Met een grijze zwabber loopt een jongedame op een woensdagavond door een snackbar in Bleiswijk. Ze heeft een zwart shirt aan met op de achterkant de bedrijfsnaam. Om 5 over half 10 gaat de telefoon. De vrouw pakt het toestel en loopt er het beeld mee uit. Na 42 seconden komt ze terug en hervat ze haar schoonmaakwerkzaamheden.

Dit is een van de ongeveer 650 taferelen die live via de website insecam.org te bekijken zijn. Dit betekent dat een knul uit Tadzjikistan gierend van het lachen op zijn telefoon kan zien dat de vrouw aan het eind van haar werkzaamheden de emmer met sop omstoot en weer opnieuw moet beginnen.

Dat de hele wereld die beelden kan zien is een kwalijke zaak, vindt internetjurist Arnoud Engelfriet. „Het geval van de schoonmaakster in Bleiswijk is niet zo schokkend, maar er zijn via insecam.org ook beelden te zien vanuit bijvoorbeeld een babykamer. Tegenwoordig hebben veel babyfoons een camera. Die is vaak op internet aangesloten, zodat ouders op hun telefoon kunnen zien of hun kind lekker slaapt. Het is dan natuurlijk niet de bedoeling dat de hele wereld mee kan kijken.”

Chinese fabrikanten

Het probleem achter insecam.org en meer soortgelijke websites is een rammelende beveiliging van de camera’s. Hacker Mischa van Geelen, in het dagelijks leven forensisch veiligheidconsultant, legt uit waarom die beveiliging vaak onder de maat is. „Fabrikanten zijn meestal alleen gebaat bij snelle productie en veel afname van de camera’s. In Nederland en Europa moeten zij zich aan strenge regels omtrent productbeveiliging houden. In China niet. En de meeste camera’s die wij hier gebruiken, worden daar gefabriceerd. Chinese fabrikanten produceren de camera’s met een open videoverbinding zodat elke internetgebruiker ze kan zien. Dat is makkelijker en goedkoper. Ze denken: de klant zorgt zelf maar voor de beveiliging. De aansporing om dat te doen staat vaak wel in een handleiding, maar wie leest die?”

Volgens Engelfriet kunnen websites als insecam.org niet verboden worden. „Er is nog geen goede wetgeving voor. En ook al zou die er in Nederland zijn, dan kunnen die websites vanuit een land zonder wetgeving op dit terrein gerund worden. De websites doen in theorie niets strafbaars. Ze verwijzen alleen maar naar bestaande open bronnen. Die camerabeelden zijn namelijk al openbaar, alleen zijn die voor leken niet makkelijk te vinden. Mensen die handig zijn met de computer speuren ze zo op.”

Regeerakkoord

Het nieuwe kabinet, Rutte III, wil de problematiek rond slecht beveiligde camera’s aanpakken. In het pas gepresenteerde regeerakkoord staat dat er standaarden moeten komen voor de beveiliging van apparaten die op internet aangesloten zijn. Ook moeten bedrijven aansprakelijk worden gesteld voor de veiligheid van de software die ze leveren.

De Autoriteit Consument en Markt (ACM) is voorzichtig optimistisch over de plannen. „Het gaat om een vermelding in het regeerakkoord. De concrete invulling daarvan laat nog op zich wachten”, zegt woordvoerster Saskia Bierling.

Als de plannen in wetgeving worden omgezet, ziet de ACM op dit terrein een rol voor zich weggelegd. „Het kabinet wil producenten van de camera’s aansprakelijk stellen voor het mogelijk maken van schending van de privacy. Slecht beveiligde camera’s zijn dan in strijd met het consumentenrecht. Gebruikers van de camera’s hebben het recht op een juiste werking van het product. Aan ons de taak om fabrikanten te vragen: Doet een product wat je ervan mag verwachten? Als een beveiligingscamera er juist voor zorgt dat de hele wereld in je huiskamer kan kijken, doet hij niet waar hij voor bedoeld is.”

Het maken van een website zoals Insecam is volgens hacker Van Geelen niet heel moeilijk. „Ik ken mensen die er in een paar uur een opgezet hebben. Voor hackers en andere mensen die heel vaardig zijn met de computer is geen probleem.”

Er zijn volgens Van Geelen genoeg providers die zo’n website faciliteren. „Je moet voor zo’n website ook een domeinnaam kopen. Een aantal providers wil die niet verkopen voor dit soort websites, maar de meeste doen daar niet moeilijk over. In Nederland heb je bijvoorbeeld CyberBunker. Die faciliteert echt alle soorten websites, behalve als ze iets te maken hebben met kinderporno of terrorisme.”

Kroketten

In een spiraalvormige band worden de kroketten van paneermeel voorzien. Daarna vallen ze in een openstaand kartonnen doosje. Tweeëndertig stuks per doos. Via een lopende band worden de dozen naar een machine vervoerd die ze dichtvouwt. Even verderop plakt een robot er een sticker op. Een medewerker stapelt de dozen op een pallet.

