Privacy vs. veiligheid: in het openbaar of privé – en wat kwam eerst?

Ik weet wat u denkt: “Daar gaan we weer. Weer een slecht geïnformeerde, eigenwijze blog over het onderwerp privacy versus veiligheid.” Wel ja, betrapt. Het verschil is dat ik hier geen formeel advies geef – alleen een aantal van de miljoenen feiten, facetten en meningen over een van de meest netelige onderwerpen van de afgelopen 50 tot 100 jaar (naast de “vraag over de kip of het ei”, die onlangs voor sommigen werd opgelost, terwijl anderen blijven twijfelen).

Comedian Ron White vertelt tijdens zijn stand-up-act een grappig en interessant verhaal dat hij op een avond in een bar zit met de bedoeling om dronken te worden. Hij volbrengt zijn missie en wordt behoorlijk dronken, in de privacy van de bar. De manager van de bar vindt dat het tijd is dat hij vertrekt en gooit hem eruit, waarna het veiligheidspersoneel van de bar hem een lesje wil leren. Voordat het gevecht begint, komt de politie ter plaatse en arresteert Mr. Ron “Tater Salad” White onmiddellijk voor openbare dronkenschap.

Mr. White verklaart aan de arresterende agent dat hij onschuldig is (of hij legt de schuld bij iemand anders?):

"Ik was niet dronken ’in het openbaar‘ tot ze mij eruit gooiden, dus arresteer hen maar!”

Wie houdt van enigszins gewaagde comedy kan de video op Google bekijken; het is de twee minuten van uw tijd waard.

Hoewel hij het waarschijnlijk niet zo bedoeld heeft, legt Mr. White de basis bloot van een debat dat aan verve en belang blijft winnen naarmate het digitale tijdperk zichzelf en ons blijft transformeren. Privacy vs. veiligheid ... of openbare veiligheid, zoals sommigen het noemen. Wat is het belangrijkst? Wat heeft waar invloed op? En wat kunnen wij, als landen, burgers/consumenten of bedrijven en industrieën, doen om onszelf te beschermen tegen de invasie?

Wat is privacy?

Een simpele vraag? Helemaal niet. Laten we eerst een aantal basisdefinities bekijken. Bij onze vrienden van Secureworks lezen we het volgende:

Privacy wordt vaak gedefinieerd als de mogelijkheid om gevoelige informatie over persoonlijk identificeerbare informatie te beschermen, terwijl bescherming eigenlijk een beveiligingscomponent is. Anderen definiëren het als het recht om met rust gelaten te worden.” 

Daarna bespreken ze de vijf concepten van privacy, toegespitst op de beveiligingsindustrie:

• Welke gegevens moeten worden verzameld?
• Wat zijn de toegelaten gebruiken?
• Met wie mogen deze worden gedeeld?
• Hoelang mogen de gegevens worden bewaard?
• Welk model voor granulaire toegangscontrole is geschikt?

Oké, dat is vrij duidelijk, tot je de analogie en definities uit een artikel van CSO-Online bekijkt:

Bekijk een raam in uw huis. Dit vervult verschillende functies. U kunt erdoor naar buiten kijken. Het laat het zonlicht in uw huis binnen. Een raam houdt het weer buiten. U kunt een raam openen om verse lucht binnen te laten. In geval van nood kunt u een raam gebruiken als uitgang.

Een raam is ook kwetsbaar. Net zoals u het kunt gebruiken als uitgang, kunnen anderen het gebruiken als ingang. Als bescherming tegen ongewenste bezoekers kunt u tralies of een rooster voor het raam zetten. Zo kunt u blijven genieten van alle gewenste functies die het raam biedt. Dit is veiligheid.

Net zoals u door het raam naar buiten kunt kijken, kunnen anderen naar binnen kijken. U kunt voorkomen dat mensen ongewenst naar binnen kijken door een gordijn of scherm aan de binnenzijde van het raam aan te brengen. Dit is privacy. Voorkomen dat mensen naar binnen kijken biedt ook een beetje veiligheid omdat indringers niet weten of u thuis bent en niet kunnen zien wat u bezit.”

