VS controleert laptopgegevens reizigers

07/03/08 om 12:00 - Bijgewerkt om 11:59

Bron: Datanews

Een groot farmaceutisch bedrijf in België waarschuwde vorige week zijn topmensen die regelmatig naar de Verenigde Staten reizen. De kans bestaat immers dat de gegevens in de laptops gescreend worden door de Amerikaanse overheid.

Een groot farmaceutisch bedrijf in België waarschuwde vorige week zijn topmensen die regelmatig naar de Verenigde Staten reizen. De kans bestaat immers dat de gegevens in de laptops gescreend worden door de Amerikaanse overheid.

Eind januari al gaf de 'Association of Corporate Travel Executives' (ACTE) aan dat 60 procent van de mensen die instaan voor zakelijke reizen geen weet heeft van de mogelijkheid dat notebooks en alle mogelijke apparatuur met gegevensopslag kunnen worden doorzocht en zelfs in beslag genomen. ACTE wijst eveneens op mogelijke problemen in verband met gevoelige bedrijfsinformatie.

De maatregel is blijkbaar niet nieuw, maar kwam vorige maand aan het licht toen twee burgerrechtenorganisaties uit San Francisco een rechtszaak inspanden tegen de Amerikaanse overheid. In het kader van de 'freedom of information act' eisen ze openheid over de richtlijnen op basis waarvan een dergelijk onderzoek en eventueel een in beslagname kan worden uitgevoerd. Rechtstreekse aanleiding voor de rechtszaak waren een paar dozijn voorvallen waarbij de onderzochte personen naar verluidt moslim waren en/of afkomstig uit het Midden-Oosten of Zuid-Azië. Dat wijst volgens die organisaties op 'profiling' op basis van religieuze overtuiging of afkomst. De Amerikaanse dienst 'Customs and Border Protection' heeft die aantijging uiteraard formeel tegengesproken.

Opvallend is dat de maatregel van de Amerikaanse overheid zelf niet ter discussie gesteld wordt, wel de criteria op basis waarvan tot inspectie wordt besloten. Het is ook de vraag hoe de informatie kan worden beveiligd tegen ongewenste verspreiding en wat de gevolgen zijn voor de reizigers én hun bedrijven. De grenspolitie kan immers naast notebooks, ook de inhoud van telefoons, pda's, mp3-spelers, camera's en alle vormen van gegevensdragers doorzoeken. Ook als de informatie geëncrypteerd is.

Daarbij kan zowel de privé-informatie van de persoon zelf worden doorzocht en eventueel gecopieerd, evenals bedrijfsinformatie. En vanzelfsprekend zal ook worden gevraagd om versleutelde bestanden ter inzage te openen.

Wat de privé-data betreft, kan de betrokkene natuurlijk zelf beslissen of hij of zij hiertegen protesteert of niet. Er moet in ieder geval worden overwogen dat onder die persoonlijke informatie zich allicht ook paswoorden voor online banking etc bevinden. Of wat als er zou worden gevraagd om aan te tonen dat alle muziek- en/of videobestanden legaal verkregen zijn?

Wat bedrijfsgegevens betreft, is zijn of haar positie wel iets moeilijker... Immers, als werknemer mag hij derden geen toegang verlenen tot bedrijfsinformatie terwijl er toch een volle medewerking aan de CBP moet worden verleend. Dat betekent dat op die wijze gevoelige en strategische informatie, intellectuele eigendom, privacy-onderhevige gegevens wordt vrijgegeven en in handen gegeven van derden - in casu de CBP - wat op zichzelf al een overtreding kan zijn. Wat immers als hierdoor de resultaten of plannen van een beursgenoteerd bedrijf in brede kring bekend raken? Dat zou bijvoorbeeld een inbreuk op de plicht van een bedrijf om de belangen van zijn aandeelhouders te behartigen betekenen. Of wat als het medische gegevens over derden betreft? Of informatie over personen in een rechtszaak?

De ACTE zelf had vorig jaar al een 'freedom of information'-verzoek gericht aan de Amerikaanse overheid om te vernemen hoe een verspreiding van gecopieerde of in beslaggenomen informatie kan worden vermeden. Het antwoord kwam er bondig op neer dat de betrokken personen in CBP werden opgeleid om dat te voorkomen.

Ondertussen hebben heel wat bedrijven besloten hun bedrijfsbeleid inzake het transport van data aan te passen, met het oog op een minimaal verlies van gegevens en een verzekerde naleving van andere sectorgerichte en overheidseisen. De ACTE voegt hier ook nog eigen aanbevelingen aan toe (die overigens ook door privé-reizigers kunnen worden overwogen):

- Plaats zo weinig mogelijk (of beter nog: geen) bedrijfseigen informatie of persoonsgebonden gegevens op systemen die de grens moeten passeren.

- Beperk wat je aan persoonlijke informatie op reis meeneemt op een computer of een elektronisch systeem met opslagcapaciteit: geen bankinformatie geen foto's die je niet publiek wil maken (familiefoto's etc) geen correspondentiemateriaal (zoals e-mail, instant messaging etc) dat je niet publiek wil maken geen informatie over de eigen gezondheid geen informatie over paswoorden etc

- Verzend e-mail en databestanden op voorhand, zodat ze niet verloren gaan als de notebook of het opslagsysteem wordt in bewaring genomen.

- Vraag de persoon die het toestel (of de toestellen) in bewaring neemt om een ontvangstbewijs en noteer zijn of haar badgenummer.

- Werk steeds ten volle mee met het douane- en grensbewakingspersoneel!

Om toch tijdens de zakelijke trip over de nodige data te beschikken, kan tevens worden geadviseerd de notebook slechts te voorzien van de nodige software om op een beveiligde wijze contact te nemen met de centrale bedrijfssystemen, zoals een thin-client toepassing, een vpn-toegang en dies meer. Naast de nodige gegevens kan daar ook een virtuele desktop of werkplek worden opgeslagen, zodat de gebruiker meteen toegang heeft tot zijn toepassingen, data en dies meer. Deze werkwijze is sowieso aan te bevelen, omdat op die wijze de data steeds veilig op de centrale bedrijfssystemen worden gehouden.

Bedenk overigens dat het bovenstaande artikel wel werd geschreven met verwijzing naar maatregelen van kracht aan de Amerikaanse grens, maar dat gelijkaardige inspecties in heel wat meer landen worden uitgevoerd, in het bijzonder met het oog op de bestrijding van kwalijke pornografie. Zowel gerbuikers als werkgevers moeten hier dan ook terdege rekening mee houden!

Onze partners