Europa en Verenigde Staten lijnrecht tegenover elkaar in bescherming persoonsgegevens

  1. 29 apr 2016
  2. 0 reacties

kevin-bocek-venafi

Europa heeft na jarenlang onderhandelen nieuwe regelgeving goedgekeurd om  persoonsgegevens beter te beschermen. Aan de andere kant van de Atlantische oceaan stellen senatoren tegelijkertijd een wet voor om bedrijven gedwongen mee te laten werken aan inbraken op versleutelde apparatuur en communicatie. Kevin Bocek, Vice President Security Strategy & Threat Intelligence bij Venafi, wijst op het risico dat als overheden via een achterdeur kunnen binnenkomen, cybercriminelen daar vroeg of laat ook misbruik van gaan maken.

Uniforme databescherming voor EU-burgers

Onlangs heeft het Europese Parlement de General Data Protection Regulation (GDPR) goedgekeurd. Daarmee wordt databescherming voor alle EU-burgers uniform geregeld en kan iedereen voortaan zelf beslissen welke persoonlijke informatie ze met welke organisaties willen delen. Nederland loopt met de daarop gebaseerde lokale regelgeving en meldplicht datalekken voorop in Europa. De nieuwe Europese databeschermingswet regelt voor burgers onder andere: het recht om vergeten te worden, het recht om gegevens naar een andere dienstverlener over te zetten en het recht om te weten of de eigen gegevens zijn gehackt. Voor organisaties beschrijft het de plicht om toestemming te vragen van betrokkenen voor het verwerken van persoonsgegevens, de plicht om privacybeleid begrijpelijk uit te leggen en strenge handhaving en boetes tot 4% van de internationale jaaromzet bij overtreding.

Encryptiesleutels en certificaten zijn gevaarlijke wapens

Terwijl Europa de bescherming van persoonlijke informatie aanscherpt, pleiten twee senatoren in de Verenigde Staten voor meer macht om bedrijven te kunnen dwingen inzage te geven in de informatie en communicatie van burgers. Met een concept wetvoorstel proberen ze het debat over en de rol van encryptie in de wetgeving te beïnvloeden. Daarin staat dat organisaties op basis van een gerechtelijk bevel inzage moeten geven in de informatie van hun klanten, ook als die versleuteld wordt gebruikt. Zoals onlangs speelde tussen Apple en de FBI. De meeste technologiebedrijven zijn hier fel op tegen, omdat het een gevaarlijke ontwikkeling is. “Via de voorgestelde wet probeert de Amerikaanse overheid grip te krijgen op de gevaarlijkste en krachtigste massawapens van deze tijd”, stelt Bocek. “Encryptiesleutels en digitale certificaten vormen namelijk de fundering van alle gebruikte securityoplossingen en ieders online vertrouwen”.

Kopie van masterkeys

Encryptiesleutels en certificaten worden sinds het ontstaan van Internet blindelings vertrouwd door webservers en securityapplicaties, voor de privacy en authenticatie van elk IP-gebaseerd apparaat. Waaronder dus alle cloudservices, mobiele apparatuur, apps en Internet of Things apparaten. Dat blinde vertrouwen wordt echter ook steeds vaker misbruikt door cybercriminelen. “De Amerikaanse overheid wil graag een kopie van ‘masterkeys’ om indien nodig alle informatie te kunnen analyseren”, vult Bocek aan. “Maar kunnen we overheden wel vertrouwen, gezien eerdere afluisterprogramma’s en hacks? Als het wetsvoorstel wordt aangenomen krijgt de U.S.-overheid toegang tot ieders informatie, via een achterdeur of sleutel, wat zowel onze privacy als security schendt. Vroeg of laat ontdekken cybercriminelen die toegangsmogelijkheden ook, met alle mogelijke gevolgen van dien. Informatie is macht, macht kan tot corruptie leiden en absolute macht leidt gegarandeerd tot corruptie!”.