Verslag vergadering Commissie voor Cultuur, Jeugd, Sport en Media
Verslag
De heer Slootmans heeft het woord.
Minister, het stof over deze kwestie is intussen weer wat gaan liggen, maar dat neemt niet weg dat het onze aandacht verdient. Waarover gaat het? Enige tijd geleden stuurden de makers van het programma ‘Factcheckers’ tientallen USB-sticks naar verschillende maatschappelijke primaire actoren – persagentschappen, ziekenhuizen, politiekantoren, gerechtsgebouwen – met als doelstelling om eigenlijk te gaan onderzoeken hoe eenvoudig het is voor hackers om al dan niet schadelijke software te verspreiden. Dat deden ze dus inderdaad bij primaire actoren in onze samenleving.
Nu, zoals gebleken is, waren de gevolgen niet min. De Universitaire Ziekenhuizen Leuven (UZ Leuven) gingen zelfs over tot de noodprocedure. Ze zouden hebben overwogen om al hun digitale verbindingen stop te zetten, waardoor er een acuut probleem kon ontstaan in het kader van patiëntenzorg.
Gezien de gevolgen gaf het parket van Antwerpen aan eventueel een onderzoek te zullen openen om na te gaan of er strafbare feiten werden gepleegd. Ook het Nationaal Crisiscentrum (NCCN) werd gealarmeerd en stuurde een bericht naar alle lokale politiezones met de oproep om extra waakzaam te zijn. In hun communicatie nadien gaven zij aan dat de impact van de actie bijzonder groot was. Zelfs het Coördinatieorgaan voor de dreigingsanalyse (OCAD) achtte het nuttig om een dreigingsanalyse op te maken, aangezien al zeer snel duidelijk werd dat het om een georkestreerde actie ging met mogelijk verregaande repercussies. Dat bleek, gezien onder andere de casus-UZ Leuven, ook het geval.
Als verdediging stelden de makers van ‘Factcheckers’ dat het hun vooral om sensibilisering te doen was, door aan te tonen hoe eenvoudig het is om dergelijke software te gaan verspreiden – schadelijke software. De vraag is natuurlijk – en die ligt hier nu voor – hoever je daarin kunt gaan en of die sensibilisering opweegt tegen de opgelopen schade.
In een reactie stelde VRT dat het nooit de bedoeling is geweest om mensen of organisaties schade te berokkenen. Quod non natuurlijk, want als er één zaak duidelijk is gebleken, is het wel dat er schade is geweest en dan nog inderdaad bij primaire maatschappelijke actoren, zoals ziekenhuizen, gerechtsgebouwen, wat deze actie toch allemaal des te pijnlijker maakt.
Deelt u de mening dat dit incident toch voor een bijzonder grote imagoschade heeft gezorgd voor VRT en dat dit eigenlijk perfect vermeden had kunnen worden, als men onder andere de eigen charters had nageleefd?
Verder had ik graag duidelijkheid verkregen over de vraag of VRT op zijn minst het nodige heeft gedaan dat er bij alarmering van IT-diensten onmiddellijk kon worden gezien dat dit een goedbedoelde sensibiliseringsactie was. Vandaag bestaan daar zeer tegengestelde versies over. Je hebt VRT-woordvoerster Yasmine Van der Borght, die aangaf dat er alles aan gedaan werd om meteen gerust te stellen. Ik citeer haar: “VRT heeft verschillende stappen ingebouwd waaruit bleek dat dit een goedbedoelde sensibiliseringsactie was. Elke IT-afdeling ziet onmiddellijk dat er geen sprake was van kwaadwillige software.” Dixit de VRT-woordvoerster. Het parket spreekt dit formeel tegen. Het stelt dat er geen enkele verwijzing was naar een goedbedoelde sensibiliseringsactie of naar het programma ‘Factcheckers’.
Graag verneem ik dan ook van de minister hoe de vork hier juist in de steel zit, want ofwel doet het parket – wat mij toch niet evident lijkt – de waarheid geweld aan, ofwel doet VRT dat.
Tot slot, hebt u contact gehad of opgenomen met VRT omtrent dit voorval? En hebt u hun dan gewezen op het toch bijzonder precaire karakter van deze stunt? Er blijkt immers dat er toch heel weinig schuldinzicht is vanwege de openbare omroep.
Minister Dalle heeft het woord.
Televisie maken is een delicate business en je moet rekening houden met verschillende elementen. Mensen die bij VRT werken moeten te allen tijde de wetgeving naleven en de hoogste standaard inzake deontologie respecteren. Soms is het nodig om dingen te doen die op het eerste gezicht niet evident zijn. Historisch zijn daar ook een paar heel interessante voorbeelden van. Ik geef het voorbeeld van ‘De schalkse ruiters’. Eind jaren 90 drongen Tom Lenaerts en Bart De Pauw binnen bij de nationale luchthaven in Zaventem en raakten ze, aan de hand van allerhande schalkse trucen, tot in de cockpit. Op die manier hebben ze een maatschappelijk probleem op de kaart gezet, namelijk de veiligheid op onze nationale luchthaven.
