Europees Hof van Justitie maakt cloud tastbaarder

Dinsdagochtend heeft het Europees Hof van Justitie besloten dat privacygaranties in een besluit van de Europese Commissie tussen de Verenigde Staten en Europa onvoldoende zijn. Dat betekent dat bedrijven moeten gaan nadenken waar data in de cloud precies staat.

Inzet van de zaak is de Safe Harbor Agreement tussen Europa en de Verenigde Staten. Dit besluit is noodzakelijk, omdat de bescherming van de persoonlijke levenssfeer in Europa beter is geregeld dan in de VS. Omdat je niet zomaar persoonsgegevens in een rechtsgebied mag bewaren dat niet voldoet aan onze standaarden moest er iets worden geregeld.

Facebook

Of de huidige Safe Harbor regels onze rechten wel voldoende waarborgt, was lang onduidelijk. Tot de onthullingen van Snowden kwamen en heel duidelijk werd dat onze gegevens massaal worden geanalyseerd door Amerikaanse inlichtingendienst NSA. Daarbij werd meer en meer duidelijk dat dit niet te verklaren is vanuit nationale veiligheid en dat er duidelijk ook economisch werd gespioneerd. Dat betekent dat persoonsgegevens zijn misbruikt. Volgens de VS is dat niet zo, maar onder ede durfde niemand dat bij de Ierse rechter te verklaren.

De Oostenrijker Max Schrems voerde een aantal zaken en sleepte rond de NSA-spionage uiteindelijk Facebook voor de rechter, omdat dat dat bedrijf onze gegevens op Amerikaanse servers verwerkt. Omdat het Europese hoofdkantoor van dit bedrijf in Ierland staat, moest daar worden geprocedeerd. Daar is het inmiddels bij het Hooggerechtshof die vragen aan het Europese Hof van Justitie stelde.

Ongeldig

Uiteindelijk kwamen die met het oordeel dat de beschermende maatregelen van de Safe Harbor Agreement onvoldoende zijn en daarmee wordt niet langer aan Europese regels voldaan. Kort gezegd: je mag data van Europese burgers niet zomaar in de Verenigde Staten opslaan. Daar wordt namelijk niet aan de bescherming voldaan die wij gewend zijn.

Dat betekent niet dat er niets in de VS mag worden opgeslagen, maar dat daarover afspraken moeten zijn gemaakt. Amerikaanse bedrijven zelf met de toezichthouder (in ons geval het CBP) afspraken en vastleggen in Binding Corporate Rules (BCR), zodat er meer zekerheid is dat aan onze wetgeving wordt voldaan. Dat Facebook, Google en andere bedrijven dit gaan doen, is wel duidelijk.

Zelf nadenken

Maar voor Nederlandse bedrijven betekent dit dat er meer moet worden nagedacht wat er met persoonsgegevens gebeurt. Je kunt niet langer zeggen ‘het staat in de cloud’, maar moet meer van die cloud weten. Na 1 januari 2016 kan de toezichthouders forse boetes opleggen wie zich niet aan de wetgeving houdt. Daarbij kun je niet zomaar de schuld in de schoenen schuiven van de cloudleverancier.

De uitspraak betekent dus dat de bedrijven zelf verantwoordelijkheid moeten nemen wat ze met onze gegevens doen. Afspraken tussen toezichthouders en cloudaanbieders zul je moeten checken. Want bijna religieus naar de hemel wijzen zeggen ‘jouw data is nu daar’ is sinds vandaag echt onvoldoende.

Marinus Kuivenhoven: Veilige apps maak je voor je gaat bouwen

Met tablets en mobiele telefoons zijn apps populair. Ook bedrijven laten ze vaak maken om bedrijfsprocessen te ondersteunen. Want altijd en overal is bedrijfsinformatie beschikbaar. Als dat gebeurt komen er opeens allerlei beveiligings- en privacyrisico’s bij kijken. Het is daarom belangrijk bij de totstandkoming van een app rekening te houden met de beveiliging en daar tijdig over na te denken. Marinus Kuivenhoven van Sogeti praat over het grip krijgen over apps met Brenno de Winter.

Een van de methoden om vroegtijdig na te denken over beveiliging is Grip op SSD. Deze methodiek is kosteloos beschikbaar onder een creative commons licentie.

Hallo? Vind jij het goed als ik Spotify gebruik?

