Houd zelf de controle over je privacy

Houd zelf de controle over je privacy

Geplaatst: 31 mei 2017 - 06:25

Aangepast: 15 december 2023 - 12:42

Tijs Hofmans

Als je een beetje gemiddeld leeft, sta je waarschijnlijk in enkele honderden databases. Jij wordt namelijk op veel manieren gevolgd, zowel door de overheid als door bedrijven. Via je betaalgedrag, bonuskaarten, internetgedrag, sociale netwerken, gps-tracking via je mobieltje tot zelfs het afluisteren in je eigen huis via je slimme tv of andere apparatuur. Is er eigenlijk nog wel zoiets als privacy, en hoe houd je daar zelf nog controle over?

Het is inmiddels vier jaar nadat er miljoenen documenten van de NSA werden ontvreemd. Sinds de onthullingen van klokkenluider Edward Snowden weten we hoe de Amerikaanse inlichtingendiensten iedere beweging die we online maken, kunnen volgen. Ook in Nederland is er weinig wat je online nog kunt doen dat niet kan worden opgemerkt. Enkele maanden geleden kwamen er nóg meer geheime documenten bovendrijven, dit keer over een andere inlichtingendienst (de CIA), waaruit bleek dat maar weinig ‘slimme’ apparaten zijn die níet te hacken zijn. Zulke onthullingen doen vermoeden dat het slecht gesteld is met onze privacy. Dat lijkt niet echt te verbeteren onder het bewind van de nieuwe Amerikaanse president Trump.

Ook nu we in ons eigen land verregaande bevoegdheden geven aan de AIVD en de politie, (zoals de twee recente beveiligingswetten die in het afgelopen jaar door de Tweede Kamer zijn goedgekeurd, zie paragraaf ‘Hacken door de politie’), lijkt het soms wel alsof we weinig hebben geleerd van de grootste onthullingen ooit. Maar dat is niet helemaal waar. Uit de CIA-lekken blijkt weliswaar dat de inlichtingendiensten veel mogelijkheden tot afluisteren hebben, maar ook dat encryptie werkt. Bovendien groeit het bewustzijn over veiligheid en privacy onder gebruikers. Steeds meer Nederlanders zijn zich bewust van waar ze kunnen worden afgeluisterd, maar ook van wat ze delen op diensten als Facebook en Google. En uiteindelijk is dat wat privacy is: kunnen kiezen wat je deelt en met wie je dat doet.

Media has no description

© PXimport

Honderden databases

Encryptie

Een van de belangrijkste tools om zelf te bepalen met wie je jouw data deelt, is encryptie. Hiermee houd je berichten geheim voor iedereen behalve de ontvanger en jijzelf. Encryptie is de laatste jaren steeds meer gemeengoed geworden. Een paar jaar geleden was het nog bijzonder als een chat-app zich specifiek richtte op privacy en veiligheid. Dat is ook waarom Telegram begin 2014 zoveel aandacht kreeg: het was één van de weinige apps die encryptie en veiligheid van gebruikers zo serieus leek te nemen. Al bleek later dat het zelfontworpen encryptieprotocol zo lek als een mandje was.

Geen luxe, maar een vereiste

Anno 2017 is goede versleuteling geen luxe meer, maar bijna een vereiste voor nieuwe apps. Zeker op smartphones is goed te zien dat het belang van encryptie wordt ingezien. Apple voegde al in 2010 versleuteling toe aan iOS 4, maar het werd pas standaard in iOS 8. In navolging daarvan is ook de opslag van Android-toestellen vanaf versie 6.0 standaard versleuteld, zodat je er alleen in kunt komen met een pincode of swipe-beweging. Ook binnen apps wordt encryptie steeds meer de standaard, een norm die door het veelgebruikte WhatsApp werd gezet. De chat-app kondigde in 2015 aan standaard end-to-end-versleuteling in te schakelen voor alle gesprekken. De uitrol ging langzaam, en gold eerst alleen voor Android- of juist iOS-gebruikers onderling en werd pas veel later voor groepsgesprekken uitgerold. Inmiddels is iedere versie van WhatsApp voorzien van aes256-encryptie, dezelfde standaard die ook wordt gebruikt bij opensource-alternatief Signal. Ook bedrijven waarvoor het bestuderen van je gesprekken een verdienmodel is, zoals Facebook en Google, moesten met respectievelijk Messenger en Allo toegeven dat gebruikers behoefte hadden aan versleuteling.

