Publeaks is een nieuw initiatief van een aantal media om geautomatiseerd het lekken van informatie te faciliteren. Daarbij wordt door een aantal slagen een hogere mate van anonimiteit beloofd. Toch is veel onduidelijk en dat is niet fair naar mensen die behoorlijke risico’s nemen.
Sommige misstanden zijn zo erg dat ze het verdienen in de openbaarheid te komen. In het licht van transparantie zijn slechte praktijken aan te pakken. Daarvoor zijn wel klokkenluiders nodig met de moed dit te doen. Maar wie naar buiten treedt, komt er slecht vanaf. Julian Assange, Bradley (of Chelsea) Manning, Ad Bos, Fred Spijkers en Edward Snowden zagen hun leven geruïneerd worden voor het naar buiten brengen van dingen die niet deugen en soms regelrechte oorlogsmisdaden waren.
Veel mensen willen dus uit zelfbescherming best de misstand aanpakken, maar dan anoniem. Publeaks wil dat mogelijk maken met een website waar klokkenluiders hun informatie kwijt kunnen. Een groot aantal media, waaronder media voor wie ik werk, doet aan het project mee.
De laatste dagen werd mij veel gevraagd of de site veilig is. De makers roepen van ja, maar schieten tekort in het bewijzen van hun claim. Er wordt gesteld dat er een onderzoek is verricht, maar de resultaten zijn nog niet binnen. Wat er onderzocht is, hoe diep dat ging, of er negatieve bevindingen zijn en tegen welke risico’s beveiliging is getoetst, weten we niet.
Laat me een voorbeeld geven. Wie wil lekken zal naar de site moeten. Die blijkt in Nederland te staan en is dus niet meer dan een pennestreek door Ronald Plasterk verwijderd van een vordering. Volg de bezoekers en de bron is mogelijk identificeerbaar. Afhankelijk van het lek maakt het dan niet meer uit of een week of twee later wordt gelekt. Sinds de onthullingen rond PRISM is duidelijk dat veel technische omgevingen worden gehacked door overheidsorganisaties. Waarom deze niet?
De gebruikers krijgen het advies om sporen te wissen. Dat is heldere taal voor doorgewinterde IT’ers, die daarbij overigens veel fouten maken, maar niet voor reguliere gebruikers. Zij hebben echt meer uitleg nodig. Ook over het gebruik van technieken om risico’s met succes te beperken wordt eigenlijk maar weinig gezegd.
Na het verzenden komt het lek bij een of meerdere redacties uit. Hoe zij omgaan met de gegevens en hoe daar de risico’s op misbruik worden geborgd is mij niet duidelijk. Kort samengevat ontbreekt het aan de juiste borging van beveiliging, moeilijk uitgedrukt ontbreekt het aan de juiste governance. Als Publeaks het goed doet dan moeten ze nu nog gaan overtuigen en dat doen ze bij mij niet.
Het is enorm belangrijk dat mensen de moed hebben met misstanden naar buiten te treden. Maar voorop moet staan dat mensen beseffen risico te lopen. We leven in een land waar politie en justitie met liefde geld investeren in de hoop een journalist kalt te stellen, laat staan een klokkenluider. In zo’n omgeving moet beveiliging goed geborgd zijn. Juist ook bij Publeaks.