Waar bewaren online diensten je persoonlijke data?
Door een nieuw presidentieel decreet van de Verenigde Staten kan de privacy van Europeanen en andere niet-Amerikanen in het gedrang worden gebracht. We onderzoeken welke regels de EU heeft opgesteld om onze privacy te beschermen en hoe jij kan nagaan waar je persoonlijke data wordt bewaard.
Privacy Shield
De Europese Unie heeft in overeenkomst met de Verenigde Staten een zogenaamd Privacy Shield in voegen gesteld die moet voorkomen dat onze privacy te grabbel wordt gegooid. Het verdrag stelt dat gegevens enkel van de Europese Unie naar de Verenigde Staten mag worden gebracht door bedrijven die voldoen aan een aantal regels, welke je online kan nakijken. Bedrijven die voldoen aan deze regels kunnen lid worden van het Privacy Shield, waarna ze het recht hebben om data tussen de twee continenten uit te wisselen. Ieder jaar dienen de firma’s hun lidmaatschap weer aan te vragen.
Om te achterhalen of je gebruik maakt van diensten van bedrijven die het recht hebben om je persoonlijke gegevens naar de Verenigde Staten te verschepen, kan je bij de Privacy Shield List terecht. In deze lijst staan alle bedrijven opgesomd die voldoen aan de Privacy Shield-regels. Onder andere Google, Microsoft, Facebook en Amazon kan je op de webpagina terugvinden.
Datacenters
Maak je gebruik van de diensten van één van de bedrijven die in de lijst staan, dan wil je hoogstwaarschijnlijk weten waar je data juist wordt bewaard. Jammer genoeg is dit niet zo eenvoudig te achterhalen. Google heeft bijvoorbeeld 15 verschillende datacenters verspreid over Amerika, Europa en Azië. Aangezien het bedrijf in de Privacy Shield List staat, kunnen je gegevens ook buiten Europa worden bewaard.
“Je data zal bewaard worden in Google zijn netwerk van datacenters. Google onderhoudt een aantal datacenters die geografisch zijn verspreid. Google zijn computing clusters zijn ontworpen met veerkracht en redundantie in het achterhoofd, waarbij single points of failure zijn geëlimineerd en de impact van storingen in apparatuur en milieurisico’s zijn geminimaliseerd,” schrijft Google als antwoord op de vraag waar je data nu juist wordt bewaard.
Ook andere technologiebedrijven houden er een soortgelijke werkwijze op na. Door je data op meerdere servers te zetten die bovendien nog eens op verschillende continenten staan, wordt voorkomen dat je data verloren gaat bij een probleem met één van de datacenters. Jammer genoeg zijn de bedrijven niet transparant over de specifieke locaties van je data. Hierdoor is het niet zo eenvoudig om te achterhalen op welk continent je gegevens zijn bewaard.
Wireshark
Een manier om toch na te kijken waar je data naar toegaat, is met behulp van Wireshark. De tool is gratis en detecteert al het netwerkverkeer van en naar je computer. Wireshark wordt voornamelijk gebruikt door netwerkbeheerders, maar voor na te gaan naar waar je gegevens verdwijnen, is de tool eveneens ideaal.
Wanneer je Wireshark opstart, krijg je de verschillende netwerkverbindingen te zien die op je pc beschikbaar zijn. Dubbelklik op de connectie waar je gebruik van maakt en een groot aantal regels zal verschijnen. Elke regel staat voor een netwerkpakketje dat je pc ontvangt of uitstuurt. Om het grote aantal gegevens overzichtelijker te maken, kan je een filter toepassen. Vul bovenaan het commando ‘ip.src_host and ssl’ in en druk aan de rechterkant op de pijl. Hierna zullen enkel de pakketjes die van je pc weg worden gestuurd zichtbaar zijn.
In ons voorbeeld zullen we van Google Drive gebruik maken. Houd een document klaar dat je naar de dienst wil uploaden en druk op de groene vin in Wireshark. Deze knop zorgt ervoor dat er een nieuwe opname van netwerkverkeer wordt gedaan. Upload hierna onmiddellijk het document naar Google Drive en druk op de rode stopknop. Normaal gezien heb je nu het moment vastgelegd dat gegevens naar een server van Google werden verstuurd.
In de Protocol-kolom zal je verschillende protocollen zien staan. Het uploaden van gegevens zal gebeuren met de TLS- of SSL-standaard. Klik met je rechtermuisknop op een rij waar het juiste protocol wordt gebruikt, ga naar Follow en klik op TCP Stream. Een nieuw venster zal zich openen, waarin je bovenaan kan nakijken of je een juist pakketje aan het bekijken bent. In mijn geval staat er clients6.google.com, maar er kan ook een andere variant van het Google-domein worden gebruikt.
Wanneer je je ervan hebt verzekerd dat je de informatie van een juist pakket aan het bekijken bent, kan je nakijken naar welke bestemming de data wordt verstuurd. Kopieer het IP-adres uit de kolom Destination en vul het in een website zoals IP-Lookup in. De pagina zal je vertellen wat de thuishaven van het adres is en wie de host is. In mijn geval is de data rechtstreeks naar de Verenigde Staten doorgestuurd.
Europese diensten
[related_article id=”211322″]Ook wanneer het IP-adres niet verwijst naar een server buiten Europa ben je jammer genoeg niet zeker dat je data in Europa zal blijven. Google en andere bedrijven nemen immers back-ups en kunnen om deze reden je data of een kopie ervan doorsluizen naar een andere server, die mogelijk wel in de Verenigde Staten staat.
Bovendien vallen Amerikaanse bedrijven onder de wetgeving van hun land en kan er dus niet met zekerheid gezegd worden dat je data niet met bijvoorbeeld de NSA wordt gedeeld. Wie echt het zekere voor het onzekere wil nemen, doet er daarom goed aan gebruik te maken van de diensten van een Europees bedrijf met Europese datacenters. Een mooi voorbeeld hiervan is het recent gelanceerde Stack. De clouddienst is van Nederlandse makelij en maakt enkel gebruik van een datacenter in Nederland. Andere voorbeelden zijn het Noorse Jottacloud, Franse hubiC of het Zwitserse Tresorit.