De in maart dit jaar uitgelekte CIA-documenten bevestigen dat encryptie werkt. Opsporingsdiensten worstelen er namelijk mee. Ondanks de duizenden zero-days die het agentschap tot haar beschikking had, was het ¬– als één van de machtigste instellingen ter wereld – toch niet opgewassen tegen de versleuteling die het gratis WhatsApp en Signal aanbieden. Als de CIA of NSA een bericht van WhatsApp of Signal wil onderscheppen, moet het gebruikmaken van een lek in het onderliggende besturingssysteem.

Media has no description

© PXimport

(On)veilig Telegram

De beste privacy met pgp

Encryptie is één van de belangrijkste onderdelen in de strijd voor privacy. Pgp (‘Pretty Good Privacy’) is een encryptiestandaard die zelden in opspraak komt. Het protocol wordt gebruikt om veilige e-mails te versturen en bestaat al sinds 1991. Waar de versleuteling van WhatsApp in 2014 voor veel discussie onder veiligheidsspecialisten zorgde, ligt pgp amper onder vuur. Het was de manier waarop Edward Snowden contact zocht met Guardian-journalist Glenn Greenwald... en als het voor zo’n zaak wordt gebruikt, weet je dat het met de beveiliging wel snor zit.

Dat pgp nooit zo’n probleem is geweest voor de opsporingsdiensten, heeft mogelijk te maken met het gebruiksgemak – of liever het gebrek daaraan. Wie een mail wil versturen via pgp moet daarvoor gebruikmaken van een privésleutel én een openbare sleutel. Dat is meer dan alleen een wachtwoord: iemands openbare sleutel is vaak een flinke lap tekst dat in de vorm van een asc-bestand moet worden gedownload en daarna nog in een emailcliënt moet worden geïmporteerd. Mailen met pgp lukt bovendien ook niet vanuit ieder mailprogramma, je hebt er meestal add-ons of andere extra software voor nodig. Toch zou het goed zijn als iedereen pgp zou gebruiken. Privacy begint bij jezelf. In dit artikel leggen we uit hoe je e-mail versleutelt met pgp.

Media has no description

© PXimport

De strijd om de iPhone

Hacken door de politie

Ondanks alle veranderingen en de bekendheid die er door NSA- en CIA-lekken zijn gekomen, lijken we in Nederland niet veel te hebben geleerd van hoe zinloos grootschalig aftappen is. Bij verschillende terroristische aanslagen kwam bijvoorbeeld opnieuw naar voren dat de daders al in beeld waren bij de politie, en dat het grootschalig aftappen van meer berichten de aanslag nooit had voorkomen. Er zijn twee belangrijke wetten in Nederland grotendeels doorgevoerd die zowel de politie als de opsporingsdiensten veel bevoegdheden geven. Namelijk de Wet op Inlichtingen- en Veiligheidsdiensten en de Wet Computercriminaliteit III. Eerst meer over de laatste. In november 2016 stemde de Tweede Kamer in met de Wet Computercriminaliteit III, een opvolger van een oudere wet met dezelfde naam. De Wet Computercriminaliteit III moet moderner worden en meer op de toekomst zijn gericht, want op het moment dat de oude wet in het leven werd geroepen, had nog niet iedereen een smartphone bij zich en ging vrijwel alle internetcommunicatie nog over de kabel.

De wet is controversieel. Er staat een aantal zaken in het voorstel waar je flinke vraagtekens bij kunt zetten. De wet wordt ook wel de terughackwet genoemd, naar één van de opvallendste onderdelen: de politie mag met de nieuwe bevoegdheden op de computers van verdachten inbreken om daar bewijs te verzamelen of bijvoorbeeld keyloggers te plaatsen. Dat vinden veel critici al te ver gaan, maar de manier waarop de politie dat straks kan doen, is misschien wel het grootste probleem van de wet. Opsporingsdiensten mogen namelijk zogeheten zero-days gebruiken om terug te hacken: gaten in software die nog niet bekend zijn bij een fabrikant.

Het gebruik van zero-days door overheidsinstellingen is controversieel, want als de politie weet van een gat in bijvoorbeeld Windows dat Microsoft zelf nog niet heeft ontdekt, betekent het dat iedereen zo’n gat kan misbruiken. Waarom zouden bijvoorbeeld de Russen niet van datzelfde gat weten? Daar komt nog bij dat dit ervoor gaat zorgen dat zero-day-lekken nog meer geld waard worden. Behalve aan criminelen kun je, als je zo’n lek ontdekt, hem ook aan de overheid verkopen. Dit gaat ervoor zorgen dat onze software en hardware langer onveilig blijft dan nodig.

