‘Even googelen’ doen we dagelijks, maar wist je dat het internet nog veel meer informatie bevat die je hiermee niet te zien krijgt? En dat veel van die informatie door iedereen te vinden is, als je maar beschikt over de benodigde kennis en het juiste gereedschap? Open Source Intelligence (OSINT) is een techniek om online sporen die op het eerste gezicht verstopt lijken, boven te halen. Om hier handig in te worden, kunnen professionals met allerlei achtergronden hier trainingen in volgen. Ook mediacoaches bijvoorbeeld. Handig in uiteenlopende situaties, denk aan het opsporen van cybercriminaliteit. Maar de techniek roept ook vragen op. Als je als internetgebruiker niet weet dat sommige sporen zichtbaar zijn voor anderen, is het dan wel oké als deze gebruikt worden om een profiel van jou te vormen? En hoe ‘open’ is de informatie eigenlijk? Ik sprak met twee ervaringsdeskundigen. Een tipje van de sluier: OSINT biedt voor mediawijsheid professionals mogelijkheden én food for thought.
Op internet laat je sporen achter. Soms zijn die heel zichtbaar, bijvoorbeeld wanneer je zelf een foto openbaar op Facebook plaatst. Van andere online sporen ben je je wellicht minder bewust. Mensen kunnen verschillende redenen hebben om ‘verborgen’ informatie te achterhalen: denk aan een docent die online pesten wil stoppen, of de politie die verdachte online activiteiten van een crimineel nagaat. Maar ook een bankmedewerker die een potentiële klant controleert, of een roddelkrant die de activiteiten van een bekende Nederlander volgt. De gemene deler is het informatie vergaren uit openbare bronnen op internet.
Ik ben benieuwd hoe zo’n training om dit onder de knie te krijgen in zijn werk gaat en hoe ver online zoektechnieken mogen gaan. Ik spreek met Bram Martin, oprichter en hoofd trainingen bij de Aware Online Academy, en Susanne van Rootselaar, onderwijsprofessional en mediacoach die zo’n training (bij een andere partij) volgde.
Geen behoefte aan pottenkijkers
Ondanks dat er bij OSINT gebruik wordt gemaakt van openbare bronnen, heb je in veel gevallen wel bepaalde kennis, ervaring en methodieken nodig om op een bepaalde manier te zoeken en zo bij de informatie te komen. Ik kan me voorstellen dat dat de vraag oproept hoe open de informatie dan eigenlijk is.
En dan is er nog het gebruik van bijvoorbeeld proxyservers (een soort ‘tussenserver’ waarmee je (gedeeltelijk) je identiteit en/of locatie kunt verbergen) of anonymizers (waarmee jouw online activiteit minder makkelijk traceerbaar is). Wat betekent het als deze worden ingezet bij het online onderzoek doen?
Bram vertelt me meer over de juridische en ethische kaders. “Het verzamelen van informatie uit openbare bronnen wordt door de wet beperkt omdat het verzamelen van persoonsgegevens een inmenging vormt met de rechten en vrijheden van mensen, het zogeheten ‘recht op privacy’. Een inmenging op deze rechten en vrijheden mag wel degelijk plaatsvinden, maar de wet bepaalt onder welke voorwaarden. De algemene regel daarbij luidt dat hoe groter de inmenging op iemands privacy is, hoe meer voorwaarden van toepassing zijn. Omdat open bronnenonderzoek voor diverse doeleinden wordt uitgevoerd door medewerkers van verschillende organisaties, bestaat er niet één algemeen juridisch kader dat precies voorschrijft wat er wel en niet mag.
Los van de wettelijke grenzen, bestaan er inderdaad ook min of meer ethische afwegingen. In sommige gevallen lijkt de wetgeving achter te lopen op de snelle digitalisering, waardoor er niet voor elke situatie duidelijke kaders bestaan. In deze situaties is het van belang dat er duidelijkheid komt, bijvoorbeeld door nieuwe wet- en regelgeving. In de tussentijd dient men in zulke situaties zelf en in overleg keuzes te maken en rekening te houden met bijvoorbeeld de beginselen van proportionaliteit en subsidiariteit.
