Het gesprek vindt plaats in zijn nieuwe woonplaats Amstelveen, op een zonnig terras. Zijn eerste actie is dat hij zijn nieuwe boek op tafel legt. Vol trots. De titel (Survivalgids voor de digitale jungle) is veelzeggend en gebaseerd op een waargebeurd verhaal. “Begin 2018 was ik in een park in Kenia en zag een kudde beesten die naar de poel kwamen om water te drinken. Iets verderop zag ik een paar beesten op de uitkijk staan, een prachtig gezicht. ’s Nachts werd ik wakker, omdat ik een olifant hoorde tetteren. Dan trilt de grond. Toen ik mijn tent uit was, zag ik alleen nog maar stof. Ineens viel bij mij het kwartje. Alleen als er iemand op de uitkijk staat, kan de kudde overleven. Dat is precies wat wij moeten doen met onze digitale risico’s: elkaar waarschuwen. Het collectieve belang is zoveel groter dan het individuele, maar wat doen wij? Wij houden het stil, voor onszelf en delen niks. Moet je je voorstellen dat een giraf een leeuw ziet aankomen, niks zegt en er dan in zijn eentje vandoor gaat?”

Laten we beginnen bij het begin. Waar komt jouw interesse voor digitale veiligheid vandaan?

“Dat is me met de paplepel ingegoten. Mijn vader heeft de tweede computer in Nederland geïnstalleerd. Als kind ging ik vaak met hem mee naar kantoor. Mijn eerste programma schreef ik toen ik vijf of zes was. Dat is niet wat jongens normaal gesproken op die leeftijd doen, maar ik dus wel. Toen ik een jaar of twaalf, dertien was, ben ik echt gaan spelen met die computers en na 11 september 2001 ben ik serieus gaan schrijven. Ik had meteen door dat 9-11 groot was en we met technologie te maken kregen die tegen burgers was gericht.”

Wat is jouw missie?

“Er wordt veel gezegd en geschreven over beveiliging, spionage en cyber en wat me irriteert, omdat het gewoon onjuist en onwaar is, is de pose van ‘specialisten’. Zij doen vaak of ze het allemaal zo goed weten en jij heel dom bent. Hele volksstammen laten zich gekke zeepsopverhalen aansmeren, terwijl het zo simpel kan zijn. Ik wil cybercriminaliteit en spionage weer tot normaal risicobeheer terugbrengen.”

Je staat als een bijter bekend en was zelfs persona non grata bij de politie vanwege je vele Wob-verzoeken. Ben je nog steeds zo’n bijter?

“Ik ben altijd al een pitbull geweest, maar het ligt wel een beetje aan de missie. Als een klant een missie heeft die ik ook zie, dan bijt ik me vast. Maar ik heb intussen wel geleerd om zo nu en dan het einde van een missie te zien en los te laten.”

Wat is jouw drive?

“Dat is een heel persoonlijke. Zo’n beetje mijn hele familie is vermoord in de Tweede Wereldoorlog, omdat informatie in verkeerde handen is terechtgekomen. Dat misbruiken van gegevens voor verkeerde doelen heeft mijn leven gevormd. Ik vind dat mensen de informatie moeten hebben om zelf de juiste keuze te kunnen maken en daar is een goed (toetsings)kader voor nodig. Neem de Kaspersky-zaak. Iedereen heeft het over spionage, maar als je het afpelt, is het gewoon een beveiligingsprobleem dat prima beheersbaar is. Daarom oordeel ik ook zoveel harder over Huawei dan over Kaspersky. In hardware kun je dingen verstoppen. Dat is in software veel moeilijker. Maar dat moeten we wel uitleggen. En toetsen. Daarom hebben we een goed kader nodig en nee, ik voel je volgende vraag al komen, ik ga niet de politiek in.”

Zo’n vijf jaar geleden noemde je big data vooral gevaarlijk en nu sta je in het hol van de leeuw om verzekeraars te voorzien van tips. Het lijkt wel of je milder bent geworden?

“Als je ouder wordt, word je sowieso milder, maar het heeft ook met mijn rol te maken. Als journalist had ik een andere rol dan nu als (beveiligings)onderzoeker. Bovendien heb ik al zoveel casussen voorbij zien komen, dat ik ook wel zie dat verzekeraars tools nodig hebben om fraude te kunnen opsporen en te onderzoeken. Waar ik wel moeite mee heb en blijf houden, is de geautomatiseerde besluitvorming. Dat je hypotheek wordt geweigerd, omdat je één vraag verkeerd invult. Een verschrikking. Het gaat fout als opeens het doel van het verzamelen van gegevens gaat schuiven.”

Jij hebt intussen al duizenden lekken onderzocht, is daar een gemene deler uit te halen?

“In zijn algemeenheid? Laksheid. Bedrijven krijgen vaak te maken met hacks en datalekken, omdat ze de systemen en software niet updaten of de wachtwoorden niet wijzigen. In meer dan negentig procent van de gevallen kan een lek prima worden voorkomen.”

Is het zo simpel: meer updaten en wachtwoorden wijzigen?