Media has no description

© PXimport

Decryptiebevel

Het is niet alleen de politie die steeds meer bevoegdheden krijgt. Ook de Nederlandse veiligheidsdiensten hebben onder de Wet op Inlichtingen- en Veiligheidsdiensten (de ‘WIV’, ook wel de sleepnetwet genoemd) meer mogelijkheden gekregen. Namelijk de mogelijkheid om in bulk informatie af te tappen van mobiele telefoons in een bepaald gebied. Die ‘sleepnetmethode’ werd ook genoemd in de documenten van Edward Snowden, en – erger nog – in de afgelopen jaren is keer op keer duidelijk geworden dat zulke sleepnetten helemaal niet werken om bijvoorbeeld terrorisme tegen te gaan. Daarvoor is gerichte onderschepping van data veel nuttiger.

Privacy Shield

In de strijd om privacy gaat het niet alleen om privégegevens die we zelf opslaan, maar ook om dingen die we delen op sociale media. De grote hoeveelheid informatie die we al dan niet vrijwillig aan ‘gratis’ diensten zoals Facebook en Google geven, wordt ergens opgeslagen. De vraag waar dat gebeurt is een punt van debat. Facebook is opgericht in Amerika, en hoewel het merendeel van de servers in dat land staat, heeft het bedrijf ook hoofdkantoren in Ierland en andere Europese landen. Het feit dat ieder land ter wereld eigen wetten en regels heeft voor de bescherming van persoonsgegevens, maakt het adequaat beheren van de gegevens van 1,8 miljard gebruikers van Facebook een lastig probleem. Welke regels zijn waarop van toepassing? En hoelang?

Veilige haven

Om dat te regelen hadden Europese landen tot oktober 2015 een overeenkomst met de Verenigde Staten genaamd ‘Safe Harbor’, wat een ‘veilige haven’ moest garanderen voor persoonsgegevens van Europese gebruikers. Door Safe Harbor waren de Europese privacyregels van toepassing op de gegevens van Europese burgers die in Amerika waren opgeslagen. In theorie was Safe Harbor een goed akkoord, maar in de praktijk bleken er toch een hoop haken en ogen aan te zitten. Ook dat kwam naar voren uit de gelekte documenten van Edward Snowden. Die toonden namelijk aan dat de Amerikaanse inlichtingendiensten de Europese gegevens op grote schaal aftapten, en dat dat niet rechtmatig was.

Safe Harbor werd tweeënhalf jaar geleden dan ook ongeldig verklaard door het Europees Hof. Het verdrag moest van tafel, maar dat zorgde voor problemen, omdat er dan helemaal geen goede manier was om gebruikersgegevens uit te wisselen tussen de landen. Het gevolg was een nieuw verdrag, genaamd ‘Privacy Shield’. Ook daar is veel kritiek op. Zo moet het nieuwe akkoord gebruikers wederom beschermen tegen ‘massasurveillance’, maar wordt er nergens in het verdrag gespecificeerd wat daar precies onder verstaan wordt.

Media has no description

© PXimport

Privacyvoorvechter

Hoop

Ligt onze privacy echt zo onder vuur? En is die nog wel te redden? Wie het nieuws leest krijgt al snel het idee dat de overheid en commerciële bedrijven er alleen maar op uit te zijn om ons af te luisteren, om onze data te verzamelen. En ook dat die data bij die overheden en bedrijven helemaal niet per se veilig zijn. Toch zijn er ook positieve trends gaande. Door de Snowden-lekken zijn gebruikers veel beter op de hoogte van hoe hun privacy wordt ingeperkt. En dat betekent dat ze bewuster maatregelen kunnen nemen. Bedrijven zijn steeds meer bezig met het beschermen van gebruikersgegevens en het gebruik van beveiligingsapps en speciale privacy-vriendelijke diensten groeit hard. Google mag dan wel veel van ons weten, maar het bedrijf werkt er wel hard aan om die gegevens goed te beschermen tegen inbrekers of overheidsdiensten. Zo wordt het voor gebruikers een bewuste keuze om iets te delen en krijgen ze meer controle over de manier waarop dat gebeurt.

Privacy is een kwestie van kiezen met wie je welke gegevens wilt delen, of dat nou een overheid is, een bedrijf, of je vrienden. Het is verstandig om het heft zoveel mogelijk in eigen handen te nemen. Maak bijvoorbeeld geen gebruik van de cloud van Google of Evernote, maar bouw je eigen applicatie! Zet ook zoveel mogelijk encryptie aan, maak gebruik van veilige diensten, en bedenk vooral goed welke informatie je waar plaatst. Zo word je al snel weer de baas over je eigen gegevens!

Mijn privacy is van mij!

Deel dit artikel
Voeg toe aan favorieten