Maandenlang kon de hele wereld vanachter de pc volgen hoe deze kroketten gemaakt en verpakt worden. Sinds kort niet meer. Deze krant confronteerde de bedrijfsdirecteur met die gang van zaken. „Zijn er beveiligingsbeelden van ons bedrijf over de hele wereld te zien? Dat meent u niet”, reageerde de directeur onthutst. „Ik ga er direct achteraan. Het is hier een heel camerapark. We hebben meer dan dertig camera’s, en deze is jammer genoeg door de beveiliging geglipt. Wij geven veel om de privacy van onze werknemers, dus dit is echt niet de bedoeling.” Aan het eind van het telefoongesprek gaat het beeld op zwart. „Het is geregeld. In de instellingen stond de mogelijkheid om de camera openbaar te maken aangevinkt. Gek dat dat zo ingesteld stond.”

Dat is ook waar Engelfriet zich over verbaast. „Het zou goed zijn als fabrikanten de camera’s zó maken dat de camera niet werkt zolang de klant geen eigen beveiliging heeft ingesteld. Zolang die regeling er niet is, roep ik mensen ertoe op om te checken of hun eigen beveiligingscamera goed beveiligd is. Heb je er nog nooit naar gekeken, ga er dan van uit dat het niet goed zit.”

Onbeveiligde camera’s

Op de website insecam.org zijn tal van camerabeelden te zien van voordeuren, oprijlanen, garages en koeienstallen. Bezoekers kunnen zelfs meegluren in een babykamer, een keuken en zelfs een douche. Uiteraard weten de eigenaren van de camera’s niet dat ze voor het oog van alle internetgebruikers te zien zijn.

Verder staan op de website ook bedoeld openbare webcams. Bijvoorbeeld van NPO Radio 1.

Dagelijks wordt de website ververst en komen er camera’s bij of gaan weg. Gemiddeld zijn er 650 Nederlandse webcams live te volgen. Daarmee staat Nederland op de 9e plek. Amerika staat bovenaan met een kleine 6000 camera’s, gevolgd door Turkije en Japan (beide ongeveer 2000).

Behalve via Insecam kunnen via websites zoals Shodan en Censys gemakkelijk onbeveiligde camera’s worden bekeken. Volgens hacker Mischa van Geelen is vooral Shodan een grote jongen. „Het is de Google onder dit soort websites. Je kunt daar bijna alle soorten apparaten die met internet verbonden zijn uitlezen. Je ziet dan alle data die ze via internet binnenkrijgen of verzenden. Denk aan printers, harde schijven en computers die in de industrie worden gebruikt.”

Kapperszaak

Said Moujahid (45) is een van de twee eigenaren van Kapsalon Opera in Den Haag. Het is even na het middaguur en in het pand aan de Prinsegracht keert na een drukke ochtend de rust weer. Moujahid, zwart naar achter gekamd haar, puft uit van zijn knipwerkzaamheden. „Het was een drukke ochtend”, vertelt hij. Via internet was dat voor de hele wereld te zien.

Als Moujahid geconfronteerd wordt met het feit dat zijn kapperszaak via insecam.org over de hele wereld te begluren is, reageert hij verrassend. „Ik vind dat geen probleem. Het is reclame. Iedereen kan zien hoe goed ik knip.”

Over de privacy van zijn klanten maakt Moujahid zich geen zorgen. „De mensen hebben gewoon kleren aan, hoor. Ze zitten hier bovendien niet zo lang en het zijn allemaal mannen. Zo gevoelig ligt het dus niet.” Terwijl een klant komt binnenlopen, vertelt hij verder. „Toen ik drie maanden geleden doorkreeg dat de beelden van mijn camera door alle internetgebruikers te zien zijn, heb ik diverse klanten gevraagd of ze dat een probleem vinden. Het maakte hun niets uit, dus waarom zou ik er iets aan doen? Sommigen gebruiken het nu om te kijken wanneer het rustig is in de zaak en ze dus direct aan de beurt zijn.”

Als alle betrokkenen met de verspreiding van de beveiligingsbeelden instemmen, is er volgens Engelfriet geen probleem. „Je kunt een vraagteken zetten bij hoe weloverwogen die overeenstemming in de praktijk is. In het geval van de kapper in Den Haag: gaat hij elke nieuwe klant ook vragen of hij er bezwaar tegen heeft?”

Als niet één klant er bezwaar tegen heeft, kan volgens Engelfriet niemand Moujahid verbieden zijn gezicht aan de wereld te laten zien. „Dat is een vorm van zelfexpressie waar internet vol mee staat. Voor sommigen is het hun broodwinning.

Als Moujahid zou zeggen: „Door de winkelruit kun je ook bij mij naar binnen kijken, dus klanten hebben sowieso al geen privacy”, dan is dat volgens Engelfriet niet verdedigbaar. „Er zit qua aantal potentiële kijkers nogal een verschil tussen een winkelruit of het wereldwijde web. Bovendien kunnen beelden op het web worden opgenomen.”