Privacy doe je zelf

De strijd tegen kinderporno wijst op een privacy-probleem in de cloud.

De arrestatie van een man in de VS die kinderporno had opgeslagen in zijn OneDrive-cloudopslag, kan alleen maar worden toegejuicht. Voordien was ook al een andere persoon opgepakt omdat hij dergelijke foto’s in zijn Gmail account had.

Mooi, want geen zinnig mens kan of mag de strijd tegen kinderporno in vraag stellen.

Schaduwzijde

Maar helaas is er geen maatregel die niet ook een of meerdere schaduwzijden vertoont. En dat is ook hier het geval.

Immers, er werd zonder meer door de uitbaters van de diensten op gestructureerde wijze en doelgericht inzage verworven in de inhoud van de bestanden en boodschappen die aan hun diensten waren toevertrouwd. De betrokken dienstverleners beweren bij hoog en bij laag dat ze de controles op de inhoud uiterst gericht verrichten en met erg duidelijke doelstellingen, en die controles zelfs expliciet (nou ja) vermelden in de gebruiksvoorwaarden (die u natuurlijk met aandacht hebt gelezen).

Hoe dan ook betreft het hier echter wel een stevige inbreuk op de privacyrechten van deze gebruikers, en vormt dit een fundamentele vertrouwensbreuk in de relatie tussen dienstverlener en gebruiker (dat is overigens wel anders als op basis van gerechtvaardigde vermoedens de account van een specifieke persoon wordt onderzocht, normalerwijze in het kader van een geëigende onderzoeks/rechtsprocedure).

Immers, als de (cloud-)dienstverleners met (goede) reden vandaag naar het ene zoeken, wat verhindert hen dan om op een later ogenblik (om wellicht minder goede redenen) ook naar andere informatie in die bestanden en boodschappen te zoeken. Of andere ‘organisaties’ (zoals overheidsinstanties op de verschillende continenten, moet je maar denken in de nasleep van de NSA-affaire)?

En wie bepaalt dan overigens wanneer er sprake is van een overtreding (welke wetgeving is van toepassing op de inhoud van een boodschap: deze van het land waar de verspreider woont, het land waar de boodschap al dan niet in transit is opgeslagen, de landen waar zich de tussenliggende connectiviteitsinfrastructuur bevindt, of het land waar de boodschap wordt ontvangen?

In sociale netwerkdiensten verdwijnen wel eens vaker foto’s en/of berichten om redenen die niet altijd even duidelijk zijn…

DIY-privacy

De conclusie is dat de gebruiker zelf moet werken aan de verdediging van zijn privacy, en niet mag rekenen op beloften van dienstverleners. Want meer dan ooit blijf je vandaag zitten met de vraag van ‘wie bewaakt de bewakers?’. Dat betekent dat een gebruiker er moet van uitgaan dat alles wat hij of zij doorheen de cloud stuurt, of er in opslaat, kan worden bekeken. En dan hoeven het geen kinderpornobeelden te betreffen, om je hier zorgen over te maken. Bedrijfsgegevens van allerlei aard kunnen (en mogen) beter ook niet zomaar worden verspreid.

Sinds jaar en dag wordt dan ook aanbevolen om data en boodschappen in de cloud, zowel tijdens de transmissie (‘in transit’) als tijdens de opslag (‘at rest’) te encrypteren, zeg maar te versleutelen zodat ze niet kunnen worden gelezen. Ook in het gsm-gebeuren maakt dit opgang, met bijvoorbeeld de introductie van de Blackphone-toestellen voor beveiligd spraakverkeer.

Wat de verwerking van informatie in toepassingen in de cloud betreft, kan je maar beter ook nagaan of de toepassingen inderdaad voldoende veilige ‘muren’ bouwen tussen de data van de verschillende gebruikers in ‘multi-tenant’ omgevingen. Kortom, zorg ervoor dat jij zelf bepaalt wie wat kan lezen en zien. ‘Doe het zelf’-privacy…

Is dit erg voor de ordediensten die alle mogelijke vormen van misdaad, inclusief kinderporno, terrorisme en dies meer willen bestrijden? Helaas, ja. Maar het verhindert hen niet om bij gerechtvaardigde vermoedens toch nog de nodige gerechtelijke stappen te zetten (en uit ‘metadata’ van bijvoorbeeld het berichtenverkeer, kan ook al heel wat worden afgeleid).

Er duikt overigens al vaker wetgeving op die de gebruiker verplicht zijn encryptiesleutels ter beschikking te stellen aan de ordediensten. Wie niets te verbergen heeft, zal dan zeker geen bezwaar hebben tegen medewerking, en weet dan tenminste wie wanneer wat heeft bekeken… En zo wordt een vertrouwensbreuk voorkomen!