In 2009 overnachtten journalisten van RTBF, de Franstalige publieke omroep, een nacht in het justitiepaleis op het Poelaertplein in Brussel om de gebrekkige beveiliging van dat justitiepaleis aan te kaarten.
De televisiemakers van ‘Fachtcheckers’ hadden de nobele bedoeling om mensen te sensibiliseren rond een thema dat inzake mediawijsheid en digitale geletterdheid zeer relevant is, namelijk de risico’s die verbonden zijn aan hacking, specifiek via USB-sticks.
‘Factcheckers’ is een programma dat beoogt om verschillende maatschappelijk relevante thema’s onder de aandacht te brengen. De programmamakers doen dat steeds aan de hand van proefondervindelijke acties. VRT benadrukt dat de redactie de aanpak van elke aflevering aftoetst bij experts, zoals dat ook hier gebeurd is: er zijn adviezen van experts ingewonnen en opgevolgd. De programmamakers en VRT zijn dan ook geschrokken van de reacties. VRT erkent dat ze omzichtiger te werk had moeten gaan en dat het beter was geweest om de betrokken instanties op voorhand in te lichten.
Het is de voorbije weken evenwel duidelijk geworden dat de actie rond de USB-sticks bijzonder relevant is. Het redactieteam had maatregelen genomen, waardoor men ervan uitging dat het voor de meeste betrokkenen snel duidelijk moest zijn dat het om een sensibiliseringsactie ging. Dat is uitgebreid besproken met het team en met de betrokkenen.
VRT schetst het opzet van de actie alsook de aanpak. ‘Factcheckers’ liet op diverse locaties in Vlaanderen USB-sticks achter, die voor alle duidelijkheid volstrekt onschadelijk waren, om te kijken of er bij politie, gerecht, media en ziekenhuizen effectief zo’n USB-stick in de computer werd gestoken. Voor de volledigheid: niet met het idee om mensen, organisaties of bedrijven persoonlijk te viseren, maar wel om te sensibiliseren rond dat thema.
De redactie had de actie zodanig voorbereid dat het voor de betrokkenen onmiddellijk duidelijk had moeten zijn dat dit een goedbedoelde sensibiliseringactie was. Ik geef een aantal elementen mee waar VRT naar verwijst. Er stonden twee mappen op de USB-stick. De ene had een letter-cijfercode en de andere de naam ‘Foto’s Griekenland dec 2023’. Beide mappen zijn elk een kilobyte groot. Dat is te weinig voor eender welk tekstbestand of foto. Mijnheer Slootmans, uw eigen uitgeschreven vraag was 22 kilobyte. Dat plaatst de zaken in perspectief.
Bij het doorklikken op die mappen, kregen gebruikers de boodschap dat dit niet veilig is om te doen. De boodschap werd ondertekend door ‘safetycheckers’. Er werd door de programmamakers ook de mogelijkheid ingebouwd om meteen contact met hen op te nemen. Dat is trouwens ook gebeurd door verschillende betrokken organisaties en de IT-afdeling van een organisatie.
De makers waren vanwege het bovenstaande van oordeel dat, in het geval van het inpluggen van de USB-sticks, onmiddellijk duidelijk zou zijn dat het om onschuldige inhoud ging, los van het feit dat het wordt aangeraden om onbekende USB-sticks niet in je computer te steken.
Er werden bovendien ethische hackers ingeschakeld die vaker door bedrijven ingehuurd worden om een beeld te krijgen van de veiligheid van een bedrijf. Die ethische hackers adviseerden de makers over hoe ze hun actie het best konden opzetten zonder schade te berokkenen.
De USB-sticks hebben allemaal een unieke URL waardoor de programmamakers kunnen zien welke sticks op welke locatie geactiveerd werden. Er zijn wel degelijk veel van deze USB-sticks gebruikt. Dat is een relevante conclusie.
De relevantie van de actie is dus duidelijk. Een aantal effecten waren uiteraard onbedoeld. De programmamakers, en bij uitbreiding VRT, zullen daar lessen uit trekken.
U hebt ook gevraagd of ik hierover contact heb gehad met de VRT. Dat is het geval geweest. Ik ben trouwens ook op de opnameset van ‘Factcheckers’ geweest. Ik heb daar met de verantwoordelijke hierover gesproken. Voor mij is het duidelijk dat het redactieteam grondig voorbereidend werk heeft gedaan. Het is inderdaad ook belangrijk dat men met alle betrokken partijen in gesprek is gegaan.
