Goed én slecht nieuws voor je online privacy

Goed én slecht nieuws voor je online privacy

08-04-2014 13:38 Laatste update: 28-04-2018 06:49

Heel goed: de verplichte opslag van onze metadata is illegaal. Vrij slecht: een mega-lek in versleutelde sites.

Er zijn maar weinig dagen tegenwoordig waarin er geen nieuws is op privacygebied. Dat is en blijft een steeds belangrijker onderwerp. Maar niet vaak is er zulk groot goed nieuws te melden als vandaag. Het Europese hof van justitie heeft namelijk de EU-richtlijn uit 2006 over bewaren van de gegevens over je bel- en internetgedrag ongeldig verklaard. Door die richtlijn zijn providers in alle EU-landen verplicht om tussen 6 maanden en 2 jaar op te slaan wie met wie contact heeft. In Nederland is die bewaartermijn wettelijk nu 1 jaar voor telecomdata en 6 maanden voor internetgegevens.

Maar daar gaat met dit vonnis (PDF) een streep door. Beter laat dan nooit. De rechters voerden deze vier punten aan waarom de huidige bewaarplicht voor metadata niet deugt:

Verzamelen voor andere doelen: er is volgens de rechters geen garantie dat het verzamelen van de communicatiegegevens beperkt blijft tot het doel van bestrijding van terrorisme en georganiseerde misdaad. Overheden kunnen informatie verzamelen over iedereen, verdacht of niet.

Niet genoeg bescherming tegen datadiefstal: er zijn voor providers geen harde verplichtingen bij de beveiliging van de gegevens die ze over ons opslaan.

Te lange bewaartermijn: waarom moeten de gegevens 6 maanden tot 2 jaar worden opgeslagen? wat is de noodzaak dat zo lang te doen? Volgens de rechters moet daar eerst nog eens een goed antwoord op komen.

Geen garantie op wissen data: het is niet zeker dat alle opgeslagen metadata na de verplicht termijn door providers echt grondig wordt vernietigd.

En nu?

De Nederlandse wet blijft voorlopig nog gelden, maar de Tweede Kamer kan hem nu gaan aanpassen met alle kritiekpunten uit het vonnis in de hand. Het kabinet lijkt er niet happig op, maar onder meer D66, SP en GroenLinks willen de bewaarplicht de prullenbak in. De grote vraag: hoe én hoe lang moeten we dan meta-data opslaan om het wél 'proportioneel' te laten zijn?

Slecht nieuws over versleutelde sites

Dinsdag kwam er ook verontrustend nieuws binnen voor je privacy. Door een lek in OpenSSL, dat op veel sites wordt gebruikt voor versleutelde verbindingen, waren twee jaar lang vertrouwelijke gegevens te onderscheppen. OpenSSL wordt op veel sites voor encryptie van gevoelige data gebruikt, zoals veel sites met logins.

OpenSSL heeft dinsdag een verbeterde versie uitgebracht, die sites massaal aan het invoeren zijn. Ook voor Bright.nl en Bright Ideas is dit inmiddels opgelost. De bug staat bekend als Heartbleed en er zijn tools om te checken of sites veilig zijn.

Gevaar: eerder opgeslagen verkeer

Probleem is dat niet te traceren is of dit lek eerder is misbruikt en of hackers data of keys hebben gestolen. Sites zouden de komende tijd hun OpenSSL-certificaten en -sleutels moeten vervangen. Sites van grote Nederlandse banken zijn momenteel allemaal veilig.

Er werd meteen ook gewezen op de mogelijkheid die de Amerikaanse inlichtingendienst NSA door dit lek heeft om eerder opgeslagen versleuteld webverkeer in te zien. De geheime dienst zou zo ook wachtwoorden in handen kunnen krijgen.