Daarnaast kan er soms informatie via bijvoorbeeld sociale media worden ontsloten waarvan de gebruikers niet weten dat dit mogelijk is. De vraag in deze situaties is in hoeverre deze informatie nog als openbare bron beschouwd kan worden. Een Facebook account ‘afsluiten’ wordt immers zeer waarschijnlijk gedaan omdat men geen behoefte heeft aan pottenkijkers, maar deze informatie blijft voor een deel dus gewoon openbaar beschikbaar zonder dat men hier erg in heeft. En Facebook is daar uiteraard slechts één voorbeeld van.”
De aanbieders van OSINT trainingen die ik tijdens mijn research tegenkom, besteden gelukkig ook aandacht aan ethiek, veiligheid en privacy. Keuzes en afwegingen maken als je gebruik wilt gaan maken van OSINT vraagt om een stukje mediawijsheid, zeker in situaties waarvoor er nog geen concrete regelgeving is.
Niet controleren, maar adequaat kunnen handelen
Susanne, voorzitter van de Nationale Beroepsvereniging MediaCoaches en tevens werkzaam in het onderwijs, heeft onlangs met collega’s een OSINT training gevolgd. Haar doel: niet spioneren, maar weten wat er in de online wereld allemaal mogelijk is en deze kennis inzetten om jongeren te helpen wanneer het nodig is. “Iedereen roept heel hard over bijvoorbeeld het dark web: ‘dat doen kinderen niet’, maar ze zijn vaak veel slimmer met de techniek dan wij denken.” Ze geeft aan veel geleerd te hebben van de training. “Het mooie is: als je geconfronteerd wordt met een situatie waarvan je voorheen nog zei ‘daar heb ik geen kaas van gegeten’, weet je nu wat je te doen staat. Stel dat een leerling vermist is en dat het vermoeden bestaat dat er een loverboy in het spel is? Nu hebben we er meer en beter zicht op hoe we zo’n probleem kunnen benaderen.”
Ook benadrukt Susanne dat je je niet altijd in het eerder besproken gebied zonder duidelijke juridische/ethische kaders hoeft te begeven om OSINT in te zetten. “We hebben ook gewoon tips gekregen om te zoeken, met een casus: om eens verder te kijken dan je neus lang is. Hoe kun je nu heel gericht de informatie vinden die je wilt hebben? Vaak is dit gewoon een kwestie van op de juiste manier de zoekmachine gebruiken én logisch nadenken. Ik heb daarnaast heel veel aan mijn leerlingen zelf, die dingen komen vertellen en weten wie een nepprofiel heeft aangemaakt of loopt te cyberpesten. Ik heb nu de handvatten om daar iets mee te doen.”
Zo steek je er ook zelf iets van op
Een andere manier om Open Source Intelligence verantwoord te gebruiken? Grijp de techniek aan om meer inzicht te krijgen in jouw eigen online sporen en privacy. Bram: “Na het volgen van een training besluiten de meeste cursisten meestal om hun eigen online identiteit drastisch te veranderen.” Die ervaring had ook Susanne. Tijdens de training die zij volgde, werd haar Facebookprofiel als voorbeeld gebruikt. “Dat was confronterender dan ik had verwacht. Je verwacht niet dat zoveel informatie met een simpele plugin boven te halen is, en dan ga je toch anders tegen je eigen mediagebruik aankijken. Al die fragmenten worden ongevraagd een heel profiel en vormen een beeld van wat voor persoon jij bent.”
Overweeg je om met OSINT aan de slag te gaan of een training te volgen? Ik hoop dat deze informatie je inspireert om daarbij mediawijze keuzes te maken en de kans aan te grijpen om ook op je eigen mediagebruik te reflecteren.
Reacties 1
Ik ben bezig met de cursus Digitaal rechercheur en moet zeggen dat ik voor info altijd wel bij Osint uitkom
ik zou graag nog eens een cursus willen volgen daar maar het is best duur en dat houd dan weer tegen .
Reacties worden eerst goedgekeurd door de redactie.