Actieve gegevensbescherming betekent uiteindelijk: wie heeft er toegang tot welke gegevens? Bij videoconferentiesoftware zijn er een aantal technieken die daarop van invloed zijn. In een ideale situatie draai je een eigen server waar Jitsi of BigBlueButton op draait, of huur je er een en houd je alle informatie binnen eigen beheer.
Voor de beveiliging van gegevens die over het netwerk worden verstuurd, is een transportversleuteling van belang. Op de server zijn alle gegevens echter in leesbare tekst beschikbaar. Bijna alle videoconferentieplatforms maken gebruik van transportversleuteling. Dat heeft vooral gevolgen als je gebruikmaakt van een cloudservice zoals Skype, Teams of Zoom.
In die gevallen heeft de exploitant in principe toegang tot alle gespreksinhoud – en zou hij die bijvoorbeeld op gerechtelijk bevel kunnen of moeten vrijgeven. Ook kunnen hackers die in de netwerken van de aanbieders hebben ingebroken zich toegang verschaffen tot zulke gegevens. Daar biedt alleen end-to-end-encryptie (E2E) bescherming tegen.
Dat is goed wat de gegevensbescherming betreft, maar problematisch vanuit praktisch oogpunt omdat het een hele reeks technische beperkingen met zich meebrengt.
Blijf op de hoogte van de nieuwste online artikelen, informatie en tips!
Schrijf je in voor de nieuwsbrief:
Het tonen van ondertitels of vertalingen, of het aanpassen van de beeldkwaliteit aan de verbindingssnelheid van individuele deelnemers vereisen allemaal dat de server de beeld- en audiodata kan wijzigen, waarvoor hij dus meestal toegang moet hebben tot de onversleutelde ruwe data. Zelfs een opname van de conferentie aan de serverkant is natuurlijk niet mogelijk als de server alleen maar cryptische gegevens ziet.
Dat is ook de meest genoemde reden waarom er tot nu toe nauwelijks videoconferentiesystemen zijn die E2E-versleuteling bieden. Bij Zoom is end-to-end-encryptie als optie aan te zetten. Nextcloud Talk biedt op verzoek al end-to-end-versleuteling voor bestanden, beelden en geluid.
Met Jitsi zijn de eerste aanzetten gemaakt om de WebRTC-datastromen te voorzien van E2E-versleutling. Wanneer dat echter praktisch kan worden toegepast is nog niet bekend. Microsoft en Google hebben tot nu toe nog niets over encryptie van hun diensten gemeld: geen wonder, aangezien het gebruik van end-to-end-versleuteling fundamenteel haaks op hun bedrijfsstrategie staat.
Internet- en IT-beveiligingsdienstverlener PSW Group heeft o.a. GoToMeeting een positieve beoordeling gegeven op het gebied van AVG-compliance en gegevensbescherming. De servers van GoToMeeting bevinden zich echter buiten Europa.
Het centrale probleem bij E2E is het beheer van sleutels. Elk eindapparaat moet dan namelijk met elk ander eindapparaat een geheime sleutel overeenkomen die alleen die twee kennen. Dat vereist een betrouwbare Public Key Infrastructure (PKI) die de exploitant moet leveren.
En is er één zwak punt dat niet mag worden vergeten: de serveroperator heeft nog steeds toegang tot de metadata, dat wil zeggen wie er met wie heeft overlegd, wanneer en hoe vaak dat is gebeurd. En dat zijn ook zeer belangrijke gegevens die het waard zijn om te worden beschermd. Daarom is het inzetten van een eigen of gehuurde server met een goede transportversleuteling misschien wel het meest efficiënte compromis.
De internet- en IT-beveiligingsdienstverlener PSW Group heeft Cisco WebEx en GoToMeeting een positieve beoordeling gegeven op het gebied van AVG-compliance en gegevensbescherming. De servers van GoToMeeting bevinden zich echter buiten Europa. Cisco WebEx exploiteert datacenters in Nederland en het Verenigd Koninkrijk waar gegevens van Europese gebruikers worden opgeslagen.
In het geval van gratis gebruikersaccounts behoudt het Amerikaanse bedrijf zich echter het recht voor om de gegevens ook buiten de regio van de rekeninghouder op te slaan.
Als je onduidelijkheid wat gegevensbescherming betreft wilt voorkomen, kun je beter een provider uit Europa kiezen, zoals Nextcloud of Stackfield. Die laatste is in feite een projectmanagementtool met videochatfunctionaliteit.
Mooi basis document voor dit soort software. Zelf ben ik op zoek naar een optimale invulling voor een algemene ledenvergadering van een club. De club heeft een paar honderd leden maar voor de ALV verwachten we er zo’n 50 a 60. Dat willen we dit jaar online doen in plaats van in een zaaltje. Omdat we nu geen zaal-huur betalen, zouden we de kosten van de ALV gewoon direct kunnen/willen betalen. Voor de algemene vergelijking heb ik er al een paar op de short-list staan maar ik heb ook oog voor de volgende punten: De kosten van 1 zo’n vergadering… Lees verder »