Menu

Zorgen om inbreuk op privacy

De Europese wetgeving rond privacy blijkt niet compatibel met die van de Verenigde Staten. Safe Harbor is hierdoor niet toe te passen en nu zijn we allemaal gedwongen om onze data in Europese clouds op te slaan. Gaan we hier niet voorbij aan een aantal andere belangrijke aspecten die een veel grotere invloed hebben op privacy inbreuk? Zoals identity theft?

Persoonlijke informatie wordt op grote schaal gestolen. Het is op dit moment zelfs zo erg, dat deze informatie aan enorme devaluatie onderhevig is en nog maar zo’n 1 dollar per persoon waard is. En ondertussen maken we ons zorgen om Safe Harbor…

Eén van de Safe Harbor privacy principes is:

  • SECURITY: Organizations creating, maintaining, using or disseminating personal information must take reasonable precautions to protect it from loss, misuse and unauthorized access, disclosure, alteration and destruction.

Volgens mij zit het probleem hem in het woord “reasonable”. Het blijkt telkens weer onthutsend gemakkelijk om data bij bedrijven te ontfutselen. Dit zit hem in een aantal aspecten:

  1. De toegang tot de systemen is te eenvoudig te forceren.
  2. De data is zodanig opgeslagen dat het gemakkelijk herkenbaar is als persoonlijke data.
  3. Organisaties slaan te veel data op.

Te makkelijk

Daarnaast is er een groot probleem rond authenticatie bij de meeste organisaties. Hoe gemakkelijk is het niet om belangrijke zaken te regelen door alleen maar een kopie van een identiteitsbewijs, een creditcardnummer of BSN-nummer af te geven? We maken ons allemaal druk om elke maand een nieuw moeilijk password te kiezen, maar ondertussen kan je systeem gewoon gehackt worden omdat er buiten de standaard toegangslaag om een connectie kan worden verkregen omdat er ergens een service in je domein draait die met een standaard ‘admin, admin’ password beveiligd is. We betalen allemaal al jarenlang de duurste zaken met nog steeds de zelfde 4-cijferige pincode. En ons DigiD password is ook al jaren hetzelfde. Vinden we het gek dat er van alles fout gaat?

Schijnveiligheid

We houden onszelf enorm voor de gek als het gaat om authenticatie. Schijnveiligheid heet dat. Het feit dat de NSA gegevens kan opvragen van Europese bedrijven die hun data in een US cloud hebben opgeslagen is niet het probleem. Het feit dat de NSA zo enorm gemakkelijk te hacken is, is het probleem. En dat de data vervolgens zo gemakkelijk voor het oprapen ligt is een nog groter probleem. Naast encryptie van gevoelige data is Obfuscation (“verwarring zaaien”) misschien nog wel belangrijker.

Data veilig en privé?

Daarnaast is het niet zozeer van belang met welke cloud provider je zaken doet als eindgebruiker, maar veel meer nog met welke “winkel”. En hoeveel je van jezelf prijsgeeft. Als je jezelf als burger via een website registreert en die website draait op Amazon of Microsoft cloud servers, wil dat nog niet zeggen dat je data veilig is en privé blijft. De architectuur van de weboplossing is van veel groter belang. Het kan zelfs zo zijn dat je BSN-nummer als cookie wordt bewaard en vervolgens heel gemakkelijk te ontfutselen is. Als de ontwikkelaar van die website bedacht had dat dat een goede oplossing was is er niemand die zich dat (op tijd) realiseert. Totdat het in de krant staat.

Devaluatie van privacygevoelige data

Als burger heb je werkelijk geen idee waar je data staat en hoe veilig het opgeslagen is. Daar gaat Safe Harbor helemaal niets aan veranderen. Misschien is de beste oplossing nog wel dat de privacygevoelige data gewoon steeds minder waard wordt. Als er afspraken zijn met zorgverzekeraars dat men alle burgers moet verzekeren, ongeacht zijn of haar gedrag (wat o.a. via Facebook te achterhalen is) is die privacygevoelige data niet meer relevant. Als het regelen van de belangrijke zaken in het leven (een bankrekening, een hypotheek, etc.) gewoon alleen kan verlopen via face-to-face authenticatie is er geen probleem. En tot slot, als je altijd het recht hebt om te bewijzen dat jij iets niet gedaan hebt, zoals bijvoorbeeld een groot geldbedrag overmaken, dan is er niets aan de hand. Dat is tegenwoordig eenvoudig te achterhalen, met alle digitale breadcrumbs die je overal achterlaat.
De oplossing zit hem in immutable architecture en Big Data. Als alles bewaard wordt, op gedistribueerde systemen en de relatie tussen al die informatie kan ad hoc bepaald worden in plaats van het van te voren vastleggen van relaties, is de bewijslast niet te vervalsen en is men altijd in staat om te bewijzen dat je iets niet gedaan hebt. Het probleem gaat zich vanzelf oplossen… Devaluatie van privacy informatie is het antwoord.