In een recent big data rapport van de WRR genaamd ‘Exploring the boundaries of big data’ wordt, in het onderdeel over encryptie, drie privacy benaderingen onderscheiden: geheimhouding en privacy, controle en privacy en praktische privacy (transparantie en feedback). Gezien de actuele onderwerpen van de afgelopen tijd behandel ik in dit blog geheimhouding en privacy in het kader van privacy by design.

Voor oudere generaties gaat privacy vooral over geheimhouding. Denk maar aan de begindagen van het internet toen er grote argwaan heerste om maar het kleinste beetje te delen in deze ‘vreemde virtuele wereld’. Encryptie zou hier kunnen zorgen voor geheimhouding. Tegenwoordig worden echter door talloze mensen persoonlijke berichten gedeeld op (deels) openbare platformen en chatprogramma’s, van foto’s van nieuwe huissleutels tot berichten met (gevoelige) zakelijke informatie. Het gaat dus niet meer om de vraag of er gedeeld wordt, maar om de vragen wanneer, met wie en welke persoonlijke informatie gedeeld gaat worden.

De afgelopen jaren is dus een verschuiving te zien van geheimhouding naar controle. Als organisaties dit voor ons doen, zoals bijvoorbeeld zonder toestemming onze medische gegevens verstrekken aan andere partijen, verliezen wij controle. Het gaat de huidige (en komende) generaties dan ook met name om dat er voldoende controle is over privacy. Kunnen we zelf bepalen wanneer en met wie we persoonlijke informatie delen? Zijn er passende privacy instellingen aanwezig? Wat zijn de default instellingen bij het aanmelden voor een dienst?

Deze en andere vragen komen steeds meer op de voorgrond als invulling van wat men onder privacy verstaat. Het is aan de ontwerpers van een systeem of dienst om ervoor te zorgen dat privacy goed wordt gewaarborgd (zie bijvoorbeeld ons Privacy by Design Framework).

Het andere belangrijke punt is dat encryptie niet alle beveiligingsproblemen oplost. Door de focus te veel te leggen op encryptie kunnen andere onderdelen van het IT-landschap te weinig aandacht krijgen. Dat is ongeveer hetzelfde als het beschermen van een gebouw door een grote kuil te graven in de hoop dat inbrekers erin vallen, terwijl vergeten wordt een hek om het gebouw te plaatsen. Voor hackers is het vaak niet eens nodig elke mogelijke sleutel te proberen om de encryptie te kraken. Als er fouten zitten in bijvoorbeeld het ontwerp of de implementatie kunnen hackers dit evengoed exploiteren. Daarnaast is het altijd mogelijk dat de gebruiker een fout maakt waarmee beveiligingsmaatregelen kunnen worden omzeild, zoals het doorgeven van een wachtwoord aan een hacker die zich zogenaamd voordoet als supportmedewerker. Deze vorm van social-engineering levert vaak meer op dan maandenlang crypto-analyse werk te verrichten om de encryptie te breken.

Alles bij de bron; DutchIT