De heer Slootmans heeft het woord.
Ik onderschrijf dat het zeker en vast relevant is. Uw verwijzing naar ‘Schalkse ruiters’ roept nostalgische herinneringen op. Maar het is natuurlijk niet omdat het relevant is, dat het koste wat het kost mag.
De verwijzing naar het UZ Leuven is wel pertinent. De hoofdarts daar heeft aangegeven dat potentieel het leven van patiënten in gevaar kon worden gebracht en dat men uiteindelijk alleen door het gebruik van camerabeelden kon zien wie die USB’s heeft achtergelaten en zo te weten kon komen dat het wellicht om een ethische hacking ging. Het parket zegt ook dat er geen verwijzing was naar ethisch hacken of naar ‘Factcheckers’. Het is dus wel op zijn minst zo dat er zeer tegengestelde signalen over bestaan en dat een van de twee de waarheid geweld aandoet. Het zou mij toch verwonderen indien het parket in een officiële communicatie zou zeggen dat die verwijzing er niet was. Het parket heeft dat in een interview gezegd in het VRT-journaal. U spreekt dat hier nu tegen. Ofwel heeft de ene gelijk ofwel de andere.
Ik stel mij ook wel de vraag of VRT haar charters inzake deontologie en integriteit heeft toegepast. Als je zowel het parket als het UZ Leuven hoort over hun appreciatie en interpretatie van de feiten, stel je vast dat zij botsen met die integriteits- en deontologiecharters.
‘Factcheckers’ valt niet onder de nieuwsdienst en dus ook niet onder de journalistieke deontologie. Het programma valt wel onder het programmacharter, dat inderdaad aangeeft dat de hoogste standaarden inzake deontologie en integriteit moeten worden gehandhaafd. Verder is er ook een adviseur programma-ethiek wiens functie erin bestaat om die charters toe te passen. Maar de vraag is of dat in deze casus überhaupt is gebeurd. Werd deze man geconsulteerd? U zegt dat er experts werden bevraagd. Heeft hij in dezen zijn rol gespeeld? Tot nader order – en dat is eigenlijk vreemd – weigerde de VRT om daar een antwoord op te geven. Ik had graag van u vernomen of u dat wel zult doen. En daarbij aansluitend: kunt u aangeven of er een officieel onderzoek is geopend door het parket? Of was dat eerder een aankondiging, dat men dat eventueel ging doen?
Minister Dalle heeft het woord.
Collega Slootmans, over de hoofdarts van de KU Leuven zegt de VRT mij dat er nooit operaties in het gedrang zijn gekomen of bijna werden afgezegd. Dat was in elk geval niet zo.
U zult begrijpen dat ik mij over het programmacharter niet inhoudelijk kan uitspreken. Ik zal uw vraag of de betrokken persoon binnen de VRT werd geconsulteerd, doorgeven aan de VRT, want die informatie heb ik hier niet beschikbaar.
De heer Slootmans heeft het woord.
U zegt dat er nooit levens in gevaar werden gebracht. Maar potentieel was de kans daartoe wel degelijk reëel. Dat zegt hij zelf. Het is omdat zij een goede camerabewaking hebben dat zij hebben kunnen vaststellen dat het wellicht om een ethische hackpoging ging. Als die camerabewaking er niet was geweest, had men inderdaad alle verbindingen moeten stilleggen en had dat bijzonder grote repercussies voor de patiënten kunnen hebben. In die zin vind ik het wel een beetje vrijblijvend van de VRT om daar zo coulant op te reageren. Niemand heeft iets tegen sensibiliseringsacties, maar de vraag is natuurlijk waar dat eindigt en of de balans tussen sensibilisering enerzijds en risico anderzijds nog in evenwicht is. Hoever kun je daarin gaan? Gaat men morgen ook drugs achterlaten aan schoolpoorten om te checken of die al dan niet worden gebruikt? Of gaan we actief kinderporno verspreiden om te zien wie daar al dan niet op gaat klikken? (Opmerkingen)
Oké, ik trek het een beetje op flessen, ik trek het zeker op flessen, dat geef ik toe. Maar ik wil gewoon zeggen dat er grenzen moeten zijn aan goedbedoelde sensibilisering. Op den duur schiet je je doel voorbij, zeker als bepaalde belangen worden geschaad. Het is mijn mening dat als het maatschappelijk of particulier belang eronder kan lijden, zeker in het kader van gezondheidszorg of veiligheid, het antwoord altijd neen zou moeten zijn. Ik hoop dat VRT in te toekomst ook die filosofie indachtig zal zijn.
De vraag om uitleg is afgehandeld.