VPinfo

Blunderonderzoek: Stelletje amateurs

stelletje-amateursToch grappig als een krant (u weet wel, die dode bomen met letters die vroeger in uw bus kwam) redactieleden van het moderne internet amateurjournalisten noemt.

Maar wie waren nu echt de amateurs in het geblunder van het jongerenonderzoek dat o.a. in opdracht van de gemeente Spijkenisse werd uitgevoerd?

De grootste amateur in dit verhaal is de uitvoerende organisatie, het Verwey-Jonker Instituut. Dit instituut verzorgt voor vele klanten allerlei onderzoeken. Zij voorzien opdrachtgevers van toonaangevende, bruikbare en wetenschappelijk onderbouwde antwoorden op sociaal-maatschappelijke vragen, aldus hun website.

Nu twijfel ik nog niet eens zo zeer aan de kwaliteit van de onderzoeksvragen. Gezien de lijst met medewerkers zal dat wel goed zitten, Fop-wetenschapper Stapel werkt er niet dus laten we maar van het positieve uitgaan.

Natte slip en veiligheidsaspect

Verwey-Jonker laat de feitelijke techniek over aan een ander bedrijf. NetQuestionnaires Nederland B.V. gevestigd in Utrecht. Op de site van dit bedrijf, www.netq.nl staat van alles te lezen over de werkwijze, de verschillende mogelijkheden die zij bieden en kosten die er aan gekoppeld zijn. De mogelijkheden die dit bedrijf biedt doet menig ambtenaar en onderzoeker “een natte slip” bezorgen. Wauw!, echt wat we willen weten en kunnen als we iets willen onderzoeken.

Maar ik mis iets bij deze beschrijving. Het veiligheidsaspect. Alle voordelen worden genoemd voor de onderzoeksresultaten maar geen duidelijke omschrijving hoe er om gegaan wordt met privacy, geen duidelijke beschrijving over hoe men omgaat met wachtwoorden, nergens een beschrijving of een onderzoek wordt afgenomen op een beveiligde site en of het verkeer naar die site wordt beveiligd (https, zoals u ook bij bankverkeer en sites ziet waar gevoelige informatie op verwerkt wordt).

Daarbij is de privacy sowieso niet gegarandeerd. Weliswaar meldt Netq dat zij geen gegevens aan derden verkoopt, zij verzamelen zelf wel erg veel data. Zie hier een stukje uit het privacy-beleid van het bedrijf: Wanneer iemand de NETQ Website bezoekt, zal informatie zoals IP-adres, browsertype en taal, tijdstip van het bezoek en clickstream data automatisch worden verzameld en opgeslagen. NETQ gebruikt deze gegevens om het bezoek aan haar website te analyseren om zo de website te verbeteren. Deze informatie gekoppeld aan de antwoorden in een onderzoek maakt het wel degelijk mogelijk om de anonimiteit van een deelnemer te schenden.

Ook lezen we bij netq.nl: NETQ zal veiligheidsmaatregelen nemen om onbevoegde toegang tot de gegevens of onbevoegde wijziging, publicatie of vernietiging van gegevens te voorkomen. Deze maatregelen zullen onder andere bestaan uit interne beleidscontroles en veiligheidsmaatregelen met betrekking tot het verzamelen, opslaan en verwerken van gegevens en fysieke veiligheidsmaatregelen om onbevoegde toegang tot systemen waarop persoonlijke gegevens zijn opgeslagen te voorkomen We kunnen zeker vaststellen dat door de toepassing van het zwakke wachtwoord Netq als technisch uitvoerder gefaald heeft. Of MOEST men een dergelijk simpel wachtwoord toepassen? Vreemd want de overheid raadt zelf aan om niet te simpele wachtwoorden te gebruiken

Het Verwey-Jonker instituut is blijkbaar zelf ook niet in staat om dit soort basisbeginsels die gekoppeld zijn aan online privacy mee te nemen in de opdrachten die men aan onderaannemers doorgeeft. Wat dat betreft, hopelijk leert deze blunder dit instituut, dat zij, op meer moeten letten dan het vergaren en verwerken van data. Als dank voor deze les zien wij graag een taart verschijnen.

