Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan Created with Sketch.
LEES DIT:  Blockchain ontketend: download het gratis dossier

Waar bewaren online diensten je persoonlijke data?

President Trump heeft te kennen gegeven dat de Amerikaanse privacywet enkel van toepassing is voor zijn burgers. We bekijken wat je kan doen om je persoonlijke data uit Amerikaanse handen te houden.

 

Door een nieuw presidentieel decreet van de Verenigde Staten kan de privacy van Europeanen en andere niet-Amerikanen in het gedrang worden gebracht. We onderzoeken welke regels de EU heeft opgesteld om onze privacy te beschermen en hoe jij kan nagaan waar je persoonlijke data wordt bewaard.

Privacy Shield

De Europese Unie heeft in overeenkomst met de Verenigde Staten een zogenaamd Privacy Shield in voegen gesteld die moet voorkomen dat onze privacy te grabbel wordt gegooid. Het verdrag stelt dat gegevens enkel van de Europese Unie naar de Verenigde Staten mag worden gebracht door bedrijven die voldoen aan een aantal regels, welke je online kan nakijken. Bedrijven die voldoen aan deze regels kunnen lid worden van het Privacy Shield, waarna ze het recht hebben om data tussen de twee continenten uit te wisselen. Ieder jaar dienen de firma’s hun lidmaatschap weer aan te vragen.

Om te achterhalen of je gebruik maakt van diensten van bedrijven die het recht hebben om je persoonlijke gegevens naar de Verenigde Staten te verschepen, kan je bij de Privacy Shield List terecht. In deze lijst staan alle bedrijven opgesomd die voldoen aan de Privacy Shield-regels. Onder andere Google, Microsoft, Facebook en Amazon kan je op de webpagina terugvinden.

Datacenters

Maak je gebruik van de diensten van één van de bedrijven die in de lijst staan, dan wil je hoogstwaarschijnlijk weten waar je data juist wordt bewaard. Jammer genoeg is dit niet zo eenvoudig te achterhalen. Google heeft bijvoorbeeld 15 verschillende datacenters verspreid over Amerika, Europa en Azië. Aangezien het bedrijf in de Privacy Shield List staat, kunnen je gegevens ook buiten Europa worden bewaard.

“Je data zal bewaard worden in Google zijn netwerk van datacenters. Google onderhoudt een aantal datacenters die geografisch zijn verspreid. Google zijn computing clusters zijn ontworpen met veerkracht en redundantie in het achterhoofd, waarbij single points of failure zijn geëlimineerd en de impact van storingen in apparatuur en milieurisico’s zijn geminimaliseerd,” schrijft Google als antwoord op de vraag waar je data nu juist wordt bewaard.

Ook andere technologiebedrijven houden er een soortgelijke werkwijze op na. Door je data op meerdere servers te zetten die bovendien nog eens op verschillende continenten staan, wordt voorkomen dat je data verloren gaat bij een probleem met één van de datacenters. Jammer genoeg zijn de bedrijven niet transparant over de specifieke locaties van je data. Hierdoor is het niet zo eenvoudig om te achterhalen op welk continent je gegevens zijn bewaard.

Wireshark

Een manier om toch na te kijken waar je data naar toegaat, is met behulp van Wireshark. De tool is gratis en detecteert al het netwerkverkeer van en naar je computer. Wireshark wordt voornamelijk gebruikt door netwerkbeheerders, maar voor na te gaan naar waar je gegevens verdwijnen, is de tool eveneens ideaal.

Wanneer je Wireshark opstart, krijg je de verschillende netwerkverbindingen te zien die op je pc beschikbaar zijn. Dubbelklik op de connectie waar je gebruik van maakt en een groot aantal regels zal verschijnen. Elke regel staat voor een netwerkpakketje dat je pc ontvangt of uitstuurt. Om het grote aantal gegevens overzichtelijker te maken, kan je een filter toepassen. Vul bovenaan het commando ‘ip.src_host and ssl’ in en druk aan de rechterkant op de pijl. Hierna zullen enkel de pakketjes die van je pc weg worden gestuurd zichtbaar zijn.

In ons voorbeeld zullen we van Google Drive gebruik maken. Houd een document klaar dat je naar de dienst wil uploaden en druk op de groene vin in Wireshark. Deze knop zorgt ervoor dat er een nieuwe opname van netwerkverkeer wordt gedaan. Upload hierna onmiddellijk het document naar Google Drive en druk op de rode stopknop. Normaal gezien heb je nu het moment vastgelegd dat gegevens naar een server van Google werden verstuurd.

