Blog Legal Look: Victor de Pous over privacy
> Is privacy in ‘The Cloud’ dood? Zeker niet, hoewel er steeds meer mensen zijn die aanvoeren dat er een einde aan is gekomen. ‘Individual privacy is effectively dead’ betoogden recent enkele Harvard-hoogleraren op het World Economic Forum in Davos. Dat valt echter te bezien. De Europese Unie scherpt juist wettelijke rechten voor natuurlijke personen en wettelijke verplichtingen voor bedrijf en overheidsorganisatie aan, inclusief hoge boetes voor onder meer het lekken van persoonsgegevens. Daar staat - toegegeven - tegenover dat opsporings- en veiligheidsdiensten steeds meer aftap- en toegangsrechten verkrijgen en telecombedrijven in veel Europese landen nog altijd verplicht zijn allerhande verkeersgegevens te registreren en te bewaren, ondanks de strijd met grondrechten.
Ondertussen wordt bijvoorbeeld van Amerikaanse regeringszijde de roep om toegang tot sleutels van encryptietechniek van cloud service providers, zoals Apple, Google en Microsoft, luider. Maar vergeet de rechte rug van Microsoft niet, die vooralsnog weigert de overheidsdiensten uit de VS toegang te bieden tot de in haar Ierse datacenter opgeslagen gegevens van veelal Europese staatsburgers. Hier zal tot aan de hoogste rechter worden doorgeprocedeerd.
> Wat kunnen leveranciers en gebruikers doen? Feitelijke maatregelen zijn vaak te versmaden boven juridische, zeker wanneer ze a priori tot het realiseren van het gewenste doel leiden. Of tenminste, begin hiermee. Om een dwarsstraat te noemen, we stelden vroeger al dat wanneer een bedrijf niet wil dat het personeel op de zaak naar Japan belt, de telefooncentrale het beste zo ingesteld kon worden dat het domweg onmogelijk was om verbinding met het land van de rijzende zon te krijgen. Dat mag juridisch en voorkomt de stelselmatige (en onrechtmatige) monitoring van werknemers. Wie langs deze weg doordenkt, komt uiteindelijk uit op het ouderwetse stand-alone computing. Dan kan immers niemand van buiten er bij. Dat vormt echter geen oplossing. We kunnen er echter wel voor kiezen dat leveranciers niet over encryptiesleutels beschikken.
> Hoe staat het met formele recht, zoals strafvordering? Ten aanzien van bevoegdheden noteren we soms merkwaardige constructies. Zo stelt een Amerikaanse strafrechter het afstaan van een vingerafdruk door een verdachte voor het ontgrendelen van smartphone of tablet gelijk met het afstaan van DNA; een voorbeeld van het handschrift of fysieke sleutel, in het bezit van de verdachte. Op grond van deze redenering kan ook een vingerafdruk in voorkomende gevallen juridisch worden afgedwongen. Maar dat geldt niet voor een persoonlijke pincode van een verdachte, omdat niemand mag worden gedwongen om tegen zichzelf te getuigen, aldus bepaalt het Vijfde Amendement van de Grondwet van de Verenigde Staten. Dit vonnis uit 2014 bevreemdt in zoverre, omdat vingerafdruk en geheime code in dit kader hetzelfde doel dienen: politie en justitie toegang tot digitale apparatuur geven en de inhoud doorzoeken. Wie zijn vingerafdruk wil blijven gebruiken, zoals een eigenaar van een Apple iPhone 5s of de 6-serie, en toch inzage in de VS wil voorkomen, doet er goed aan voor een twee-stappen-verificatie te kiezen, inclusief pincode of wachtwoord.
Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.