Bewaar je privacy ondanks je smartphone

Alieke van Sommeren
0

Je staat er misschien niet zo bij stil, maar je smartphone heeft continu verbinding met het internet, ook als je hem niet actief gebruikt. Uit privacy-oogpunt is dat een groot probleem. Want smartphones zijn voor veel gebruikers inmiddels het belangrijkste communicatiemiddel. Er belanden erg veel gevoelige gegevens op, die vooral op het apparaat zelf moeten blijven. Maar tussen privacywetgeving en de praktijk gaapt een grote kloof. Gelukkig is die wel te overbruggen.

Voor iedereen die op zijn privacy is gesteld, was het weer even diep zuchten toen ze na het updaten van messenger-app WhatsApp de nieuwe algemene voorwaarden kregen voorgeschoteld. Volgens die voorwaarden mochten ineens wel persoonlijke gegevens naar Facebook worden doorgesluisd. Alleen wie goed oplette kon een optie aanvinken om dat te voorkomen. Maar Whatsapp was toch one of the good guys? Het bedrijf zou de privacy van gebruikers altijd voorop stellen en zeker geen privacygevoelige gegevens doorgeven aan derden.

Wat het debacle heeft duidelijk gemaakt, is dat je moet blijven opletten en gewijzigde voorwaarden van diensten en apps steeds weer goed moet doorlezen. Achteloos doorklikken en akkoord geven is niet aan te raden, omdat dan onder meer je naam, telefoonnummer en statusinformatie bij Facebook belanden. Gelukkig is er vaak (en dat was ook het geval bij WhatsApp) nog een manier om achteraf je goedkeuring in te trekken. Dat kan dan nog binnen een bepaalde termijn (bijvoorbeeld dertig dagen).

Het voorbeeld van WhatsApp laat zien hoe lastig het is om je privégegevens op een smartphone afgeschermd te houden. Je kunt WhatsApp namelijk alleen gebruiken als je de app volledige toegang geeft tot je contactenlijst. Er is geen optie om bepaalde gegevens, zoals zakelijke contacten, uit te sluiten van een automatische upload richting de WhatsApp-cloud. Maar daar blijft het niet bij, want helaas helpen ook de besturingssystemen van smartphones dit soort apps zelfs een handje. Android en iOS zijn niet in staat om je controle te geven over welke gegevens absoluut niet met apps mogen worden gedeeld. Of het nu om contacten, mails of agenda-items gaat, smartphones stellen gewoon een grote bak aan data beschikbaar waar zowel het openbare nummer van de helpdesk van je provider als gevoelige zakelijke contacten in belanden.

Er wordt vaak gezegd dat je als Europeaan niets in de Amerikaanse cloud zou moeten opslaan,

maar dat klopt niet helemaal

Dat de ontwikkelaars van besturingssystemen niet zo zitten te springen om dat te veranderen is niet zo verwonderlijk: ze willen die gegevens maar wat graag in handen krijgen. Een Android-smartphone zonder verbinding met de Google-cloud wordt anders een karige bedoeling. En ook bij Apple werken veel handige opties binnen iOS alleen als je smartphone permanent met iCloud is verbonden. Welke data er vervolgens op Europese of Amerikaanse servers belanden, kun je niet herleiden. Zelfs niet als je de ellenlange gebruikersvoorwaarden en privacyverklaringen doorploegt.

Dat gedrag van bedrijven gaat vaak ongemerkt aan gebruikers voorbij. Gelukkig is de Europese wetgeving op het gebied van bescherming van persoonsgegevens strenger dan de Amerikaanse. Het verwerken van bijzondere persoonsgegevens is zelfs verboden, tenzij er sprake is van een (logisch onvermijdbare) uitzondering. Onder die bijzondere persoonsgegevens vallen je levensovertuiging, ras, politieke voorkeur, gezondheid en seksuele geaardheid.

