Voor Privacy First schreef ik onderstaand artikel:

Maakt het gebruik van encryptie en VPN iemand verdacht?

Encryptie en VPN’s zijn nuttige hulpmiddelen om je te beschermen tegen online narigheid. Maar de Europese bankentoezichthouder (EBA) en de Franse overheid verklaren je daarmee tot een verdacht persoon. Dat is kwalijk en verontrustend. Hoe zit dit allemaal in elkaar? Privacy First legt het uit.

Op dit moment heb je weinig mogelijkheden om je te beschermen tegen de grenzeloze datagraaizucht van advertentiebedrijven als Google en Meta (Facebook) met hun ‘gratis’ producten. Een van de weinige mogelijkheden die er wél zijn, is het gebruik van een VPN (virtual private network), waardoor je eigen IP-adres wordt vervangen door het IP-adres van de VPN-server. Een VPN is dus nuttig voor iedereen die zorgen heeft over tracking: het volgen van je surfgedrag (door advertentiebedrijven) op basis van je IP-adres.

Daarnaast versleutelt een VPN je internetverbinding, waardoor je bijvoorbeeld veiliger gebruik kunt maken van openbare wifi.

Een andere bron van narigheid zijn e-mail en messaging. Gewone e-mail (bijvoorbeeld via Outlook, Gmail of Thunderbird) is een notoir onveilige communicatievorm, die je veiliger kunt maken door je mail te encrypten. Niet voor niets heeft de Nederlandse Rechtspraak ervoor gekozen alleen beveiligd te mailen via een van de gecontroleerde aanbieders.

Bij een messaging-toepassing als WhatsApp is die encryptie al het geval, maar daarbij speelt weer het probleem dat het een product van een advertentiebedrijf (Meta/Facebook) is, met alle privacy-risico’s van dien. Een goed alternatief voor WhatsApp is het onafhankelijke Signal (dat ook encryptie toepast).

Tenslotte is het voor iedereen aan te bevelen om ook data-dragers (zoals harde schijven en USB-sticks) te encrypten en te beveiligen tegen onrechtmatige toegang.

Europese bankentoezichthouder: VPN is verdacht
De Europese bankentoezichthouder European Banking Authority (EBA) leeft in een andere wereld, want in een consultatiedocument over criminaliteitsbestrijding door financiële instellingen veronderstelt deze organisatie dat het gebruik van geëncrypte e-mail (zoals de door de Rechtspraak aanbevolen diensten) en het gebruik van VPN een aanwijzing kunnen zijn voor criminele activiteiten.

De EBA denkt dat het IP-adres van een klant ‘vast’ bij een klant hoort, wat bij VPN niet het geval is. Je kunt immers met meerdere mensen gebruik maken van een VPN-dienst, waardoor iedereen het IP-adres van de bijbehorende VPN-server krijgt. De toezichthouder zegt echter dat het verdacht is als de klant een IP-adres gebruikt dat gekoppeld is aan meerdere klanten (wat dus juist bij VPN het geval is) of als het IP-adres ‘inconsistent’ is met andere informatie over de klant. Eveneens merkwaardig is dat de EBA bij hoog-risicoklanten adviseert om het IP-adres vaker te checken en te zien of dat IP-adres ook bij andere klanten in gebruik is.

Uit het consultatiedocument blijkt verder dat financiële producten met privacy-bevorderende kenmerken een aanwijzing kunnen vormen voor criminaliteit. Het is een vergissing van de EBA om te veronderstellen dat privacy-enhancing features per definitie fout zouden zijn. Dat soort features zijn juist zeer gewenst en moeten beslist bevorderd worden. Privacy betekent namelijk niet dat de klant onbekend is, maar dat er maatregelen zijn om het onnodig rondslingeren van gegevens te voorkomen. Iets wat gelet op het zeer grote aantal datalekken, ook bij de overheid, zeer gewenst is.

Franse burgers zijn verdacht omdat zij hun computers versleutelden
Het voorgaande sluit goed aan bij de alarmbel die de Franse privacy-organisatie La Quadrature du Net (LQDN) onlangs luidde, in een artikel over Franse burgers, die door de Franse overheid werden verdacht van terrorisme. Omdat zij communiceerden via Signal, en hun hardware hadden geëncrypt.

Communiceren via Signal en het encrypten van je hardware is juist heel verstandig, gelet op de risico’s die iedereen loopt door de datagraaipraktijken van advertentiebedrijven en criminelen. LQDN is dus heel boos op de Franse overheid, en concludeert dat die volledige transparantie van iedere burger eist, op straffe van verdenking van criminaliteit of terrorisme, waarmee de gegevensbeschermingsrechten van burgers worden geschonden.

Gegevensbescherming is nodig
Het voorgaande geeft aan hoe belangrijk het is dat overheden erop worden gewezen dat gegevensbescherming nodig is ter bescherming van mensen.

Gegevensbeschermingstips: kijk op www.fixjeprivacy.nl en www.laatjeniethackmaken.nl.

Aanvulling
In bovenstaand artikel spreek ik over dit consultatiedocument van EBA en over het artikel Criminalization of encryption: the 8 december case van La Quadrature du Net.

Aanvulling 11 juli 2023
Rosanne Hertzberger schreef voor het NRC de mooie column Vóór digitale privacy? Wat ben je, een terrorist of pedofiel? (ik mis alleen nog de witwasser in de titel).

Aanvulling 29 april 2024
De Europese politie is van mening dat burgers zich niet mogen beschermen tegen datagraaiende advertentiebedrijven, criminelen en ander onguur volk, lees bij security.nl Politiechefs roepen overheden op uitrol end-to-end encryptie te stoppen, die verwijst naar een bericht van Europol. Zie eerder OM: versleutelde chatapps wegens vele criminele berichten nieuwe darkweb