernorm draagt bij aan het beschermen van de betrouwbaarheid en integriteit van het internet als infrastructuur. Dat is van levensbelang, gezien alles wat we bovenop het fundament van die kern hebben gebouwd.   

Wat houdt het werk dat jullie met cybernormen doen in, en welke invloed kunnen jullie uitoefenen op het debat?

Het werk dat we verrichten met het The Hague Program for Cyber Norms heeft twee gezichten. Enerzijds zijn we wetenschappers die bestuderen wat er in de digitale wereld gebeurt en een bredere kennisbasis over cybernormen opbouwen. Anderzijds zijn we een denktank, die zich ook naar buiten richt. De toegevoegde waarde van ons werk ligt in onze wetenschappelijke en onafhankelijke positie. We kunnen daardoor zaken aankaarten en benoemen waar een beleidsmaker zich misschien van zou weerhouden. Die kunnen daar weer gebruik van maken in hun werk.  Ieder heeft zijn eigen verantwoordelijkheid, maar er zit veel meerwaarde voor beide kanten in de interactie tussen onderzoek en beleid.

Wat is de grootste uitdaging die u tegenkomt als u kijkt naar de huidige digitale wereld?

Dat is ongelofelijk ingewikkeld en speelt zich deels af op het meta-niveau. We hebben het idee van een internet als uiting van een soort nieuwe vrijheid inmiddels deels achter ons gelaten. Recente schandalen en aanvallen hebben laten zien dat deze vrijheid niet vanzelfsprekend is, en dat hier misbruik van gemaakt kan worden. We zijn daarom nu op een Quo vadis moment beland: waar gaan we nou eigenlijk naartoe, wat is het karakter van het internet? Daarnaast zie ik een groot probleem wat betreft de integriteit van data aankomen. We hebben inmiddels ontzettend veel aan het internet toevertrouwd: de economie en ons sociale leven zit bijvoorbeeld voor een groot deel aan het internet gekoppeld. De gevolgen zijn enorm als we bedenken dat die data mogelijk niet meer betrouwbaar zijn. We hebben de afgelopen jaren de eerste aanzetten hiernaartoe gezien. Aanvallen als Wannacry, ransomware die de toegang tot data blokkeert, en NotPetya, die data eenvoudigweg vernietigt, kunnen zomaar opgevolgd worden door een aanval die data willekeurig door elkaar husselt. Stel je voor dat een grote bank geen idee meer heeft welke bedragen bij welke rekeninghouder horen. De technologie heeft veel meer mogelijk maakt dan vroeger, maar dit heeft helaas ook ongewenste effecten.

Laten we, om af te sluiten, naar de initiatieven in Nederland kijken om de aanjagers van het debat bijeen te brengen. Op 5, 6 en 7 november organiseren jullie de conferentie “Responsible Behaviour in Cyberspace: Novel Horizons”, waar u ook keynotespreker zult zijn. Kunt u hier wat meer over vertellen?

Tijdens de conferentie zullen we interessante cyberonderwerpen aansnijden, zoals de machtsverhoudingen in het digitale domein en de betrokkenheid van private actoren in het cybernormsdebat. Een van onze doelen met dit evenement is om te kijken of we de volgende generatie van cyberacademici kunnen aanboren en hen een platform kunnen bieden. We zoeken hierbij ook naar de interactie met andere stakeholders. Natuurlijk zijn beleidsmedewerkers van de Ministeries ook welkom!