De Europese wetgeving rond privacy blijkt niet compatibel met die van de Verenigde Staten. Safe Harbor is hierdoor niet toe te passen en nu zijn we allemaal gedwongen om onze data in Europese clouds op te slaan. Gaan we hier niet voorbij aan een aantal andere belangrijke aspecten die een veel grotere invloed hebben op privacy inbreuk? Zoals identity theft?
Persoonlijke informatie wordt op grote schaal gestolen. Het is op dit moment zelfs zo erg, dat deze informatie aan enorme devaluatie onderhevig is en nog maar een dollar per persoon waard is. En ondertussen maken we ons zorgen om Safe Harbor…
Eén van de Safe Harbor privacy principes is security: ‘Organizations creating, maintaining, using or disseminating personal information must take reasonable precautions to protect it from loss, misuse and unauthorized access, disclosure, alteration and destruction. ‘
Volgens mij zit het probleem hem in het woord reasonable. Het blijkt telkens weer onthutsend gemakkelijk om data bij bedrijven te ontfutselen. Dit zit hem in een aantal aspecten:
– De toegang tot de systemen is te eenvoudig te forceren;
– De data is zodanig opgeslagen dat het gemakkelijk herkenbaar is als persoonlijke data;
– Organisaties slaan te veel data op.
Daarnaast is er een groot probleem rond authenticatie bij de meeste organisaties. Hoe gemakkelijk is het niet om belangrijke zaken te regelen door alleen maar een kopie van een identiteitsbewijs, een credit card nummer of burger service nummer (bsn) af te geven. We maken ons allemaal druk om elke maand een nieuw moeilijk password te kiezen, maar ondertussen kan je systeem gewoon gehackt worden, omdat er buiten de standaard toegangslaag om gewoon een connectie kan worden verkregen omdat er ergens een service in je domein draait die met een standaard ‘admin, admin’ password beveiligd is. We betalen allemaal al jarenlang de duurste zaken met nog steeds de zelfde vier-cijferige pincode. En ons DigiD-password is ook al jaren hetzelfde. Vinden we het gek dat er van alles fout gaat?
Schijnveiligheid
We houden onszelf enorm voor de gek als het gaat om authenticatie. Schijnveiligheid heet dat. Het feit dat de NSA gegevens kan opvragen van Europese bedrijven die hun data in een US cloud hebben opgeslagen is niet het probleem. Het feit dat de NSA zo enorm gemakkelijk te hacken is, is het probleem. En dat de data vervolgens zo gemakkelijk voor het oprapen ligt, is een nog groter probleem. Naast encryptie van gevoelige data is ‘obfuscation’ (‘verwarring zaaien’) misschien nog wel belangrijker.
Daarnaast is het niet zo zeer van belang met welke cloud-provider je zaken doet als eindgebruiker, maar veel meer nog met welke ‘winkel’. En hoeveel je van jezelf prijsgeeft. Als je als burger via een website jezelf registreert en die website draait op Amazon- of Microsoft-cloudservers wil dat nog niet zeggen dat je data veilig is en privé blijft. De architectuur van de weboplossing is van veel groter belang. Het kan zelfs zo zijn dat je bsn-nummer als cookie wordt bewaard en vervolgens heel gemakkelijk te ontfutselen is. Als de ontwikkelaar van die website bedacht had dat dat een goede oplossing was is er niemand die zich dat (op tijd) realiseert. Totdat het in de krant staat.
Als burger heb je werkelijk geen idee waar je data staat en hoe veilig het opgeslagen is. Daar gaat Safe Harbor helemaal niets aan veranderen.
Beste oplossing
Misschien is de beste oplossing nog wel dat de privacy gevoelige data gewoon steeds minder waard wordt. Als er afspraken zijn met zorgverzekeraars dat men alle burgers moet verzekeren, ongeacht zijn of haar gedrag (wat onder andere via Facebook te achterhalen is) is die privacy gevoelige data niet meer relevant. Als het regelen van de belangrijke zaken in het leven (een bankrekening, een hypotheek, et cetera) gewoon alleen kan verlopen via face to face authenticatie is er geen probleem.
