Privacy en beveiliging: een goed huwelijk?

23 december 2014
In dit artikel:

Privacy en beveiliging gaan vaak hand in hand. Zonder beveiliging is je privacy tegenwoordig niet meer gewaarborgd. Privacy is voor de meeste mensen een groot goed, waard om te beveiligen en te beschermen. De vaak gehoorde kreet ‘Ik heb niets te verbergen’, vind ik ondoordacht. Iedereen heeft wat te verbergen! Dat heet ‘je persoonlijke levenssfeer’. Voor sommigen kunnen dat al dan niet gênante sms’jes zijn die je met je partner of familie deelt, voor anderen zijn het de vakantiefoto’s en voor weer anderen bijvoorbeeld financiële of medische gegevens.

Zelf denk ik dat het voor de meeste mensen niet per se zal gaan om de sóórt gegevens.  Verontrustend is alleen al het idee dat iemand anders, zonder dat je expliciete toestemming hebt gegeven, toegang heeft tot jouw persoonlijke gegevens. Aan de andere kant kunnen onze persoonlijke gegevens ons figuurlijk vaak gestolen worden. Dat blijkt uit het feit dat mensen al te graag bereid zijn om, vooral bij persoonlijk gewin, persoonsgegevens af te staan. Neem het voorbeeld van een chocoladefabrikant die repen uitdeelde in ruil voor enkele persoonsgegevens. Mensen stonden ervoor in de rij. Een reep chocola is dus wat onze persoonsgegevens ons waard zijn.

Schermafbeelding 2014-12-23 om 13.29.49

Persoonsgegevens blijken op de meest vreemde manieren te herleiden. Een mooi voorbeeld hiervan hoorde ik op een cloud securitycongres, waarbij een spreker van McAfee een grafiek liet zien van het stroomverbruik bij een bepaald huishouden. Aan de pieken in de grafiek kon je zien wat voor soort apparaten er op dat moment gebruikt werden. De koelkast liet bijvoorbeeld met gelijke tussenpozen een piek zien als deze weer aansloeg om te koelen. Ook de grote piek van het voorverwarmen van de oven was eruit af te leiden. Maar het meest bijzondere was dat je uit het stroomverbruik soms kon afleiden naar welke tv-programma’s iemand aan het kijken was. Dit had te maken met de lichtintensiteit van het scherm. Overigens, wist je dat de NPO-app op je smartphone tegenwoordig ‘mee kan luisteren’ naar welk programma je aan het kijken bent? Dus in het vervolg telefoon uitzetten, SIM-kaart eruit en in een geluiddichte kluis leggen als je naar een ‘pikante’ zender wilt kijken.

Maar de beveiliging van onze privacy kan ook doorslaan. Een goed voorbeeld hiervan is de discussie die momenteel in Amerika wordt gevoerd over het versleutelen van data op smartphones. We weten allemaal dat overheidsinstanties de afgelopen jaren massaal aan afluisterpraktijken hebben gedaan, sommige meer dan andere. Het meelezen van berichten en data op je smartphone vormde daarop geen uitzondering. Na de publieke verontwaardiging hierover door onthullingen van Snowden, proberen commerciële partijen het vertrouwen (en hun marktaandeel) te herstellen. Zo heeft Apple sinds de laatste versie van haar mobiele besturingssysteem encryptie ingebouwd, waarbij de sleutel is weggegooid, zodat Apple (zoals ze zelf beweren) geen gehoor meer kan geven aan verzoeken van overheidsinstanties om data te ontsleutelen. Google heeft vergelijkbare plannen. De FBI was hier, op zijn zachtst gezegd, niet blij mee en is gestart met een tegenoffensief in de media waarbij zij waarschuwt tegen deze, in haar ogen, vergaande maatregelen. Zij kan immers niet meer bij de persoonsgegevens van haar ‘klanten’, waardoor criminelen de vrije hand hebben. Eigenlijk klaagt de FBI dat ze het werk niet meer goed kan doen, nu ze niet langer ongelimiteerde toegang heeft tot deze gegevens. Dit is juist iets waar de burger om gevraagd heeft na de onthullingen van Snowden. Ondertussen lachen Apple en Google zich rot, want: gratis publiciteit én ze hebben de publieke opinie mee. Bezorgde burgers rennen naar de winkel om de laatste iPhone of Google Android telefoon te kopen zodat ‘Uncle Sam’ niet mee kan luisteren.

Schermafbeelding 2014-12-23 om 13.29.52

Er staat Europese wetgeving aan te komen die vergaande maatregelen vergt op het gebied van beveiliging en privacy. En waar fikse boetes staan op het niet voldoen aan deze regelgeving, waaronder het melden van datalekken waarbij persoonsgegevens zijn gelekt. Je kunt er dus op wachten dat dit gaat botsen met ‘belanghebbenden’ die juist in die data willen kunnen graaien, of dit nu overheidsinstanties of private partijen zijn.

Privacy en beveiliging hebben een innige, maar soms vreemde relatie met elkaar. Het één kan niet of bestaat niet zonder het ander, maar ze kunnen ook niet altijd met elkaar overweg. Het lijkt soms net een echt huwelijk…

Geen categorie

A. (Achmed) Bouazza RE CISA

Senior Manager IT Audit bij Mazars. Achmed Bouazza houdt zich onder meer bezig met assurance– vraagstukken ten aanzien van uitbestede diensten (ISAE 3402), IT-security audits en privacy audits. Deze column is op persoonlijke titel geschreven.