De schrijver van dit opiniestuk in CSO-Online vat vervolgens samen dat privacy ervoor zorgt dat persoonlijke gegevens (en soms ook vertrouwelijke bedrijfsgegevens) op een rechtvaardige manier en volgens de wet worden verzameld, verwerkt (gebruikt), beschermd en vernietigd.

Hij wijst erop dat “net zoals de gordijnen voor een venster beschouwd kunnen worden als een veiligheidswaarborg die ook onze privacy beschermt, een programma voor gegevensbeveiliging de nodige middelen voorziet om persoonlijke informatie te beschermen. Beveiligingsmaatregelen beperken de toegang tot persoonlijke informatie en bieden bescherming tegen het ongeautoriseerde gebruik en de ongeautoriseerde verzameling van gegevens. Het is onmogelijk om een succesvol privacyprogramma te implementeren zonder de ondersteuning van een beveiligingsprogramma.”

Ook dat debat is nog steeds aan de gang!

Een huiveringwekkende observatie

Voormalig Amerikaans minister van het departement Binnenlandse Veiligheid, Michael Chertoff, was vorig jaar in het nieuws. Hij had het toen over cyberbeveiliging en zijn nieuwe boek 'Exploding Data'. Zijn mening is vrij angstaanjagend, want hij beweert dat de meeste van onze persoonlijke en bedrijfsgegevens al openbaar zijn en dat we geen idee hebben wie deze al heeft en wat ze ermee van plan zijn. Data is het “nieuwe domein van oorlogvoering” geworden, of toch minstens een deel van het gereedschap om oorlog te voeren.

Kan gegevens stelen of spioneren worden beschouwd als oorlogvoering? Chertoff zegt van niet, “maar als je er dingen mee vernietigt en er mensen mee doodt, is het wel oorlogvoering”.

Hij wijst verder op de fascinatie van mensen en bedrijven voor sociale media en hoe ze hierop vertrouwen als een duidelijk manier om gegevens prijs te geven. Chertoff waarschuwt voor het gebruik van mobiele telefoons als een onmiddellijk en direct doorgeefluik voor persoonlijke en privégegevens. “We geven onszelf bloot en geven vrijwillig onze gegevens weg, zelfs “locatiegegevens … onze digitale uitlaat”, zoals hij het noemt. Klantenkaarten in de supermarkt, creditcards, iWallets, vervoerdiensten zijn ook voorbeelden hiervan, en Chertoff legt uit dat we onze gegevens makkelijk weggeven in ruil voor gemak en consumentisme. Heeft hij gelijk? Ik ben alvast schuldig!

In het openbaar of privé

Waar stopt het, of stopt het eigenlijk wel? In zijn artikel in TechCrunch, “Personal privacy vs. public security: fight!” vraagt Jon Evens ons na te denken over … ”de constante vraag naar achterpoortjes "met een gouden sleutel" zodat overheden toegang krijgen tot versleutelde telefoons die “voor slechte doeleinden gebruikt worden”. De tegenstanders richten zich op het feit dat een dergelijk systeem onvermijdelijk kwetsbaar is voor mensen met slechte bedoelingen – hackers, stalkers, criminelen. Enkelen durven te beweren dat, zelfs als er een perfecte magische gouden sleutel zonder zwakke plekken bestond, een sleutel die alleen door overheidsfunctionarissen gebruikt zou kunnen worden binnen hun officiële opdracht, de vraag of deze geïmplementeerd zou mogen worden nog steeds moreel complex zou zijn."

Hij zegt: “Deze verzameling van gegevens is, in en op zichzelf, geen kwestie van ’persoonlijke privacy‘, maar een enorm probleem op het gebied van openbare veiligheid.” Drie problemen in feite en die kunnen we als volgt samenvatten:

1. Verlies aan “privéruimtes” remt groei, experimentatie, onderzoek en technologische/culturele vooruitgang:

Privéruimtes zijn de experimentele petrischalen voor samenlevingen. Als je weet dat al je bewegingen en al je communicatie gevolgd kunnen worden, zodat er eigenlijk geen privéruimtes meer zijn, zal je minder snel experimenteren met iets gedurfds of controversieels; en in dit tijdperk met overal camera's, gezichtsherkenning, herkenning van looppatronen, nummerplaatlezers, Stingrays enz. kunnen al je bewegingen gevolgd worden."

