- Door
- Jeroen Mulder
- geplaatst op
- 25 april 2016 08:00 uur
Privacy blijft een gevoelig onderwerp in nieuwe technologie en veel overheden worstelen met het vraagstuk. Het gevecht tussen Apple en de FBI is daarvoor exemplarisch. Apple bleef weigeren om mee te werken aan het unlocken van een iPhone die door een van de San Bernardino-schutters was gebruikt. Uiteindelijk wilde de FBI dat Apple de software van de iPhone zou aanpassen, zodat het mogelijk werd om met een onbeperkt aantal pogingen te proberen om de telefoon te openen met een pincode.
Overheden gaan steeds verder om grip te krijgen op data. In Engeland is nu een rel ontstaan omdat de regering daar een nieuwe wet dreigt aan te nemen. Die wet – in de volksmond de ‘Snooper’s Charter genoemd – verplicht technologiepartijen om nieuwe services en producten eerst te laten beoordelen door de overheid, voordat deze worden gelanceerd. Doel: van tevoren vaststellen of een overheidsinstantie in die nieuwe services en producten nog steeds bij data kan. Anders gezegd: overheidsinstanties moeten te allen tijde bij de niet-versleutelde data kunnen. Als een product dit verhindert, dan kan de Britse overheid afdwingen dat er een achterdeur wordt aangebracht in dat product.
De bepaling wordt ondergebracht onder de nieuwe Code of Practice for Privacy die de Britten nog dit jaar willen effectueren als wet. De kritiek is niet van de lucht. Vanuit de VN is de stormvlag al gehesen omdat de wet een schending is van grondrechten. Maar natuurlijk komen grote technologiepartijen ook in het verweer. Immers, de wet geldt voor alle techpartijen, ook cloud serviceproviders. Elke cloudprovider of partijen die via de cloud diensten aanbieden, vallen straks onder de nieuwe wet. Een open brief werd al ondertekend door meer dan honderd bedrijven, waaronder Google, Facebook, Microsoft, Apple en Twitter. Cloud serviceproviders worden bovendien verplicht om onversleutelde data twaalf maanden te bewaren. De voorspelling is dat als de regering de wet aanneemt, veel van deze partijen hun activiteiten in Engeland zullen staken.
Het zijn ontwikkelingen die grote impact kunnen hebben op beleid in andere Europese landen. Maar het zijn ook ontwikkelingen die impact kunnen hebben op de strategische keuzes die grote cloudpartijen zullen maken omtrent hun activiteiten in Europa. Ver van ons bed? Absoluut niet. Lees deze tekst op de website van Nederland ICT, de branchevereniging van Nederlandse IT-bedrijven.
“Nederland ICT is van mening dat de Autoriteit Persoonsgegevens ook een actieve rol moet spelen bij de (technologische) ontwikkeling van nieuwe producten waardoor privacy nadrukkelijk in de ontwerpfase van de ICT-toepassing wordt opgenomen. Nu is het nog zo dat de Autoriteit Persoonsgegevens alleen achteraf (wanneer de toepassingen geïmplementeerd zijn) uitspraak doet over het wel of niet voldoen aan de privacyrichtlijnen. Er gaat echter tijd en (overheids)geld verloren wanneer een systeem een fase terug moet in de ontwikkeling, omdat het achteraf gezien niet aan de privacyregels blijkt te voldoen. Wanneer de Autoriteit Persoonsgegevens in een eerder stadium zou meedenken met initiatiefnemers en leveranciers van nieuwe ICT-toepassingen, zou er veel meer kunnen worden bereikt.”
Toegegeven, dit is niet hetzelfde als de Britse wet. Die wet gaat een flink stuk verder. Toch pleit ook Nederland ICT samen met de Autoriteit Persoonsgegevens er wel voor om al tijdens ontwikkeling van nieuwe toepassingen te toetsen of de privacy gewaarborgd is. Het betekent dus dat je derde partijen laat meekijken in de ontwikkelkeuken. De hamvraag is dan natuurlijk: waar stopt die ‘actieve rol’? Bij het afdwingen van decryptiemaatregelen? De Nederlandse regering bepaalde in januari al dat het niet zal meewerken aan het afdwingen van ‘encryptie backdoors’. Die boodschap werd destijds breed uitgemeten in de Britse pers.