Camera's gericht op twee personen.

Privacy, bestaat dat nog?

De laatste tijd is er steeds meer aandacht voor privacy op internet, met name door de vele datalekken die maar blijven optreden. In dit artikel nemen we je mee in de mogelijkheden en onmogelijkheden om nog een beetje privacy over te houden op internet en daarbuiten.

Gegevensbescherming onder druk

We delen veel informatie over onszelf op internet, niet alleen op social media maar ook bij webwinkels of officiële instanties. Vaak is het zelfs verplicht om bepaalde informatie te delen, omdat anders een dienst niet geleverd kan worden. Denk aan naam, adres, woonplaats bij het bestellen van zaken bij een webwinkel of telefoongegevens bij chat apps. Maar we delen ook veel informatie via social media, waar we zijn of zijn geweest, foto’s met herkenbare personen, wat onze genderidentiteit is en veel meer. En ook de overheid heeft vaak gegevens nodig om hun werk te doen. Vergeet trouwens ook de wat minder zichtbare informatie die iedereen al snel achterlaat, bijvoorbeeld dns requests waar iemands surfgedrag uit is af te leiden.

Zakelijk doen we het al niet veel beter, niet alleen delen medewerkers (vaak onbedoeld) zakelijke informatie op internet, maar ook de eigen website en het eigen social media account laten vaak informatie zien die misbruikt zou kunnen worden. Zie ook het artikel over CEO fraude van enige tijd geleden.

Op een gegeven moment zwerven er dus veel gegevens over ons rond op heel veel systemen. Een goudmijn voor mensen of groepen met minder frisse bedoelingen. Helemaal als er gegevens uit diverse bronnen gecombineerd kunnen worden. En de kans daarop is aanwezig, gezien de hoeveelheid datalekken die in de media komen.

En de AVG dan?

Volgens de AVG en Europees de GDPR moeten alle partijen die gegevens verwerken van personen voldoen aan een hoop eisen, waaronder in elk geval het duidelijk maken welke gegevens waarom worden gebruikt. Dat gebeurt alleen lang niet altijd op een gebruikersvriendelijke manier en soms helemaal niet. En dan kun je wel klagen bij de Autoriteit Persoonsgegevens, maar die is structureel onderbemand en zal dus niet altijd kunnen helpen.

Maar de AVG beschermt dus geen bedrijven. Daar zijn we volledig op onszelf aangewezen!

Wat kun je zelf doen?

Wat je niet deelt gaat ook niet rondzwerven, het is een beetje een open deur maar wordt toch vaak vergeten. Ik deel persoonlijk alleen informatie met de gedachte dat in de toekomst wellicht iedereen die informatie kent, maar niet iedereen hanteert deze gedachte. Dit geldt ook voor bedrijven, houd dus in de gaten wat er gedeeld wordt. Of nog beter: classificeer bedrijfsdata, zodat al voor het delen bekend is of delen mag.

In het verlengde van de werkwijze hierboven: deel niet meer informatie dan strikt noodzakelijk is. Is voor een bestelling bij een webwinkel het delen van bijvoorbeeld je telefoonnummer of geboortedatum wel noodzakelijk? Vaak kan worden volstaan met naam en adres, plus een mailadres voor de benodigde updates over de bestelling. En een account aanmaken bij die webwinkel kan handig zijn, maar dan wordt er vaak nog wat extra informatie gevraagd. En moet je als bedrijf wel je KvK nummer aan een webwinkel verstrekken? Voegt dat iets toe of is er daardoor alleen maar meer kans op misbruik?

Let ook op waar en/of met wie je de gegevens deelt. Lees eens het privacy statement van een webwinkel en als ze daarin melden dat ze jouw gegevens delen met derden zou je kunnen overwegen het product te bestellen bij een webwinkel die dat niet doet. En houd er rekening mee dat al je gegevens die je op social media deelt uiteindelijk door iedereen bekeken kunnen worden. En denk als bedrijf hier ook over na, niet alleen over het gebruik van jouw gegevens maar ook welke gegevens je zelf vraagt van anderen.