Onderzoek manipuleren

De opzet was volgens ons ronduit slordig. Zelfs al was het een beveiligde site, de wijze waarop de wachtwoorden waren opgebouwd, maakte dat iedere simpele programmeur binnen een uur in staat is om een script te schrijven die een aantal handelingen kan uitvoeren.

Een script dat aan de hand van logica in het wachtwoord niets anders doet dan in te loggen op een formulier, deze geautomatiseerd de vragen laat invullen en doorgaat naar het volgende wachtwoord. Binnen een uur tijd is dan het onderzoek geheel opgeblazen. Even hebben wij er aan gedacht om dit uit te voeren. We besloten hier mee te wachten om eerst te kijken wat de reactie zou worden na eerste publicatie. Waren de vragen niet offline gehaald, dan zouden wij dit weekend deze actie hebben uitgevoerd.

Gemeente ook naïef

Als oud werknemer van de gemeente Rotterdam, weet ik hoe ambtelijke organisaties omgaan met ICT vraagstukken en zeker met internetkwesties. Toen al verbaasde ik mij er over hoe het gesteld was met deze problematiek. Ambtenaren die een dergelijke opdracht verstrekte aan uitvoerende organisaties zijn goed in staat om op te geven welke informatie men graag wil vergaren. Het bestuurlijke onderdeel van de opdrachten aan derden wordt vaak tot in de puntjes geregeld in het contract. Maar over aanvullende aspecten als privacy valt vaak weinig tot niets terug te lezen. Vaak komt men niet verder dan een vage omschrijving over anonimiteit.

Heeft de gemeente Spijkenisse wel een beleid op dit vlak? En zo ja? Heeft men een medewerker in huis die echt kundig genoeg is om dit soort processen te begeleiden. Ik zelf zet daar mijn vraagtekens bij. Nu al ontglipte de doorzichtigheid van de wachtwoorden aan de aandacht van de gemeente. Laat staan de standaard inlognaam: ik

Anonimiteit

De gemeente Spijkenisse heeft onder de deelnemers een aantal prijzen beschikbaar gesteld. Alleen dat al betekend dat er bekend is WIE er deelnemer is geweest aan een onderzoek. De koppeling tussen de bekende wachtwoorden en de bekendheid van deze wachtwoorden bij de gemeente (zij verzonden de brieven waarin de wachtwoorden vermeld stonden) maakt dit inzichtelijk.

Maar zelfs als dit niet bekend is, De gestelde vragen leiden met enig speurwerk ook tot de invuller van het onderzoek. Er werd immers gevraagd naar een aantal gegevens die herleiden naar invuller mogelijk maakt, zoals postcode (daarmee weet men de straat), op welke school men zat en zit (ook die gegevens zijn voor gemeenten zo na te gaan) werksituatie ouders (bij een uitkering ook weer na te gaan voor de overheid) en meer vragen die een goed profiel mogelijk maken.

Brief aan jongeren en hun ouders

Bovenstaande wetenschap botst met de garantie die in de brieven staan die zowel naar de jongeren als hun ouders zijn verstuurd: De antwoorden blijven anoniem en een regel eronder: Wij garanderen anonimiteit. Waarna er vervolgd wordt met de opmerking dat de gegevens alleen voor dit onderzoek gebruikt wordt. Of de individuele gegevens daarna vernietigd worden (en dan bedoelen wij niet alleen bij het instituut Verwey-Jonker maar ook bij Netq ) staat niets vermeld. Ook weten wij, aan de hand van die brief, niet of de gemeente de individuele gegevens ontvangt.

Prullenbak

Alle reeds vergaarde gegevens kunnen nu de prullenbak in. Men zal de deelnemers een nieuwe logincode en wachtwoord toe zenden. Maar wat gebeurd er met de reeds ingevulde formulieren? Feitelijk zijn alle ingevulde formulieren van voor de eerste publicatie door VPinfo.nl niet besmet. En dus te herleiden naar de deelnemers. Verwey-Jonker zal dus ook de vragenlijst moeten aanpassen om de bovenstaande kritieken op te lossen. Hierdoor komt er misschien minder data beschikbaar, maar blijft de privacy van de deelnemers gewaarborgd. En wij, we houden het vervolg in de gaten. Want een ezel stoot zich niet twee keer aan dezelfde steen…..toch???????

Mario Guagliardo

Mobiele versie afsluiten