Ont-Googlen en terughoudendheid met de cloud

| Renco Schoemaker | ,

Eerder deelden wij op de IB&P website een agenda met daarin relevante bijeenkomsten op het gebied van informatiebeveiliging en privacy m.b.v. Google Agenda. Eerder verstuurden we onze nieuwsbrief met behulp van het Amerikaanse Mailchimp. De wekelijkse nieuwsoverzichten gingen de spreekwoordelijke deur uit via Revue (onlangs gekocht door Twitter). We kunnen praktisch niet om de techgiganten heen, maar als IB&P worden we terecht hierop aangesproken Maar hoe verhoud je je persoonlijk tot dit soort vraagstukken, als CISO, Privacy Officer of FG?

Practice what you preach

Een CISO, Privacy Officer of FG die privé alles in de cloud stopt en het gemak van Google producten diensten steevast verkiest boven zijn/haar privacy neem ik toch, eerlijk gezegd, minder serieus. Wanneer je in je werk meewerkt en/of toeziet aan/op een zorgvuldige, veilige omgang met persoonsgegevens en privacy hoog in het vaandel hebt, dan kán het toch bijna niet anders dan dat je in je eigen keuzes deze belangen ook laat meewegen? En gratis bestaat niet.

Het is wat mij betreft volkomen terecht dat je daar in een bewustwordingssessie op wordt bevraagd door collega’s. Mijn ervaring is dat de discussie al vrij snel in het persoonlijke domein komt. Logisch ook wel: van ambtenaren wordt op het gebied van privacy en informatiebeveiliging het nodige gevraagd, terwijl die burger ogenschijnlijk laks z’n hele hebben en houden op social media knalt en in de cloud stalt. Alhoewel het wat mij betreft appels en peren zijn, kan het voelen als dweilen met de kraan open.

Hieronder mijn persoonlijke invulling van deze ‘zoektocht’. Het zal daarbij snel duidelijk worden dat dit ook een (tech-)hobby van mij is geworden. Tips? Ik hoor ze graag!

Afscheid nemen

Zelf ben ik actief in dit werkveld sinds 2014 en in de afgelopen 7 jaren heb ik gaandeweg afscheid genomen van de nodige diensten. De zoekmachine werd vervangen voor Startpage.com, Gmail werd ProtonMail, Chrome ging over in Brave (Android) en FireFox (Windows). Vooral de overstap in mailaccount heeft de nodige tijd en inspanning gekost.

Ook mijn Synology NAS nam een aantal taken over, zoals een CalDAV agenda ter vervanging van Google Agenda. En ja, voor remote access moet je wel de firewall in je router snappen. Synology Cloud Station (samenwerken) en TransIP Stack (back-up) ipv Google Drive en Google Photos werd Synology Moments. Streaming van audio en video gaat via Plex, ook remote. Audio apparatuur heeft natuurlijk géén voice besturing.

Google Analytics verdween uit de websitecode. Energieverbruik registreer ik met de Iungo. Facebook heb ik nooit gehad, loyalty cards staan in Dappre. Zoveel mogelijk Signal boven Whatsapp. Nauwelijks tot geen gebruik van gratis webapplicaties. En uiteraard, verbindingen naar het internet lopen structureel via ProtonVPN. DNS requests lopen via Pi-Hole naar 1.1.1.1 en de router + mesh-network draait met AVM Fritzbox apparatuur. En ‘natuurlijk’ zijn er meerder Raspberry Pi’s operationeel. Soms gewoon omdat het kan ?

Nog te nemen stappen

Van Google Contacts wil ik heel graag af, maar Proton ContactManager is nog niet af voor mobiel gebruik. Misschien in de tussentijd CardDAV op m’n NAS inrichten. Het aansturen van IOT apparaten verloopt nu primair via de KlikAanKlikUit cloud, maar ik ben bijna klaar om over te stappen naar Home-Assistant. Dan gaat ook de IP-cam die geen ONVIF ondersteunt voor lokale opslag van beelden eruit. De deurbel blijft vooralsnog gewoon ‘dom’.

Mijn internetverbinding heb ik al jaren via XS4all, al overweeg ik een overstap naar Freedom. Wachtwoorden beheer ik in Lastpass en vanwege de hoge eisen aan beschikbaarheid, integriteit én vertrouwelijkheid heb ik de overstap naar self-hosted BitWarden nog niet aangedurfd.

Momenteel experimenteer ik met Twister OS en open-source Office alternatieven, maar ik heb ontdekt dat ik nogal ‘vergroeid’ ben met Windows en Office producten. Misschien een kwestie van tijd? Helemaal afscheid nemen van Microsoft en Office is privé niet zo’n probleem vanwege het geringe gebruik, maar diezelfde laptop wordt ook zakelijk zeer intensief gebruikt… Om nog maar niet te beginnen over een OS ter vervanging van Android.

Berusting

In alle eerlijkheid zijn er ook producten en diensten waar ik wel principiële bezwaren tegen heb, maar voorlopig gewoon blijf gebruiken. Kennelijk weegt het gemak toch op tegen de privacy bezwaren en ik realiseer met terdege dat dit een zeer persoonlijk (en ook arbitraire) grens is.

Alhoewel ik in mijn auto navigeer met de ingebouwde navigatiesoftware, maakt die via een eigen internetverbinding wel gebruik van Google Maps verkeersinformatie. En op mijn telefoon navigeer ik zo nu en dan via Google Maps. Er is wat mij betreft gewoon geen beter product. Qua social media blijven Twitter en LinkedIN mij genoeg brengen al ben ik wel terughoudend met wat ik er op zet. Tweets worden zelfs automatisch verwijderd m.b.v. Semiphemeral. Mijn Kindle e-reader met daarop erg fijne toegang tot de Amazon (book) store blijft evenals die verrekt handige Chromecasts.

Het afscheid van Whatsapp blijft een strijd, maar dat zal herkenbaar zijn.

Tot slot

Graag benadruk ik nog hier dat eenieder op z’n eigen manier invulling geeft aan het ‘daad bij woord’ principeop het gebied van informatiebeveiliging en privacy. Ik vind het leuk om te zoeken naar open-source, self-hosted alternatieven en beschik over de vereiste technische kennis. Niet iedereen vindt dit leuk natuurlijk, maar dan nog vind ik dat je jezelf als CISO, Privacy Officer of FG regelmatig moet bevragen over je keuzes die je maakt in het privé domein. Practice what you preach.

Opmerkingen, kritieken of vragen? Ik ontvang ze graag!

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Is jouw gegevensverwerking rechtmatig?

Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar hoe weet je of jouw gegevensverwerking recht…

Het NIST CyberSecurity Framework als kans?

Binnen informatiebeveiliging praten we vaak over normen, managementsystemen en frameworks. Zo heb je het NIST Cyber Security Framework, maar hoe verhoudt dat zich tot het ISMS en de BIO? Lees het in onze blog.

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?