“Vaak wel, maar we moeten ook meer mensen opleiden. Als er bij een bedrijf een alarm afgaat, heeft de beheerder meestal geen idee wat hij moet doen. Vergelijk het met een peuter dat te water raakt. Dat kind verstijft en daarom verdrinken kinderen zo snel. Dat is precies hoe wij met ICT omgaan. We verstijven. Als kinderen ouder worden, krijgen ze die reflexen wel onder controle en dat is voor de omgang met ICT ook wel een goed idee.”

Verzekeraars zeggen wel eens gekscherend dat een ramp, hoe erg ook, soms nodig is om ogen te openen. Geldt dat nu ook?

“Ik weet niet hoeveel rampen er nog moeten volgen. We hebben er al zoveel gehad. Misschien is de 737 MAX van Boeing een goed voorbeeld?”

Wat is jouw rol bij het event? Wat wil je verzekeraars meegeven?

“Dat zij de samenleving veiliger kunnen maken. Het belangrijkste is dat de technologie naar een hoger plan wordt getild. Als we een vuist willen maken tegen criminaliteit, spionage en digitale ongelukken, dan móet het niveau omhoog en er zijn twee partijen die dat kunnen regelen: de politiek, in de vorm van regelgeving, en verzekeraars. Ik zet mijn geld op die laatste. Verzekeraars zijn degenen die de rekening betalen als het misgaat en ik zou ze willen vragen of ze alleen die rekening willen betalen of ook de risico’s willen managen? Wat mij betreft mogen ze meer kijken naar hun zorgcollega’s, die doen ook veel meer dan alleen maar betalen.”

Over welke risico’s heb je het dan?

“Het grootse risico is misschien wel dat ze overbodig worden. Ik ben er heilig van overtuigd dat het een kwestie van tijd is voordat we allemaal autonoom rijden en daarmee verandert de rol van de verzekeraar natuurlijk ook. We hebben tijdens het event genoeg voorbeelden waaruit blijkt dat verzekeraars een kwaliteitsslag moeten maken als ze de boef de baas willen zijn. Want waarom kunnen verzekeraars niet tegen hun klanten zeggen: als jij je software niet op tijd update, dan vervalt de dekking op termijn? Ik vergelijk het wel eens met de privacywetgeving van de AVG (de Algemene Verordening Gegevensbescherming die sinds mei 2018 geldt). Er wordt nu steeds vaker geroepen dat de Autoriteit Persoonsgegevens boetes moet opleggen. En misschien moeten ze daar wel zo zoetjes aan ook mee beginnen, maar waarom kijkt niemand naar wat er wel is bereikt?”

Wat vind jij van de AVG?

“De AVG is een goed begin. Wat in het bedrijfsleven maar niet doordringt, is dat de wetgever uitgaat van een weloverwogen afweging hoe je met data omgaat. Het woord risico komt exact zeventig keer voor in de AVG. Dan moet je niet in extremen praten, want juist dat is de charme van de wetgeving. Je ziet dat de weerstand zich uit tegen nadenken over data. Precies daar zit bij beveiliging een groot deel van het risico."

Wat is, naast overbodig worden, nog een ander, groot risico voor verzekeraars?

“Het risico op massale incidenten. Denk aan een virus dat de hele wereld overgaat en containerterminals en andere bedrijven wereldwijd lamlegt. Een statelijke operatie die tientallen miljoenen computers infecteert.”

Een doemscenario dus?

“Nee, realiteit. Kijk naar Cisco Routers dat nu in het nieuws is. Vergis je niet, die routers zitten overal. Routers zijn kastjes op internet die het internetverkeer rondleiden. Zo’n tachtig procent is van Cisco en ik zal je niet vermoeien met de techniek, maar als je weet hoe dat werkt, kun je vanuit iedere huiskamer het hele internet platleggen. Als je de boel wilt ontregelen, kun je software ontwikkelen en bijvoorbeeld aan een land vragen: ‘Had u een ochtendspits willen hebben of niet?’ Geloof me, je legt dan echt alles lam.”

Zijn verzekeraars zich dat bewust?

“Absoluut niet. Wat mensen stelselmatig niet snappen, ook verzekeraars niet, is dat een regulier, fysiek incident op zichzelf staat, maar dat het in de digitale wereld anders werkt. Een voorbeeld. Als ik vanuit een ziekenhuis veel dossiers mee wil nemen, moet ik met een vrachtwagen komen. Digitaal merk je er niks van. Dan heb ik alleen een usb-stick nodig. Dat is het verschil. En eerlijk is eerlijk, de technologie biedt ook kansen. Ik werk veel samen met beveiligingsbedrijven die forensisch onderzoek doen en sinds kort abonnementen verkopen. Zij helpen klanten door zich meer op de dienstverlening te richten. Dat kan een verzekeraar natuurlijk ook doen.”

Wat doen verzekeraars verkeerd?

“Verkeerd is een groot woord, maar we zitten met zijn allen op bakken risico’s en hebben geen flauw idee. Als je een cyberverzekering aanbiedt, moet je toch op zijn minst weten waar je over praat en welke risico’s je loopt? Sommige verzekeraars laten eerst een onderzoek uitvoeren naar het risico, terwijl die kosten vele malen hoger zijn dan de jaarpremie. Daar snap ik niks van. Het is een risicovolle manier van proberen markt te kopen.”

