Apple en privacy, het blijft ongemakkelijk

Door 14 november 2014 uit het nieuws Geen reacites

Big Brother Apple is watching you

ApplePrivacy-smNadat ik de software op mijn laptop en telefoon had opgewaardeerd, gebeurde er iets onverwachts (nou ja, ik hád het kunnen weten als ik het nieuws echt gevolgd had). Apple heeft in de laatste updates voor telefoon en tablet software (iOS 8.1) en voor computers (OS X Yosemite) een prachtig nieuw feature ingebouwd: telefoontjes en berichten van je telefoon via je pc/laptop opnemen of omgekeerd. In Apple speak heet dit gimmick: Continuity, maar dan niet in de context van BCM 😉 .

Hoe werkt het?

Je bent zowel op je telefoon als op je pc/laptop op Apple’s iCloud ingelogd. Beide apparaten zijn in elkaars omgeving, en beide zijn met Internet verbonden. Als er nu naar je gebeld wordt, dan gaat zowel je telefoon als je pc/laptop. Je kunt het gesprek op een van beide apparaten ‘opnemen’. Omgekeerd kun je vanaf je pc/laptop bellen en sms-sen waarbij je onderwater van je telefoon (abonnement) gebruik maakt. Een ander slim feature is dat je een document/email/whatever dat je op een van beide apparaten begonnen bent, naadloos op het andere apparaat kunt afmaken.
We zijn het met z’n allen eens: reuze handig.

Wat zijn de consequenties?

Zoals vaak met nieuwe techniek zit ook hier een keerzijde aan de medaille. Om dit feestje mogelijk te maken wordt alle informatie, of het nu gaat om call-setup gegevens of om de documenten waaraan je werkt, continu opgeslagen in Apple’s iCloud. Dit betekent dat Apple over deze gegevens beschikt. Zonder dit expliciet te melden. Dit betekent ook dat er nu twee service providers zijn die over deze informatie beschikken in plaats van één.
Zeker voor gegevens van telefoontjes die binnen Nederland of binnen de EU blijven, is het absoluut niet nodig dat de informatie over gesprekken aan de andere kant van de oceaan worden verwerkt en opgeslagen. Daar zijn de Europese telecom providers heel goed zelf toe in staat. Dat Apple daar nu mee begonnen is, is vast niet alleen om het leven van de consument gemakkelijker te maken.

Met deze upgrade zou Apple zomaar de grootste verzamelaar van call-setup gegevens van Nederland kunnen worden.
Hierbij moet bedacht worden dat Apple onder Amerikaans recht werkt. In Nederland is een rechterlijk bevel nodig voordat de politiediensten iemands telefoniegegevens (call-setup: wie belt met wie, wanneer, hoelang) en eventueel de inhoud van de gesprekken (het traditionele ‘afluisteren’) mag inzien. Voor Amerikaanse law enforcement gelden minder strikte regels, zeker als het om niet-Amerikanen gaat. Privacy betekent in Amerika iets anders dan bij ons in Europa. Ieder Amerikaans bedrijf wordt geacht dit soort gegevens af te geven als er om gevraagd wordt, ongeacht waar de data is opgeslagen (jurisdictie?). Zeker als het onder de noemer van terrorismedreiging gebeurt (Patriot Act) is weigeren geen optie.

Is het erg?

Ja, dit is erg. Ik gebruik met veel plezier een aantal Amerikaanse (web)diensten zoals Facebook, LinkedIn, iTunes, etc. Ik doe dat heel bewust, en houd er rekening mee wat ik daar allemaal aan (persoonlijke) informatie achterlaat. Ik gebruik(te) ook met veel plezier mijn iPhone en MacBook. Maar nu Apple min of meer stiekem begonnen is met (nog meer van) mijn persoonlijke gegevens te verzamelen, bekoelt dat plezier behoorlijk.
Apple vertelt je niet wat de gevolgen (kunnen) zijn. De upgrade van iOS en laptop worden weliswaar van een ‘legal notice’ voorzien die je expliciet moet goedkeuren, maar de hier besproken gimmick is daarin best goed verstopt. Als je al de moeite neemt om de voorwaarden door te lezen.
Apple vertelt je niet of en hoe je dit gimmick uit kunt zetten. Ter geruststelling: uitzetten kan, maar dat moeten anderen aangeven.

Voor privé gebruik zullen de gevolgen waarschijnlijk meevallen. Hoewel nu nog veel meer van je doopceel in Cupertino ligt opgeslagen. Maar dat wordt wel steeds meer. En vergeet niet dat dat doopceel, naast commerciële waarde voor Apple, ook opvraagbaar is door Amerikaanse overheidsinstanties. En ik zei het al: zowel Apple als die instanties hoeven zich van aanmerkelijk minder regels iets aan te trekken dan wij in Europa gewend zijn.

Voor bedrijven: Amerikaanse wetshandhavers kijken strikt vanuit een Amerikaans perspectief. Veel mag, als het maar geen betrekking op Amerikanen heeft. Informatie van een Europeaan of een Europeaans bedrijf is ‘vogelvrij’. Als u een Bring your own Device (BYOD) policy heeft of u heeft Apple spulletjes in uw end-user-computing catalogus, kan het zomaar zijn dat bedrijfsgevoelige informatie nu opeens onbewust en onbedoeld wordt toegevoegd aan het mijnenveld van data mining door grote buitenlandse bedrijven.

Conclusie:

Je privacy opgeven kan, maar dat moet dan wel bewust gebeuren. Het gemak waarmee Apple weer een stap de verkeerde richting op zet Het wordt tijd voor een geloofwaardige Europese hard- en software industrie die beter aansluit bij ‘ons’ gevoel van privacy. Voor een aantal ‘cloud diensten’ zit hier ondertussen bescheiden schot in, maar voor de particulier of éénpitter is dat nog geen optie. Zolang die er niet is: ik ga toch maar eens goed nadenken of ik dit soort features niet uitzet.

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.