Als laatste kun je proberen de gegevens die noodzakelijk zijn zoveel mogelijk af te schermen van de rest van de wereld. Gebruik geen standaard DNS, maar DNS-over-HTTP, zodat alleen de dns provider weet welke sites je bezoekt. En gebruik op openbare Wifi netwerken een VPN om het risico dat er meegekeken wordt te beperken. Gebruik als onderneming sowieso een veilige manier om met bedrijfsgegevens om te gaan, bijvoorbeeld een VPN, telewerkplek en/of encryptie.

Praktisch aan de slag

Hieronder manieren om direct bezig te gaan met het verbeteren van de online privacy:

  • Bepaal vooraf welke gegevens je prijs wil geven en welke zeker niet. Deze dataclassificatie is niet alleen nuttig voor bedrijven, maar ook voor personen. Bij bijvoorbeeld Facebook kun je aangeven welke accountgegevens voor wie zichtbaar zijn: voor iedereen, vrienden van vrienden, alleen directe vrienden of niemand. En vraag je voordat je gegevens deelt altijd af of het nuttig is. Want ook bewust gedeelde gegevens kunnen door een datalek op straat komen te liggen.
  • Check op https://haveibeenpwned.com/ of mailadressen in bekende datalekken voorkomen. Bedrijven kunnen ook zoeken op een volledig domein. Komt een mailadres voor, ga dan na waar dit adres gebruikt is en welke andere gegevens ook gelekt kunnen zijn. En wijzig dan in elk geval een eventueel aan dat mailadres gekoppeld wachtwoord.
  • Deel als bedrijf geen persoonlijke e-mail adressen als dat niet nodig is. Gebruik vooral algemene postbussen, die door de verantwoordelijke medewerker kunnen worden uitgelezen.
  • Dns-over-HTTPS/TLS (en meer): bij eu kun je gratis dns diensten afnemen, zodat je dns verzoeken niet onderweg afgeluisterd kunnen worden. Inclusief varianten die filteren op kinderonvriendelijke sites en een versie die heel veel minder frisse sites blokkeert. Wil je zelf de filtering finetunen, dan kun je terecht bij hun betaalde NextDNS service. Hecht je minder waarde aan een Europese DNS provider, dan kun je ook kijken bij bijvoorbeeld Quad9 (Zwitserland), Cloudflare (US), Google (US) of Adguard (Cyprus).
  • Zelf een VPN dienst hosten is niet lastig, veel zakelijke routers/gateways ondersteunen dat al en ook veel NAS producten voor de particuliere markt hebben VPN ondersteuning. En als zelf doen geen optie is, dan zijn er voldoende commerciële VPN diensten.
  • Niet ter voorkoming van lekken, maar om de bron eenvoudig te kunnen achterhalen: gebruik bij elke partij een ander mailadres, een andere adrestoevoeging of iets anders waardoor de gegevens herleidbaar zijn. Bij Google maildiensten (zoals Gmail) mag er in het deel voor de @ een + voorkomen, waarbij alles vanaf de + geen invloed heeft op in welke mailbox de mail terechtkomt. En door het gebruiken van bijvoorbeeld puck+facebook@gmail.com weet Pietje Puck bij het aantreffen van dat mailadres bij een willekeurige webwinkel dat het adres bij Facebook vandaan komt. Heb je als bedrijf zelf de volledige controle over de mailomgeving, dan kunnen er voor verschillende doeleinden ook verschillende (normale) mailadressen gebruikt worden.

Wil je als bedrijf hulp bij het beschermen van je gegevens? Bij Ventus IT Professionals hebben we daarvoor de kennis in huis.

Robert Elsinga
security expert

Wil je als opdrachtgever weten welke expertise Ventus op het gebied van IT-security in huis heeft? Neem dan vrijblijvend contact met ons op om de mogelijkheden te bespreken.
-> Bekijk de mogelijkheden voor opdrachtgevers

Ben je geïnteresseerd in IT-security en op zoek naar een nieuwe uitdaging? Neem dan zo snel mogelijk contact met ons op om te horen wat Ventus jou kan bieden.
-> Bekijk de mogelijkheden voor professionals