2. Verlies van openbare privacy en “de rijken” hiervan vrijstellen, helpt bij het bestendigen van status quo wetten/standaarden/instellingen en moedigt parasitisme, corruptie en vriendjeskapitalisme aan:

Kardinaal Richelieu zei de bekende woorden: “Als iemand me zes regels geschreven door de meest eerlijke man zou geven, zou ik er iets in vinden om hem te laten ophangen.” Stel u voor hoeveel makkelijker het wordt als de elite toegang krijgt tot alles wat een dissident ooit gezegd en gedaan heeft, met behoud van hun eigen privacy. Hoelang voordat de uitroeiing van privacy als anti-terreurmaatregel een ’selectieve toepassing van onrechtvaardige wetten‘ wordt, en vervolgens ’de facto ‘oppositieonderzoek’ wordt tegen iedereen die het status quo in vraag stelt?”

3. De vooruitgang van de technologie kan het publiek manipuleren op basis van hun privégegevens.

Vindt u dat reclame op dit moment slecht is? Wat als AI de advertenties begint te optimaliseren? Gedrag? Data feedback lus, het is mogelijk dat u de advertenties die u ziet leuk vindt, waarschijnlijk op een primair, limbisch niveau. Voorstanders stellen dat dit duidelijk beter is dan ze vervelend vinden. Maar de propaganda? Gedrag? Datalus verschilt niet van advertenties? Gedrag? Data en niet minder onderworpen aan ’optimalisering’.”

Evans moedigt ons verder aan om ook de blog 538.com te lezen, met als uitgangspunt: “u kunt niet voorkomen dat uw gegevens gedeeld worden, zelfs als u daarmee niet akkoord bent gegaan.”

Laten we teruggaan naar Mr. Ron White die dronken uit de bar wordt gegooid, in het “openbaar”. Ook al denkt u dat uw gegevens privé zijn en hebt u deze aan iemand/iets/een bedrijf gegeven in ruil voor iets anders, uw gegevens kunnen altijd nog uit de “privéruimte” gegooid en “openbaar” gemaakt worden. En ja, als uw persoonlijke of privégegevens nog niet gestolen zijn van degene aan wie u ze gaf, kunnen deze ook verkocht worden, en dat gebeurt ... vraag het maar aan uw vrienden van Facebook. Dit debat blijft, zoals gezegd, doorgaan.

Zoals eerder vermeld mag het belang van veiligheid als de ultieme eerste stap in de bescherming van privacy echter niet worden onderschat. Zoals in het eerder besproken artikel van CSO duidelijk wordt aangegeven, moeten consumenten een actieve rol spelen in hun privacy door de privacyverklaringen te lezen voordat ze hun persoonlijke gegevens prijsgeven, en de nodige proactieve beveiligingsmaatregelen nemen als bescherming tegen virussen, malware en phishingpogingen. Ook bedrijven kunnen best eerst een sterke veiligheidsbeoordeling vastleggen en vervolgens een plan opstellen als aanvulling op hun privacyplan.

Zoals de auteur adviseert,

Het is niet aan een privacyprogramma om de technologie of processen te bepalen voor de bescherming van persoonlijk informatie (hoewel het privacyteam waardevolle meningen kan hebben); het is aan de beveiligingsspecialisten om dit te bepalen.”

En dan is er nog het argument dat privacy en veiligheid niet zo erg van elkaar verschillen. Daniel Miessler bekijkt die kant van het debat in zijn artikel waarin hij het volgende beweert:

Het Engelse woord voor veiligheid, security, bestaat uit “se” en “cura”, Latijn voor “zonder zorgen”.

Zonder zorgen is de meest beknopte beschrijving van de doelstelling van veiligheid die ik ooit heb gehoord, en dat geldt zowel voor privacy als voor informatiebeveiliging. Hiermee kunnen we de discussie beperken tot de eerste principes.”"

Heb ik mijn eigen suggesties en meningen over privacy en veiligheid? Natuurlijk, maar die houd ik voorlopig voor mezelf.