Waar ter wereld zijn mijn gegevens en hoe veilig zijn ze?
Toen Max Schrems, een Oostenrijkse privacyactivist, zijn persoonsgegevens wilde zien die Facebook op zijn servers had opgeslagen, kreeg hij een cd-rom toegestuurd met een document van 1 222 pagina’s.
Dat bestand, dat zich bijna een kwart mijl zou uitstrekken als het werd afgedrukt en end-to-end werd gelegd, bood een glimp van Facebook’s honger naar de privégegevens van zijn 1,65 miljard gebruikers.
De informatie omvatte telefoonnummers en e-mailadressen van de heer Schrems ‘vrienden en familie; een geschiedenis van alle apparaten die hij gebruikte om in te loggen op de dienst; alle evenementen waarvoor hij was uitgenodigd; iedereen die hij had “bevriend” (en vervolgens ontvriend); en een archief van zijn privé-berichten.
Het bevatte zelfs transcripties van berichten die hij had verwijderd.
Maar de heer Schrems, die zegt dat hij Facebook slechts af en toe gebruikte gedurende een periode van drie jaar, gelooft dat een aanzienlijk deel van de informatie voor hem werd achtergehouden.
Hij ontving gegevensrecords voor ongeveer 50 categorieën, maar gelooft dat het er meer dan 100 zijn, vertelt hij de BBC.
“Ze hielden mijn gezichtsherkenningsgegevens achter, wat een technologie is die mij via mijn foto’s kan identificeren. Ze geven ook geen tracking-informatie vrij, de nog griezeliger dingen die ze doen – dingen als of je een webpagina over een sportauto hebt gelezen en hoe lang je die hebt gelezen.”
Facebook kan zelfs het internetgebruik van niet-leden volgen door middel van cookies die op hun machines worden geplaatst, zoals een recente gerechtelijke uitspraak in België heeft bevestigd.
De ervaring van de heer Schrems illustreert levendig de uitdagingen waarmee we worden geconfronteerd in een digitaal tijdperk vol messaging-apps, sociale netwerken, zoekmachines op maat, e-mailclients en bankapps, die allemaal persoonlijke gegevens over ons verzamelen en deze opslaan, ergens, in de cloud.
Maar waar zijn al deze gegevens precies, hoe worden ze gebruikt, en hoe veilig zijn ze?
De Grote Vier
Meer dan de helft van de wereldwijd verhuurbare cloud-opslag wordt gecontroleerd door vier grote bedrijven. Amazon is veruit de grootste, met ongeveer een derde van het marktaandeel en meer dan 35 datacenters over de hele wereld.
De volgende drie grootste aanbieders zijn Microsoft, IBM en Google, en elk van hen hanteert een vergelijkbaar wereldwijd patroon van server farms.
Verschillende van deze grote publieke cloudproviders dupliceren gewoonlijk gebruikersgegevens over hun netwerken. Dit betekent dat informatie die in bijvoorbeeld het VK of de VS naar de cloud wordt geüpload, op een gegeven moment waarschijnlijk wordt doorgestuurd naar servers in grote steden over de hele wereld, van Sydney tot Shanghai.
Het probleem hiermee, zegt professor Dan Svantesson, een specialist op het gebied van internetrecht aan de Bond University in Australië, is dat “er altijd een risico bestaat dat het land waar je gegevens naartoe gaan niet hetzelfde niveau van bescherming heeft.
“Als je gegevens in een ander land terechtkomen, kan het onduidelijk zijn wie er toegang toe heeft, of het nu gaat om netwerkproviders of wetshandhaving,” zegt hij.
Benjamin Caudill, een cyberbeveiligingsconsultant bij Rhino Security Labs in Seattle, maakt zich ook zorgen over de manier waarop deze gegevens worden gedistribueerd.
“Niemand weet echt precies hoe de worst wordt gemaakt”, zegt de heer Caudill, die zich onder meer bezighoudt met het testen van de defensie van bedrijven door middel van “ethische hacking”.
“Het is heel moeilijk te begrijpen waar je gegevens zijn opgeslagen. Vaak weten de bedrijven zelf niet waar alle gegevens zich bevinden.”
Hij zegt dat een klant van hem, die gebruikmaakte van Microsofts Azure cloudservice, het slachtoffer werd van een hack – alle gegevens en back-ups werden gewist.
Maar na enig speurwerk bleek dat een deel van de verloren gegevens elders op Azure’s servers was opgeslagen. Hoewel dat een opluchting was voor de klant van de heer Caudill, gaf de schijnbaar willekeurige aard van de plaatsing van gegevens op Microsofts servers hem geen vertrouwen.
“Niemand weet echt hoe veilig de clouddiensten van de grote providers zijn,” zegt de heer Caudill, die vermoedt dat “zowel Amazon als Azure op een gegeven moment grote veiligheidscompromissen hebben gehad.”
Security breach?
Van hun kant zeggen alle grote publieke cloudproviders dat veiligheid een prioriteit is.
Bij Google’s serverfaciliteit in South Carolina, bijvoorbeeld, patrouilleren bewakers langs de deuren en gebruiken biometrische irisscanners bij de ingangen van het binnenste heiligdom. Laserstralen onder de vloer detecteren indringers.
Maar niemand zal beweren dat er nooit beveiligingsinbreuken zijn geweest.
Een woordvoerder van Microsoft vertelde de BBC: “Microsoft heeft een klantenverplichting om klantgegevens te helpen beschermen en hen in staat te stellen beslissingen over die gegevens te nemen. We raden klanten aan het Microsoft Trust Center te bezoeken om meer te weten te komen over hoe hun gegevens worden beheerd en veilig worden gehouden.”
Amazon benadrukt dat klanten “eigenaar blijven van en controle houden over hun inhoud. Ze kiezen zelf op welke locatie ze hun gegevens opslaan en deze worden niet verplaatst, tenzij de klant besluit om ze te verplaatsen.”
Dit vermogen om te kiezen in welke regio uw gegevens worden opgeslagen, blijkt steeds populairder bij bedrijven, met name in de Europese Unie, waar de nieuwe strenge Algemene Verordening Gegevensbescherming in 2018 van kracht moet worden.
Post op eigen risico
Maar wij consumenten hebben deze luxe vaak niet.
“De gegevens van uw Gmail-account staan absoluut op meer dan één server. Het is absoluut in meer dan één land,” zegt professor Svantesson.
Maar waarom zouden we ons zorgen maken?
Hoe meer van onze gegevens over de hele wereld verspreid zijn, hoe kwetsbaarder ze zijn voor hackers, aldus de heer Caudill – een veronderstelling die wordt gestaafd door het feit dat identiteitsfraude steeds vaker voorkomt.
Terwijl mensen hun digitale informatie online blijven uploaden, in een moeras van territoriale juridische complexiteiten en geheime nationale veiligheidsprotocollen, geeft professor Svantesson wat praktisch advies – dat veel mensen nog steeds niet opvolgen.
“Ik zou aanraden om nooit iets gevoeligs in de cloud te zetten, zoals creditcardgegevens, of persoonlijke foto’s waarvan je niet wilt dat anderen ze zien.
“Sommige dingen moet je gewoon aan jezelf overlaten,” adviseert hij.
Volg Technology of Business-redacteur @matthew_wall op Twitter
Klik hier voor meer Technology of Business-functies