Gemak of toch niet

Dat je je eigen gegevens ergens in een cloud parkeert, moet je helemaal zelf weten. Daar ben je zelf verantwoordelijk voor, en met een paar gebruiksvriendelijke encryptietools kun je dat eenvoudig goed en veilig in de hand houden. Het wordt echter een ander verhaal zodra er gegevens van anderen bij komen kijken. En op een universeel communicatiemiddel als een smartphone staan bijna altijd wel gegevens van derden. Bedrijven bieden werknemers steeds vaker de mogelijkheid een eigen apparaat zakelijk te gebruiken (BYOD – Bring Your Own Device). Veel werknemers willen niet elke dag met twee telefoons op pad. Die zien BYOD als een makkelijke manier om alle data die je nodig hebt altijd bij je te hebben in één apparaat. Werkgevers op hun beurt besparen op hardwarekosten. Werknemers zijn bekend met het apparaat en hoeven niet eerst te leren hoe ze ermee moeten werken, dus dat bespaart weer tijd.

Werkgevers willen zich natuurlijk goed indekken tegen eventuele schade die wordt geleden als zakelijke data in verkeerde handen vallen. Denk aan imagoschade als gevolg van datalekken. Werkgevers moeten privacygevoelige gegevens ook goed beveiligen. Zodra je een eigen apparaat zakelijk gaat gebruiken, ga je vrijwel altijd akkoord met het op afstand mogen wissen van je apparaat of de mogelijkheid dat hij wordt ingenomen als dat om juridische redenen nodig is. Daar moet je dus wel rekening mee houden. Het wissen is een eenvoudige manier om te voorkomen dat gevoelige data in verkeerde handen vallen. De kans dat die acties daadwerkelijk worden uitgevoerd, zal echter niet erg groot zijn, maar het kan wel. Bijvoorbeeld wanneer een bedrijf een veiligheidslek ontdekt en alle smartphones van medewerkers preventief wil wissen. Maak dus regelmatig een back-up van je eigen gegevens (bijvoorbeeld je privéfoto’s). Dat is iets wat je sowieso standaard geregeld moet hebben.

Opties om data te scheiden

Privacy Shield

Kleine bedrijven, freelancers en zelfs privépersonen hebben niet de mogelijkheden of de middelen die grote bedrijven hebben om smartphones zo te configureren dat ze veilig kunnen omgaan met privacygevoelige gegevens in de cloud. Het opslaan van bestanden gebeurt op de standaard ingestelde manier via de clouddiensten van Google, Microsoft en Apple. Vanuit het oogpunt van de bescherming van je persoonsgegevens is dat een bijzonder slechte zaak. Die diensten richten zich op de eisen van normale consumenten. De enige afspraken zijn de gebruikersvoorwaarden of algemene voorwaarden, maar qua privacy zijn die tot het minimale beperkt. Elke vorm van aansprakelijkheid is zorgvuldig afgedekt.

Je hoort vaak dat het voor Europese inwoners of bedrijven in het algemeen geen slimme zet is om persoonsgegevens bij grote Amerikaanse clouddiensten te parkeren. Dat klopt niet helemaal, maar het is wel verstandig op een aantal dingen te letten. Er zijn namelijk regels opgesteld volgens EU-standaarden.

Zelfcertificering

Tot 2015 werden die regels nageleefd via het Safe-Harbor-akkoord tussen de EU en de Verenigde Staten. Nadat het Europese Hof dat akkoord van tafel veegde omdat het niet voldoende bescherming bood voor persoonsgegevens, is er sinds juli 2016 een nieuw akkoord: het EU-US Privacy Shield. Amerikaanse aanbieders kunnen laten zien dat ze voldoen aan de gestelde privacy-eisen door zich te laten certificeren via het Amerikaanse ministerie van Economische Zaken.

De beslissing om die certificering te vertrouwen ligt in de handen van degene die de dienst gebruikt, oftewel jijzelf. Je moet er niet er klakkeloos vanuit gaan dat wat een bedrijf zegt klopt, maar controleren of een certificering ook echt bestaat  en nog steeds geldig is. Die certificering moet elk jaar vernieuwd worden. Bovendien moet het soort verzonden persoonsgerelateerde gegevens afgedekt worden door de certificering. Details over het gebruik van Privacy Shield lees je in de FAQ van de Europese Commissie.

