Ont-Googlen en terughoudendheid met de cloud

| Renco Schoemaker | ,

Eerder deelden wij op de IB&P website een agenda met daarin relevante bijeenkomsten op het gebied van informatiebeveiliging en privacy m.b.v. Google Agenda. Eerder verstuurden we onze nieuwsbrief met behulp van het Amerikaanse Mailchimp. De wekelijkse nieuwsoverzichten gingen de spreekwoordelijke deur uit via Revue (onlangs gekocht door Twitter). We kunnen praktisch niet om de techgiganten heen, maar als IB&P worden we terecht hierop aangesproken Maar hoe verhoud je je persoonlijk tot dit soort vraagstukken, als CISO, Privacy Officer of FG?

Practice what you preach

Een CISO, Privacy Officer of FG die privé alles in de cloud stopt en het gemak van Google producten diensten steevast verkiest boven zijn/haar privacy neem ik toch, eerlijk gezegd, minder serieus. Wanneer je in je werk meewerkt en/of toeziet aan/op een zorgvuldige, veilige omgang met persoonsgegevens en privacy hoog in het vaandel hebt, dan kán het toch bijna niet anders dan dat je in je eigen keuzes deze belangen ook laat meewegen? En gratis bestaat niet.

Het is wat mij betreft volkomen terecht dat je daar in een bewustwordingssessie op wordt bevraagd door collega’s. Mijn ervaring is dat de discussie al vrij snel in het persoonlijke domein komt. Logisch ook wel: van ambtenaren wordt op het gebied van privacy en informatiebeveiliging het nodige gevraagd, terwijl die burger ogenschijnlijk laks z’n hele hebben en houden op social media knalt en in de cloud stalt. Alhoewel het wat mij betreft appels en peren zijn, kan het voelen als dweilen met de kraan open.

Hieronder mijn persoonlijke invulling van deze ‘zoektocht’. Het zal daarbij snel duidelijk worden dat dit ook een (tech-)hobby van mij is geworden. Tips? Ik hoor ze graag!

Afscheid nemen

Zelf ben ik actief in dit werkveld sinds 2014 en in de afgelopen 7 jaren heb ik gaandeweg afscheid genomen van de nodige diensten. De zoekmachine werd vervangen voor Startpage.com, Gmail werd ProtonMail, Chrome ging over in Brave (Android) en FireFox (Windows). Vooral de overstap in mailaccount heeft de nodige tijd en inspanning gekost.

Ook mijn Synology NAS nam een aantal taken over, zoals een CalDAV agenda ter vervanging van Google Agenda. En ja, voor remote access moet je wel de firewall in je router snappen. Synology Cloud Station (samenwerken) en TransIP Stack (back-up) ipv Google Drive en Google Photos werd Synology Moments. Streaming van audio en video gaat via Plex, ook remote. Audio apparatuur heeft natuurlijk géén voice besturing.

Google Analytics verdween uit de websitecode. Energieverbruik registreer ik met de Iungo. Facebook heb ik nooit gehad, loyalty cards staan in Dappre. Zoveel mogelijk Signal boven Whatsapp. Nauwelijks tot geen gebruik van gratis webapplicaties. En uiteraard, verbindingen naar het internet lopen structureel via ProtonVPN. DNS requests lopen via Pi-Hole naar 1.1.1.1 en de router + mesh-network draait met AVM Fritzbox apparatuur. En ‘natuurlijk’ zijn er meerder Raspberry Pi’s operationeel. Soms gewoon omdat het kan ?

Nog te nemen stappen

Van Google Contacts wil ik heel graag af, maar Proton ContactManager is nog niet af voor mobiel gebruik. Misschien in de tussentijd CardDAV op m’n NAS inrichten. Het aansturen van IOT apparaten verloopt nu primair via de KlikAanKlikUit cloud, maar ik ben bijna klaar om over te stappen naar Home-Assistant. Dan gaat ook de IP-cam die geen ONVIF ondersteunt voor lokale opslag van beelden eruit. De deurbel blijft vooralsnog gewoon ‘dom’.

Mijn internetverbinding heb ik al jaren via XS4all, al overweeg ik een overstap naar Freedom. Wachtwoorden beheer ik in Lastpass en vanwege de hoge eisen aan beschikbaarheid, integriteit én vertrouwelijkheid heb ik de overstap naar self-hosted BitWarden nog niet aangedurfd.

Momenteel experimenteer ik met Twister OS en open-source Office alternatieven, maar ik heb ontdekt dat ik nogal ‘vergroeid’ ben met Windows en Office producten. Misschien een kwestie van tijd? Helemaal afscheid nemen van Microsoft en Office is privé niet zo’n probleem vanwege het geringe gebruik, maar diezelfde laptop wordt ook zakelijk zeer intensief gebruikt… Om nog maar niet te beginnen over een OS ter vervanging van Android.

Berusting

In alle eerlijkheid zijn er ook producten en diensten waar ik wel principiële bezwaren tegen heb, maar voorlopig gewoon blijf gebruiken. Kennelijk weegt het gemak toch op tegen de privacy bezwaren en ik realiseer met terdege dat dit een zeer persoonlijk (en ook arbitraire) grens is.

Alhoewel ik in mijn auto navigeer met de ingebouwde navigatiesoftware, maakt die via een eigen internetverbinding wel gebruik van Google Maps verkeersinformatie. En op mijn telefoon navigeer ik zo nu en dan via Google Maps. Er is wat mij betreft gewoon geen beter product. Qua social media blijven Twitter en LinkedIN mij genoeg brengen al ben ik wel terughoudend met wat ik er op zet. Tweets worden zelfs automatisch verwijderd m.b.v. Semiphemeral. Mijn Kindle e-reader met daarop erg fijne toegang tot de Amazon (book) store blijft evenals die verrekt handige Chromecasts.

Het afscheid van Whatsapp blijft een strijd, maar dat zal herkenbaar zijn.

Tot slot

Graag benadruk ik nog hier dat eenieder op z’n eigen manier invulling geeft aan het ‘daad bij woord’ principeop het gebied van informatiebeveiliging en privacy. Ik vind het leuk om te zoeken naar open-source, self-hosted alternatieven en beschik over de vereiste technische kennis. Niet iedereen vindt dit leuk natuurlijk, maar dan nog vind ik dat je jezelf als CISO, Privacy Officer of FG regelmatig moet bevragen over je keuzes die je maakt in het privé domein. Practice what you preach.

Opmerkingen, kritieken of vragen? Ik ontvang ze graag!

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in