In de Protocol-kolom zal je verschillende protocollen zien staan. Het uploaden van gegevens zal gebeuren met de TLS- of SSL-standaard. Klik met je rechtermuisknop op een rij waar het juiste protocol wordt gebruikt, ga naar Follow en klik op TCP Stream. Een nieuw venster zal zich openen, waarin je bovenaan kan nakijken of je een juist pakketje aan het bekijken bent. In mijn geval staat er clients6.google.com, maar er kan ook een andere variant van het Google-domein worden gebruikt.

Wanneer je je ervan hebt verzekerd dat je de informatie van een juist pakket aan het bekijken bent, kan je nakijken naar welke bestemming de data wordt verstuurd. Kopieer het IP-adres uit de kolom Destination en vul het in een website zoals IP-Lookup in. De pagina zal je vertellen wat de thuishaven van het adres is en wie de host is. In mijn geval is de data rechtstreeks naar de Verenigde Staten doorgestuurd.

Europese diensten

 

Ook wanneer het IP-adres niet verwijst naar een server buiten Europa ben je jammer genoeg niet zeker dat je data in Europa zal blijven. Google en andere bedrijven nemen immers back-ups en kunnen om deze reden je data of een kopie ervan doorsluizen naar een andere server, die mogelijk wel in de Verenigde Staten staat.

Bovendien vallen Amerikaanse bedrijven onder de wetgeving van hun land en kan er dus niet met zekerheid gezegd worden dat je data niet met bijvoorbeeld de NSA wordt gedeeld. Wie echt het zekere voor het onzekere wil nemen, doet er daarom goed aan gebruik te maken van de diensten van een Europees bedrijf met Europese datacenters. Een mooi voorbeeld hiervan is het recent gelanceerde Stack. De clouddienst is van Nederlandse makelij en maakt enkel gebruik van een datacenter in Nederland. Andere voorbeelden zijn het Noorse Jottacloud, Franse hubiC of het Zwitserse Tresorit.

Lees meer over : cloud | google | IP-Lookup | Microsoft | privacy | privacy shield | trump | wireshark

  • Dirk Geeraerts, Gemalto

    In dit artikel wordt de vinger op de zere plek gelegd. Bedrijven blijven worstelen met het beveiligen van data in de cloud. Ondanks het toenemende belang van de cloud voor de bedrijfsvoering, nemen organisaties onvoldoende governance- en beveiligingsmaatregelen om gevoelige gegevens in de cloud te beschermen. Om lezers aan te sporen over te gaan tot actie wil ik dit artikel graag kracht bijzetten door enkele cijfers van ons jaarlijkse Global Cloud Data Security te delen. Uit dit onderzoek blijkt dat IT-afdelingen geen grip hebben op de helft van alle clouddiensten en bedrijfsgegevens die in de cloud worden opgeslagen. 54 procent geeft aan dat hun organisatie geen proactieve aanpak hanteert voor beveiliging en compliance met regelgeving voor privacy- en databescherming in de cloud. Daarnaast zegt 65 procent het belangrijk te vinden dat hun organisatie gevoelige en vertrouwelijke informatie in de cloud beschermt. Echter, door de traditionele benaderingen van databescherming toe te passen op de cloud, lopen organisaties achter de feiten aan. Gegevens worden immers niet langer binnen het lokale netwerk opgeslagen.

    Dit probleem kan alleen worden opgelost met een datagerichte aanpak die IT-afdelingen in staat stelt om klanteninformatie en bedrijfsgegevens uniform te beschermen binnen de tientallen clouddiensten die afdelingen en werknemers dagelijks gebruiken. IT-afdelingen zouden duidelijke beleidsregels moeten opstellen voor data governance en compliance. Geef richtlijnen voor de aanschaf van nieuwe clouddiensten en bepaal welke soorten data wel of niet in de cloud mogen worden opgeslagen. Door data gecentraliseerd te beschermen, bijvoorbeeld met encryptie, zorgt een IT-afdeling ervoor dat gegevens ook in de cloud beschermd zijn, zonder dat de medewerkers hoeven in te leveren op hun behoefte om gebruik te maken van clouddiensten. De nadruk zou meer gelegd moeten worden op het verbeteren van het beheer van gebruikerstoegang, met behulp van multi-factor authenticatie. Zeker voor bedrijven die hun data delen met leveranciers of derden is dit een noodzaak.

    – Dirk Geeraerts, identity en data protection expert bij Gemalto