Om gebruik te kunnen (blijven) maken van Spotify moet u toestemming aan al uw contacten in uw smartphone vragen. Eén weigering en u bent klant af. Dat is het gevolg van de nieuwe privacyvoorwaarden van het bedrijf. Mocht ik in uw contactenlijst staan dan zeg ik ‘nee’.

Dat is het gevolg van de nieuwe privacyvoorwaarden, die het bedrijf heeft uitgedokterd en gelden voor zowel betalende als gratis gebruikers. In de kern mogen contactgegevens, locatie, snelheid, afbeeldingen en meer zaken van uw mobiele telefoon door het bedrijf in de gaten worden gehouden. En niet alles is te verklaren vanuit het aanbieden van een muziekluisterdienst.

Onduidelijk

Er is veel wrevel ontstaan over de verandering in de voorwaarden. Die reactie is niet zo vreemd, omdat de verandering duidelijk maakt dat Spotify veel informatie verzamelt die weinig meer te maken hebben met het laten horen van muziek. Zo worden contacten verzameld, locaties, zaken rond sensoren in de telefoon bijgehouden en kunnen gegevens worden doorgegeven aan derde partijen.

Het probleem zit er vooral in dat niet duidelijk is wat er met de informatie gebeurt. Onze wetgeving gaat er vanuit dat wij van dit soort zaken wel op de hoogte zijn, weten waarom gegevens worden verwerkt en dat niet meer persoonlijke data wordt verzameld dan noodzakelijk is voor het leveren van de dienst. Zonder dit soort helderheid is het lastig toestemming geven of je dit wel wilt en Spotify schakelt die bescherming uit.

Sterker nog Spotify maakt heel duidelijk dat de wettelijke bescherming misschien helemaal niet geldt (in artikel 3.4):

“Your personal information may therefore be subject to privacy laws that are different from those in your country of residence.”

Ofwel: zou het instemmen met deze voorwaarden betekenen dat de Europese regelgeving aan de kant wordt gezet. Natuurlijk is het maar helemaal de vraag of Spotify dat wel kan vragen.

Toestemming vragen

Een opmerkelijke verandering is dat de gebruiker toestemming geeft om zijn of haar contacten te gaan gebruiken. Het bedrijf realiseert dat in sommige landen, zoals Nederland, dit niet zomaar mag en daarom wordt dit probleem bij de gebruiker gelegd door hem te verplichten om toestemming te vragen aan die contacten (artikel 3.3):

“With your permission, we may collect information stored on your mobile device, such as contacts, photos, or media files. Local law may require that you seek the consent of your contacts to provide their personal information to Spotify, which may use that information for the purposes specified in this Privacy Policy.”

Dus wie aan de slag wil met Spotify op zijn smartphone zal eerst toestemming moeten vragen aan ieder contact in het telefoonboek voor het accepteren van deze voorwaarden. Een bijna onmogelijke taak en ook weinig realistisch. Want wat moet je als iemand nee zegt?

Weinig gelukkig

De keuze van Spotify is dus weinig gelukkig. Er zijn wel diensten die met de privacyvoorwaarden niet zo extreem zijn en beter in onze wetgeving passen. De komende tijd komen er ook nieuwe initiatieven. Jammer want Spotify was een goed legale oplossing voor het luisteren naar muziek. Hopelijk realiseert de entertainment industrie dit zelf ook, zodat ze niet iedereen opnieuw naar het privacyvriendelijke Pirate Bay sturen. Of lees bij Wired enkele alternatieven.

Doe het veilig: hoe u in een paar stappen uw computer beschermt

Wie zich op internet begeeft moet zich constant bewust zijn van het gevaar dat informatie in verkeerde handen kan vallen en voor ongewilde doeleinden wordt gebruikt. Misbruik loert continu, maar: wie een paar simpele stappen zet kan zichzelf heel wat beter beschermen.

Volgens de Wet bescherming persoonsgegevens moet u duidelijk geïnformeerd zijn en moeten gegevens goed beveiligd worden. De praktijk is altijd weerbarstiger dan de realiteit en dus kunnen we daar niet op vertrouwen. De talloze datalekken maken dat pijnlijk duidelijk.

Dus hebben we een eigen verantwoordelijkheid om zorgvuldig met onze gegevens om te gaan. Informatie hoeven we niet zomaar af te staan, onze computers moeten goed beveiligd zijn en eigenlijk moeten we online onszelf verdedigen.