En tot slot, als je altijd het recht hebt om te bewijzen dat jij iets niet gedaan hebt, zoals bijvoorbeeld een groot geldbedrag overmaken, dan is er niets aan de hand. Dat is tegenwoordig eenvoudig te achterhalen, met alle digitale breadcrumbs die je overal achterlaat.
De oplossing zit hem in immutable architecture en big data. Als alles bewaard wordt op gedistribueerde systemen en de relatie tussen al die informatie kan ad hoc bepaald worden in plaats van het van te voren vastleggen van relaties, is de bewijslast niet te vervalsen en is men altijd in staat om te bewijzen dat je iets niet gedaan hebt.
Het probleem gaat zich vanzelf oplossen… Devaluatie van privacy informatie is het antwoord.
Ach Gijs, dit valt onder het hoofdstuk “wishfull thinking”.
Dit soort problemen gaan net zo vanzelf over als dat iedere nederlander automatisch verzekerd zal zijn.
Ach Gijs, eerder was hier al eens iemand die mijn identiteit overnam. En nu blijkt redactie mijn recht op privacy niet te respecteren omdat ze een CMS hebben dat hier simpelweg niet in voorziet. Idee van object gerelateerde archivering blijkt wat weerbarstiger met de praktijk als we kijken naar de relaties.
Het succes van ‘buckets’ is afhankelijk van de metadata en dit is dus een probleem als we kijken naar de relaties zelf. Betreffende de data zal ik het simpel voor je maken, de Simple Storage Service (S3) van CRUD operaties welke naast de PUT & GET van schrijven (Create) en lezen (Read) kennen dus ook nog de UPDATE en DELETE operaties kennen als we het over het over de uitdagingen in archivering gaan hebben. Euh,, mijn recht om vergeten te worden?
Devaluatie van privacy is dus duidelijk niet het antwoord als we kijken naar reikwijdte van de uitspraak van Europese Hof, hele Safe Harbor was een juridische workaround rond het vraagstuk van privacy. Zolang een sorry achteraf nog goedkoper is dan blijft het vooral dweilen met de kraan open. In dit geval onderschrijf ik de reactie van Jan, volg eens de discussies over verplichte zorgverzekering en het verlies aan ‘medische geheim’ tussen de patient en de behandelaar versus BSN-Z discussie.
Een unieke sleutel tot bind them all?
Wat als iedereen nou eens zijn/haar naam elke 5 jaar zou veranderen?
Dat is op dat moment wel even een ‘dingetje’ maar het levert veel voordelen op.
@Johan, dat is prima terug te traceren met big data oplossing.
Kort door de bocht stel je dat regels rondom privacy steeds minder belangrijk is omdat je privacy steeds minder waard wordt. Dat is inderdaad behoorlijk omdenken 🙂
Ik ben met je eens dat een belastingdienst of zorgverzekeraar die data over je verzamelt meer impact op jou zal hebben dan dat de Amerikanen dat hebben en dat ik liever heb dat de Amerikanen mijn data in kunnen zien dat criminelen. Om dat echter als strategie te hanteren gaat mij wat ver.
Safe Harbor was een wassen neus en wat de vervanger moet worden is me ook nog niet glashelder. Het is wel iets waar je uiteindelijk wel wat mee moet en grappig genoeg is dat bij wet al best geregeld door de verantwoordelijkheid te leggen bij de (Nederlandse) dataverwerker. Die moet zich immers vergewissen dat de data die hij verzamelt en verwerkt niet misbruikt mag worden. Aangezien de Amerikanen geen inzage geven wat ze met data doen zul je daar praktisch gezien nooit problemen mee krijgen dus blijft het zaak om criminelen, journalisten en bepaalde instantie buiten de deur te houden, ongeacht welke data je waar dan ook stalt.