Landen met onderdrukkende regimes daargelaten, kent onze moderne digitale wereld geen grenzen. Vanuit Nederland bestel je net zo gemakkelijk iets in China als bij de webwinkel om de hoek, onderwijl luisterend naar een Amerikaanse radiozender. De wereld ligt aan onze voeten en daar maken we volop gebruik van. Diezelfde open wereld maakt echter net zo gemakkelijk gebruik van ons, vaak zonder dat we het beseffen. Of weet jij wat er allemaal van en over jou in de cloud staat?
Eind vorig jaar stelde privacy-expert en hoogleraar Digital security
Bart Jacobs dat de voorgenomen migratie van de Radboud Universiteit naar
Microsoft 365 (voorheen Office 365) illegaal is. De overstap van on premise (ook wel on prem; opslag binnen de eigen organisatie) naar de Amerikaanse cloud
is volgens de professor strijdig met de Europese privacywetgeving, de AVG. Deze
Algemene Verordening Gegevensbescherming stelt dat persoonsgegevens van
Europeanen alleen binnen de grenzen (!) van de Europese Economische Ruimte (EU
plus Liechtenstein, Noorwegen en IJsland) mogen worden opgeslagen, tenzij er
zekerheid over bestaat dat de gegevensopslag daarbuiten aan de eisen van de AVG
voldoet.
Met deze regels krijgt de VS als het ware een koekje van eigen deeg. Met
hun Patriot Act en Freedom Act hebben ze geregeld dat hun inlichtingen- en
opsporingsdiensten ruimhartig toegang kunnen krijgen tot gegevens die bij
Amerikaanse bedrijven zijn opgeslagen. En de AVG zegt dus dat onze gegevens
niet zomaar in Amerika mogen worden opgeslagen. De volgende zet in dit
trans-Atlantische schaakspel was het Privacy Shield-verdrag, dat inhield dat
Europese persoonsgegevens wél bij een Amerikaans bedrijf mochten worden gestald
als dat bedrijf zelf verklaarde dat het aan onze regels voldeed. Dat verdrag is
echter door het Europese Hof van Justitie in juli weer van tafel geveegd.
De Nijmeegse hoogleraar zegt dat de privacy van de gebruikers
onvoldoende is gewaarborgd. Als zijn universiteit doorgaat met de invoering van
Microsoft 365, dan handelt zij daarmee in strijd met de AVG, zo betoogde hij in
december in een interview in het universiteitsblad Vox. In januari werd bekend
dat de universiteit haar plannen toch doorzet en de geuite bezwaren adresseert
in SURF-verband (het universitaire ICT-samenwerkingsverband). SURF wil een
aangepast contract met Microsoft afsluiten, maar lijkt zijn kansen bij voorbaat
al niet hoog in te schatten. En ach, dan zien we wel verder, lijken ze te zeggen.
Mijn verhaal gaat niet alleen over een universiteit; wat daar gebeurt is
exemplarisch voor een worsteling die zich ook elders voltrekt. Enerzijds willen
organisaties het onmiskenbare gemak van de cloud – zoals samenwerken,
informatie delen, schaalbaarheid en plaatsonafhankelijkheid – benutten.
Anderzijds moeten persoonsgegevens worden beschermd. Zodra je een memo schrijft
en daar je naam op zet, bevat het een persoonsgegeven. Een klantenbestand puilt
ervan uit. Het is erg moeilijk om ergens géén persoonsgegevens in te hebben
staan.
Amerikaanse bedrijven willen de Europese markt niet verliezen en spelen
handig in op de AVG door datacenters in Europa te vestigen. Dat alleen is
echter niet voldoende: omdat het nog steeds Amerikaanse bedrijven zijn, vallen
ook buitenlandse vestigingen onder de Amerikaanse wetgeving, waardoor die
bedrijven nog steeds verplicht zijn om op bevel van een Amerikaanse rechter
gegevens af te staan. Het vergt dus de nodige juridische constructies om zo’n
Europees datacenter helemaal los te weken van de Amerikaanse moeder. En dan nog
weet ik niet of je erop kunt vertrouwen dat je gegevens daar ook op termijn
veilig zijn voor grijpgrage handen.
Het dilemma, waar wij Europeanen mee worstelen, wordt in feite
veroorzaakt doordat all the good stuff
uit de VS komt. Ze maken prachtige software die onze zakelijke en privélevens
een stuk aangenamer maken. De kwaliteit van hun producten heeft ervoor gezorgd
dat het machtige bedrijven werden. Hadden we maar net zo’n volwassen
software-industrie in Europa…
Ik hoorde net op de radio dat de Autoriteit Persoonsgegevens het zo druk
heeft, dat een nu ingediende klacht pas over een half jaar wordt opgepakt. Het
wordt hoog tijd dat de AP toegerust wordt om haar taak serieus te kunnen
uitvoeren en waar nodig haar tanden te kunnen laten zien. En misschien kunnen
ze dan ook nog proactief adviseren bij ingewikkelde kwesties als het toepassen
van Microsoft 365 en andere grote cloudapplicaties.
En in de grote boze buitenwereld …
- levert ook de combinatie van Google en onderwijs privacyproblemen op.
- wordt onze privacy net zo goed vanuit het oosten bedreigd, zo laat het gedrag van de opstomende app Clubhouse zien.
- willen ook onze eigen inlichtingendiensten beter kunnen rondsnuffelen.
- betekent het zetten van een privacyvriendelijke stap niet per se dat je privacy erop vooruitgaat.
- spioneert Huawei natuurlijk niet, zegt Huawei.
- kun je in Dublin de studie Internet of things technology volgen. Gelukkig staat ook beveiliging op het programma.
- toont deze hack op beveiligingscamera’s in ziekenhuizen en gevangenissen maar weer eens aan dat zo’n opleiding hard nodig is.
- kun je natuurlijk ook een IoT-seksspeeltje hacken.
- leidde Instagram gebruikers naar desinformatie over corona. Instagram vindt op zijn beurt het onderzoek waar dat uit blijkt misleidend.
- kan het publicitair heel vervelend uitpakken als een organisatie een datalek heeft door een fout in ingekochte software.
- heeft de politie alweer een crimineel communicatienetwerk gekraakt.
- kunnen digitaal ondertekende pdf-bestanden toch nog gemanipuleerd worden.
- maakt het NCSC zich ongerust over het grote aantal nog niet gepatchte Exchange-servers.
- versleutelt WhatsApp binnenkort ook je back-up.
Geen opmerkingen:
Een reactie posten