Een belangrijk punt blijft echter dat het Privacy Shield geen garantie biedt dat Amerikaanse bedrijven geen toegang hebben tot de gegevens. Microsoft heeft zich vrijwel direct nadat het nieuwe akkoord was goedgekeurd laten certificeren en werkt sinds 12 augustus onder het Privacy Shield. Google heeft eind september zijn certificering gekregen via het Amerikaanse ministerie. Andere Amerikaanse bedrijven als Apple en Facebook hebben nog geen stappen in die richting gezet. Zij maken nog gebruik van de éénjarige overgangsfase.

Opties om data te scheiden

Beroepsgeheimen

In de praktijk zijn slechts weinig mensen zich bewust van de regels binnen het EU-US Privacy Shield. De meeste mensen begeven zich in een juridisch grijs gebied door persoonsgegevens van derden via Amerikaanse clouddiensten te synchroniseren en hun smartphones ook zakelijk te gebruiken. Zodra je een cloud gebruikt, moet je je één belangrijke regel onthouden: hoe gevoeliger de data op je smartphone zijn, des te meer je je moet afvragen hoe en of je de gegevens wel aan een bepaalde cloudaanbieder toevertrouwt.

Als het gaat om meer dan alleen contactinformatie, is het verstandig om de gegevens in ieder geval end-to-end versleuteld op een server van derden neer te zetten. Er zijn clouddiensten die dat standaard al doen (Sync.com, Tresorit, Spideroak). Je kunt ook tools als Boxcryptor of SafeCrypt (voorheen SkyCrypt) gebruiken. Dat is vooral van belang bij beroepen met een beroepsgeheim, zoals medici en juristen. Die moeten aan aparte strengere regels voldoen. Als die de aan hen toevertrouwde persoonlijke gegevens niet voldoende beveiligen, levert dat onder meer een fikse boete op.

In de zorg worden medische gegevens steeds vaker in de cloud gezet omdat het dan voor zorgaanbieders makkelijker is om gegevens te delen. Het risico op datalekken neemt daardoor wel toe. Eerder dit jaar heeft de Autoriteit Persoonsgegevens in een open brief aan zorginstellingen specifiek om aandacht gevraagd voor de bescherming van patiëntgegevens. De Autoriteit Persoonsgegevens heeft de beveiliging van medische gegevens niet voor niets één van haar speerpunten voor dit jaar gemaakt.

Gescheiden graag

Om op safe te spelen, is het verstandig om gegevens zo veel mogelijk van elkaar te scheiden. Je hoeft niet meteen van Amerikaanse cloudaanbieders af te zien als je als freelancer wat zakelijke contacten op je smartphone neerzet. Maar als je zakelijke e-mail met je privé-smartphone afhandelt, is het verstandig om een Europese aanbieder te gaan gebruiken. Maar wat vooral belangrijk is: privégegevens en zakelijke gegevens zijn op je smartphone gewoon van elkaar te scheiden. In c’t 12/2016 laten we je zien hoe je dat doet. Het is niet eens zo heel moeilijk.

(Holger Bleich, Jörg Wirtgen, Alieke van Sommeren)

Dit artikel is de inleiding voor het thema Privacy en mobiele apparaten. Meer artikelen hierover vind je in c’t 12/2016

Meer over

Smartphones

Deel dit artikel

Lees ook

Een middenklasse laptop kiezen: tips en suggesties

Wil je een laptop met een goede prijs-prestatieverhouding? Een krachtiger model waarmee je behalve internetten ook prima kunt fotobewerken of andere s...

Koptelefoon vergelijken met software en testtonen

Wil je de ene hoofdtelefoon vergelijken met de andere, dan moet je systematisch te werk gaan. Dat kan met je eigen oren, gratis software en onze testt...

0 Praat mee

avatar
  Abonneer  
Laat het mij weten wanneer er