Er moest worden vastgesteld dat ik ook echt ik ben. Want ik mag namens mijn
organisatie digitale certificaten bestellen. Die digitale certificaten, die zorgen
voor dat slotje in de browser, ze maken een veilige verbinding tussen een
website en een bezoeker mogelijk. Zie zo'n certificaat maar als het paspoort
van een website, met daarin een visum dat alleen geldig is voor jouw computer.
Het paspoort identificeert de website, het visum beveiligt de verbinding. Onze
certificaten vallen onder het regime van PKIoverheid en er gelden strenge
regels voor het mogen aanvragen van certificaten voor deze speciale Public Key Infrastructure. Vandaar dat
de bedrijven die digitale certificaten mogen leveren die onder de vlag van de
Staat der Nederlanden vallen zeker willen – nee, moeten – weten wie ik ben en
of ik daar ook echt werk.
Deze leverancier had ervoor gekozen om een gespecialiseerd bedrijf in te
schakelen. Dan komt er iemand naar je toe die je diep in de ogen kijkt, je
id-bewijs besnuffelt en het vervolgens in een magisch kastje stopt dat op
elektronische wijze allerlei echtheidscontroles uitvoert en je id-bewijs
inscant. Daarna geven ze aan hun opdrachtgever, in dit geval dus de
certificaatverstrekker, door dat de identificatie geslaagd is en dat ze ervan uit
mogen gaan dat ik ik ben.
Die identificatie werkt een beetje twee kanten op. Ik kreeg vooraf een
mailtje van het id-bedrijf waarin een foto zat van degene die mij zou komen
opzoeken. Er stond ook bij dat hij Hans heette, en er was nog een pincode die
ik hem kon vragen als ik aan zijn identiteit zou twijfelen. Dat voelde een
beetje alsof ik in een thriller zat, waarbij de kans bestond dat Hans zou
worden uitgeschakeld en dat een namaak-Hans mijn id-bewijs zou komen inscannen,
hetgeen dan jammerlijk zou mislukken omdat namaak-Hans niet de juiste code zou
weten.
In eerste instantie kwam Hans niet verder dan onze poort. Hij mocht niet
naar binnen, want hij was niet aangemeld. Ja, ook wij zijn streng! Hans moest
zijn achternaam prijsgeven zodat ik hem alsnog kon aanmelden. Ik heb geen idee
of hij zijn echte naam noemde, sterker nog: ik weet niet eens of Hans echt Hans
heet. Maar dat hoeft ook niet, want de cirkel was al rond: het
certificatenbedrijf vertelde me dat ze het bedrijf van Hans op me af zouden
sturen, het bedrijf van Hans vertelde me dat ze Hans zouden sturen en door de
foto wist ik dat daadwerkelijk Hans voor mijn neus stond. Bovendien toonde Hans
zijn bedrijfspas. En als Hans dan eigenlijk Piet heet maakt dat niets uit.
Het magische kastje van Hans scande dus mijn rijbewijs. Eerst de
voorkant, daarna de achterkant. Hé, de achterkant? Daar staat alleen waar ik
allemaal mee mag rijden – en mijn BSN. Help, mijn BSN! De overheid drukt ons op
het hart dat we die moeten afschermen als we onze id-bewijzen laten scannen of
kopiëren. Hoe zit dat, Hans? Hans haalde zijn schouders op: hij had “gewoon”
opdracht gekregen om dit zo te doen. En ik kon hem wel vertrouwen hoor! Hij zou
immers zijn baan verliezen als zou uitkomen dat hij met de verkregen informatie
rotzooide. Ik wees hem erop dat het niet aan hem hoefde te liggen, maar dat
bijvoorbeeld ook zijn bedrijf zou kunnen worden gehackt waardoor mijn
informatie op straat zou komen te liggen. Daar had Hans nog niet aan gedacht.
Maar het veranderde uiteraard niets aan het feit dat mijn BSN nu in zijn kastje
zat. Ter geruststelling legde Hans nog uit dat alle informatie uit zijn kastje
werd gewist na overdracht aan zijn bedrijf en de opdrachtgever. Lieve help,
waar gaat mijn informatie overal naar toe?
Dat is een privacy-dingetje waar je vaak tegenaan loopt. Je krijgt
allerlei goede adviezen, maar als je die in praktijk wilt brengen, dan stuit je
op onbegrip, starre procedures en ‘het moet van de computer’. Bijvoorbeeld bij
buitenlandse hotelrecepties. In Italië krijg je te horen dat ze een kopie voor
de politie moeten maken, die dagelijks het gastenboek komt checken. Als je
geluk hebt, dan willen ze je de kopie en een pen overhandigen zodat je even wat
dingen kunt wegkrassen. Je moet sterk in je schoenen staan als je meer dan dat
wilt, terwijl de receptionist niet begrijpt waar je je druk om maakt en
zorgelijk naar de wachtende buslading toeristen achter jou kijkt.
Dat is net zoiets dat als je in een taal die je niet machtig bent naar
de weg vraagt met zo’n "Hoe zeg ik het in het Buitenlands"-boekje in
de hand. De vraag stellen zal nog wel lukken, maar wat moet je met het
antwoord? Dat versta je niet. En als jij ergens komt waar ze een kopietje nodig
hebben en jij doet – in hun ogen – moeilijk, dat heb jij een probleem. Dan is het slikken of stikken. Ja,
privacybescherming is in principe een mooi ding. Nu de praktijk nog.
En in de grote boze buitenwereld …
... heeft iedereen wel iets te verbergen. Echt.
... lijkt OneLogin op dit moment niet zo'n goede keus als password
manager. En als je hem al gebruikt, dan moet je snel al je wachtwoorden
wijzigen, want OneLogin is gehackt.
... is een social media-testament echt iets om over na te denken.
... zal iOS 11 een stoor-me-niet-want-ik-bestuur-een-auto-functie
bevatten.
... heeft een inhuurkracht van de NSA geheime documenten naar de pers
gelekt. Ze werd snel opgepakt.
... is de herkomst van printjes te achterhalen aan de hand van een
vrijwel onzichtbaar puntjespatroon. Dat weet die NSA-inhuurkracht nu ook.
... moeten visumplichtige reizigers naar de VS informatie over hun sociale
media prijsgeven.
... legt dit filmpje in eenvoudige taal uit wat blockchain is en hoe het
werkt.
... is een project ter voorkoming van crimineel gebruik van
blockchaintechnologie gestart.
... is een zwevende cursor ook al niet meer veilig.
... werden vorig jaar duizenden DigiD-accounts misbruikt.
... ligt een motie in de Tweede Kamer voor om het NCSC mandaat te geven
bij situaties zoals de WannaCry-uitbraak.
... denken ze bij Microsoft dat ze een Windows-versie kunnen maken waar
ransomware geen vat op krijgt.
Geen opmerkingen:
Een reactie posten