Het Verbond heeft onlangs weer een pleidooi gehouden dat verzekeraars een seintje krijgen als iemand is overleden, zodat ze een polis ook kunnen uitkeren. Hebben ze gelijk?

“Volgens mij biedt de AVG hiervoor al mogelijkheden, zowel voor verzekeraars als de overheid. Als iemand is overleden, zijn het namelijk geen persoonsgegevens meer en dus vormt de AVG geen obstakel om de gegevens te delen. Bovendien is het doel bij een begrafenisverzekering wel helder, lijkt me. Ik zie dan ook niet waarom de overheid dat seintje niet kan geven. Dat doen we toch ook bij de zorgverzekering. Als ik verhuis, weet mijn zorgverzekeraar het nog eerder dan ik.”

En hoe werkt dat bij de opsporing van fraude? Hebben verzekeraars voldoende tools in handen?

“Die vraag vind ik lastig om in zijn algemeenheid te beantwoorden. Kijk, we willen allemaal graag dat fraudeurs worden gepakt. Het is ook mijn premie. Toegang tot meer bronnen kan dan lonend zijn. Ik kan me voorstelen dat we dat heel vraaggestuurd doen, eventueel via een derde partij, maar het blijft lastig. Want is het onkunde dat iemand een foute claim indient of is het echt fraude?”

Verzekeraars speuren de social media af. Bekend verhaal is dat van een fraudeur die een arbeidsongeschiktheidsuitkering kreeg, maar wel zeven keer de Alp d’Huez op kon fietsen. Mogen ze zo’n man strafrechtelijk vervolgen?

“Ik heb daar geen enkele moeite mee. Een verzekeraar zet dan de technologie niet in tegen mensen, maar tegen de misdaad. Daar kun je toch niet tegen zijn? In zo’n geval zou ik het trouwens goed vinden als er een vervolg aan zit en verzekeraars aangifte doen. Een fraudeur benadeelt immers een heleboel mensen met zijn egoïstische gedrag.”

Jij ziet een duidelijke rol voor verzekeraars?

“Ja, vooral omdat verzekeraars een machtsmiddel in handen hebben. Zij kunnen in het ergste geval zeggen: jij krijgt geen dekking! Daarnaast kunnen ze de keten bespelen en ervoor zorgen dat hun klanten, de bedrijven, ook weer hun leveranciers de maat nemen. Kijk naar het slot op de deur of het alarmsysteem. Als een verzekeraar het verplicht stelt, wordt dat al snel de norm.”

Is dat geen taak voor de overheid?

“Klopt, maar die doet het niet. De overheid draait rondjes en komt niet verder dan awareness campagnes. De overheid faalt. Er zit te weinig kennis of het zit op de verkeerde plaats. Neem mensen als Pieter Omtzigt (CDA) en Kees Verhoeven (D66). Omtzigt zit op de verkeerde dossiers in de Tweede Kamer en Verhoeven is een roepende in de woestijn. Hij gaat het alleen natuurlijk nooit redden.”

In je boek schrijf je dat wetgeving zich teveel richt op risicobeheersing in plaats van beveiliging. Wat bedoel je daarmee?

“Dat we de kaders missen hóe we het risico goed moeten beheersen. Wel een Autoriteit Persoonsgegevens in het leven roepen, maar dan met onvoldoende kaders. Mensen zijn echt niet in staat om zelf hun risico’s in te schatten. Je moet ze daarbij helpen. En dan is het prima als de Autoriteit Persoonsgegevens zegt dat het haar rol niet is, maar dan vraag ik me af: van wie dan wel?”

Bewustwording is misschien al een stap in de goede richting. Er zijn verzekeraars die zelf phishingmails naar hun medewerkers sturen om ze bewuster te maken van de risico’s?

“Leuk, maar dan staat zo’n verzekeraar weer in zijn eentje aan die poel en houdt hij de informatie voor zichzelf. Waarom deelt hij dat niet? Als jouw medewerkers erin trappen, gebeurt dat bij je klanten ook. Met meer kennis wordt het probleem minder, maar vergis je niet, met slechts een paar procent is het risico nog steeds levensgroot. Daarom ben ik een voorstander van het verplichten van anti-virussoftware.”

Wat wil je met je boek? Ogen openen? Waarschuwen? Wetgeving afdwingen?

“Ik wil mensen handelingsperspectief bieden. In mijn boek leg ik uit hoe je beheerst met beveiligingsrisico’s kunt omgaan. Er zijn al genoeg onheilsprofeten in ons land die roepen hoe erg het allemaal wel niet is. Ik wil empoweren. Gisteren was ik bij het Platform voor Onderlinge Verzekeraars en als er dan na afloop iemand naar me toekomt die zegt: ‘dank voor je verhaal, ik ga morgen toch ’ns kijken hoe dat bij ons zit’, dan word ik daar heel blij van.”

Fotografie: Ivar Pel