Column over Privacy op CIO.nl

http://cio.nl/cloud/89724-mijn-identiteit-mag-je-hebben

Het zijn verwarrende tijden. En op 6 oktober werd dat er niet beter op.

Op die dag stond er een artikel in het Algemeen Dagblad met als titel: Inbrekers Mijden Wijken Met WhatsApp-Alarm. Simpel concept. Buurtbewoners vormen een WhatsAppGroep en waarschuwen elkaar bij verdacht gedrag. De gemeente coördineert alles en het resultaat mag er zijn: tot 50% minder inbraken. De reden is waarschijnlijk dat inbrekers vaak in dezelfde buurt wonen. De Nationale Politie is enthousiast en moedigt het gebruik aan.
Nu hoor ik u denken: WhatsApp, is dat niet die applicatie die het niet zo nauw neemt met de privacyregels? Ja, toch? Die applicatie die god-mag-weten-wat doet met je gegevens? Die je adresboek leegzuigt? Die een ellenlange onbegrijpelijke gebruikersovereenkomst presenteert waar je wanhopig maar ja tegen zegt? Dat is hem toch? En die applicatie adviseert de politie om te voorkomen dat er ingebroken wordt. Je TV is veilig, alleen je identiteit wordt gestolen. Zoiets.

Zoals gezegd, het zijn verwarrende tijden. En het wordt er niet beter op.

Immers zes oktober was ook de dag dat het Europese Hof van Justitie een streep zette door het Safe Harbor Verdrag. Onder dit verdrag konden internetbedrijven toestemming krijgen Europese persoonsgegevens op te slaan op Amerikaanse servers, maar nu we weten dat de NSA en de Amerikaanse overheid gezellig meelezen, mag het (misschien) wel niet meer. Vreemd genoeg blijven andere contracten, zoals EU-model-contracten voorlopig wel geldig. Alsof spionnen zich daar iets van aantrekken.

Dus, stel, je hebt een mooie HR – applicatie in de cloud. In Amerika. Perfecte oplossing. Op alle devices, altijd beschikbaar, perfect voor je proces, wordt constant doorontwikkeld en je bespaart er honderdduizenden euro’s mee. Euro’s die je vervolgens weer in je bedrijf kunt investeren.

Je vindt het belangrijk dat de gegevens van je personeel veilig zijn, dus je hebt maatregelen getroffen. De applicatie, de servers, de datacenters, ze voldoen allemaal aan de hoogste standaarden. Gecertificeerd. Je hebt goede contractafspraken gemaakt. Je blijft eigenaar van de data. De data mag nooit voor iets anders gebruikt worden. Je kunt altijd zien wat er opgeslagen is. Er is een right-to-audit. Een right-to-forget, een exit-strategie en ga zo maar door. Helemaal geregeld.

En zo belangrijk zijn de gegevens in die HR-applicatie ook weer niet. Geen Intellectual Property. Geen ziekteverzuim. Naam-adres-woonplaats, salaris, datum in dienst en declaraties. De meeste medewerkers posten veel meer informatie over zichzelf op Facebook, Twitter, LinkedIn of WhatsApp.

Je hebt het dus voor elkaar. Tot 6 oktober.

Toen stelde de rechter vast, wat iedereen dankzij Edward Snowden al wist. Amerikaanse spionnen kijken mee. En nu is het afwachten op het standpunt van de nationale toezichthouders maar het zou zo kunnen zijn dat onze overheid besluit dat je geen persoonsgegevens meer in Amerika mag opslaan. En dat is dan inderdaad dezelfde overheid die aanraadt om je huis te beschermen via een WhatsAppGroep.

Verwarrend, vindt u niet?

Ik adviseer onze overheid om consequent te zijn. Maak een keuze. Of je niet druk maken om spionnen. Of applicaties als WhatsApp verbieden. U denkt misschien, maar mensen kiezen toch zelf voor WhatsApp? Onzine, natuurlijk. Ik ken scholen die alle communicatie doen via WhatsApp. Dat noemen ze modern.

Zonder WhatsApp geen vrienden, geen verjaardagsfeestjes, geen idee wanneer de voetbalwedstrijden van je zoon starten, en steeds vaker, dus niet eens een opleiding!

WhatsApp is al lang geen vrije keuze meer. De overheid moet ingrijpen! Net als bij meeroken!

Of… de overheid geeft bedrijven de mogelijkheid tot een Opt In. Dat betekent niet dat ze onzorgvuldig met data om mogen gaan. Uiteraard moeten bedrijven hun persoonsgegevens veilig opslaan, zoals in het voorbeeld van de HR-applicatie, maar ze mogen wel accepteren dat de NSA weet wie wanneer een treinreis heeft gedeclareerd. Een Opt-in voor bedrijven. En medewerkers die bezwaar maken hebben alle recht, maar alleen als ze eerst van WhatsApp, Facebook, Twitter en LinkedIn af zijn.

Want wat is anders het alternatief? Een veel duurdere, verouderde HR-applicatie? Maar wel Europees? Ik mag toch hopen dat we de privacywetgeving niet misbruiken voor een soort van marktprotectionisme! Of dat Amerikaanse bedrijven data op Europese servers zetten? Yeah right. Alsof de NSA dan niet meekijkt. Alsof Britten en Duitsers niet meelezen.

Of toch maar gewoon de applicatie zelf blijven beheren op je eigen servers? In ons geval heet die beheerder Frank. Goede vent, maar Frank krijgen we natuurlijk niet gecertificeerd. Er is bijvoorbeeld geen functiescheiding tussen Ontwikkel, Test en Acceptatie en Productie. Er is namelijk maar één Frank. En die is toegewijd, dus die neemt zijn laptop met gegevens wel eens mee naar huis. En dat is ook verre van veilig.

Gelukkig woont Frank wel in een buurt met een WhatsApp-alarm.

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s