Online privacy
Maar de harde realiteit is dat dit makkelijker is gezegd dan gedaan. Een tweet kan soms informatie bevatten die niet op internet hoort, via een ‘dat vind ik leuk knop’ van Facebook geven we bij het bezoeken van een website al informatie weg als we zijn ingelogd, en een applicatie op een mobiel apparaat kan heimelijk erg veel gegevens verzamelen tot het complete adresboek aan toe.

Een populair voorbeeld hoe informatie te misbruiken is, werd door onze Belgische buren gemaakt en illustreert dat schitterend. Met bijna 9 miljoen views is de kans groot dat u het kent, maar anders is het echt de moeite waard.

De oplossing
Omdat het lastig is te weten hoe u uzelf kunt beschermen, heeft de Consumentenbond een boekje ‘Online Privacy’ uitgegeven. Auteur Vincent van Amerongen laat op simpele wijze zien hoe u zich kunt wapenen om uw data beter te beschermen.

Hij wandelt door belangrijke zaken variërend van anoniem browser tot het beter instellen van Facebook, Linked-in, Twitter en Google’s diensten en van het versleutelen van bestanden tot anoniem e-mailen. Naast het boek is er ook een aantal video’s met voorbeelden voor bescherming beschikbaar.

Van Amerongen trapt veel open deuren in, maar dat is juist wat nodig is. Al lezend kwam ik erachter dat bijna alles wel bekend was. Toch was er bij mij nog wel wat anders in te stellen. Wie liever zelf op zoek gaat komt een heel eind met ‘instellingen voor privacybescherming’ als zoekoptie op Google – oh nee dat is vanaf nu – Duckduckgo.com of ixquick.com.

Verademing: CBP maakt verantwoordelijkheid meetbaar met richtsnoer

Vandaag presenteert het College bescherming persoonsgegevens (CBP) een richtsnoer voor beveiliging bij privacybescherming. Eindelijk kunnen we organisaties naast een meetlat leggen. 

Dat richtsnoer is hard nodig, omdat de regels momenteel gericht zijn op het nemen van ‘passende en organisatorische maatregelen’ overeenkomstig de ‘stand der techniek’. Een vage duiding voor alles wat gezond boerenverstand is op gebied van beveiliging, en prima in normen is vastgelegd.

Risico-inschatting
Het mooiste is wel de risico-inschatting. Wie persoonsgegevens gaat verwerken moet serieus gaan nadenken over de risico’s die er kleven aan het omgaan met de informatie. Dat moet eindigen in niet alleen maatregelen om de risico’s tot een minimum te beperken, maar ook in plannen om de gevolgen van een incident te beperken.

Stel dat een bedrijf persoonsgegevens in een database wil opslaan en die via de website toegankelijk wil maken, dan moet bijvoorbeeld over een hack worden nagedacht. Dat betekent om te beginnen stappen zetten om de kans op zo’n digitale inbraak te verkleinen. Dat is dus niet alleen de programmatuur up-to-date houden, maar ook het kritisch kijken naar de gebruikte software, monitoring op toegang, stappen zetten om ervoor te zorgen dat bij een hack alleen de minimale informatie verloren gaat. Enzovoort, enzovoort.

Daarnaast moet er een plan zijn voor het oplossen van de gevolgen van een hack. Dat is niet alleen het technisch verhelpen, maar ook denken aan zaken als het waarschuwen van de juiste mensen en het regelen van eventuele schadevergoedingen, alsmede ondersteuning bij het in de toekomst voorkomen van identiteitsdiefstal. Dat laatste is natuurlijk kostbaar, maar misschien ook wel goed om bewust te worden dat er met het verwerken van persoonsgegevens forse risico’s zitten.

Kiezen
Het CBP suggereert dat het gevolg van een goede analyse kan zijn dat het verstandig is maar minder gegevens te verwerken, de data minder lang te bewaren, of sommige zaken in het geheel maar niet te doen.

Ook ontkomen organisaties er niet langer aan een volwassen beveiligingsstandaard te kiezen en daarmee aan de slag te gaan. Dat betekent op een procedurele manier werken en niet meer hapsnap beveiliging doen.

Het richtsnoer is een verademing, want nu wordt hard wat al lang viel te vermoeden: gebruikersnaam en wachtwoord voor gevoelige gegevens? Dacht het niet! Systemen niet bijwerken? Doodzonde! Geen detectie op de systemen met gevoelige informatie? Uit den boze! U mag mijn gegevens soms best verwerken, maar dan wel veilig en eindelijk is er een richtsnoer daarvoor.