Tips van Bits of Freedom voor veilige communicatie met cliënten

Digitale communicatie is ook voor advocaten gemeengoed. Ondanks dat wij een van de weinige beroepsgroepen zijn die nog met regelmaat de fax gebruiken, zijn ook binnen de balie communicatiemiddelen als e-mail, whatsapp en skype gemeengoed geworden. Maar hoe veilig is het allemaal?

Door Tomasz Kodrzycki en Annemarie Roukema

Er wordt veel gezegd en geschreven over zaken als hacken, tappen, phishen en DDoS-aanvallen. Door whizzkids op zolderkamers, maar ook door de overheid of anderen die bij die informatie niets te zoeken hebben. Wordt de soep niet zo heet gegeten of moeten we ons echt zorgen maken over onze informatie? We vroegen het aan Ton Siedsma van Bits Of Freedom, ‘s lands bekendste belangenorganisatie voor privacy en vrijheid op het internet.

secure_communicatie

Wat is Bits of Freedom?
‘Bits of Freedom is een digitale burgerrechtenorganisatie die opkomt voor digitale burgerrechten en dan in het bijzonder voor privacy en vrijheid van meningsuiting op het internet. Dat doen we door middel van creëeren van bewustwording, beleidsbeïnvloeding en het bieden van manieren om jezelf beter te beveiligen.’

Wat verstaan jullie onder ‘veilig’ communiceren?
‘Veilig communiceren is met elkaar kunnen communiceren zonder dat overheden, bedrijven of personen die niets met die communicatie te maken hebben, mee kunnen kijken. Daarbij is het problematisch dat nogal veel bedrijven, overheden, maar ook criminelen, dat wél willen. En dat ook kunnen, als je ze de kans geeft.’

En hoe zit het dan met de geheimhouding die wij aan iedereen die daarom vraagt verplicht zijn te garanderen?
‘Tja. Gebruik maken van externe partijen voor je communicatie betekent dat er altijd iemand tussen jou en je cliënt zit. Het betekent ook dat vrij eenvoudig te achterhalen is wanneer je contact hebt met je cliënten en op welke plek. Voor advocaten kan het erg belangrijk zijn om dat te kunnen verhullen. Ook versleuteling van communicatie is daarbij belangrijk. Er zijn wel mogelijkheden om informatie te versleutelen.’

Dat versleutelen, daar hebben Apple en de FBI tegenwoordig ruzie over. Hoe kijken jullie naar het – door overheden gedwongen – beperken van versleuteling door IT bedrijven?
‘Het is een ontwikkeling in een groter geheel. Overheden zien de versleuteling van communicatie en informatie als een probleem, omdat ze toegang willen kunnen hebben tot die communicatie. Tegelijkertijd werkt techniek niet zoals overheden dat willen. Dat zie je terug in de FBI-Apple discussie. De FBI wil dat Apple helpt om de beveiliging te omzeilen voor een iPhone. Op zich zou je denken: één iPhone voor de FBI; nou en? Maar het gaat om meer dan die ene telefoon. Apple wordt gevraagd iets te ontwikkelen waardoor ook andere iPhones onveiliger worden. Want het werkt zo dat één iPhone onveiliger maken, betekent dat álle iPhones onveiliger kunnen worden. En daar kunnen partijen met geen goeds in de zin – waaronder misschien ook wel bepaalde overheden – dan eventueel ook gebruik van maken.’

Hoe zit dat in Nederland?
‘Het standpunt van de Nederlandse regering is dat encryptie niet verzwakt moet worden. Maar dat is niet de enige manier om encryptie te kunnen omzeilen. Je kunt ook gebruik maken van zwakheden in software waarmee je de versleuteling van communicatie kunt omzeilen. Er is nu een wetsvoorstel in Nederland dat opsporingsdiensten de bevoegdheid zou geven in te breken op computers en andere apparaten, zoals iPads en smartphones, maar ook in auto’s of zelfs pacemakers. Vervolgens kunnen gegevens worden overgenomen of verwijderd, microfoons geactiveerd worden, webcams aan worden gezet en GPS geactiveerd worden. We zijn ons er niet altijd even van bewust, maar met internet verbonden computers zijn nagenoeg overal. En als iets met internet is verbonden, kan erop ingebroken worden.

Als de politie wil kunnen hacken, dan moet ze gebruik maken van zwakheden in software. En die zwakheden zitten niet alleen in de telefoon van een verdachte, maar in al die telefoons. Dus de politie heeft belang bij het bestaan van die zwakheden, in plaats van het dichten van die zwakheden. Dat staat haaks op het verbeteren van de (digitale) veiligheid van de Nederlandse burger. Een andere uiting van deze angst geen toegang tot informatie te hebben, was het wetsvoorstel tot invoering van een decryptiebevel, waarbij verdachten gedwongen zouden kunnen worden wachtwoorden van versleutelde gegevens af te geven. Gelukkig heeft dat het niet gehaald.’

In hoeverre is elektronisch communiceren in deze tijd te verenigen met privacy-regels, maar vooral ook met ons beroepsgeheim?
‘Als je écht vertrouwelijk wil communiceren met je cliënt, dan is dat uiteindelijk het beste om dat te doen zonder het gebruik van elektronische middelen. Het aloude briefgeheim zoals dat in de Grondwet staat is ineens weer erg actueel. Juist advocaten moeten zich bewust zijn van het feit dat hun communicatie makkelijk door commerciële partijen bekeken worden als zij gebruik maken van externe diensten. Gebruik je WhatsApp, Gmail of Snapchat? Of werk je in de cloud van iemand anders? Dan moet je er vanuit gaan dat die informatie wordt gefilterd en geanalyseerd. Daar ben je immers mee akkoord gegaan toen je de voorwaarden accepteerde. En dat is natuurlijk niet zo best voor de vertrouwelijkheid van communicatie. Dat is dan ook de reden waarom de Autoriteit Persoonsgegevens heeft gezegd: gebruik dit soort diensten niet in de zorg. Maar dat gaat voor advocaten net zo goed op natuurlijk. Dat is des te belangrijker als je bedenkt dat een groot deel van die communicatie in handen is van bedrijven uit de Verenigde Staten die onder het bereik van de Amerikaanse geheime diensten vallen. Dat is een groot privacyrisico – en onder meer om die reden heeft het Europese Hof van Justitie dan ook recent geoordeeld, in de zaak Safe Harbor (C-362/14, redactie), dat de Verenigde Staten niet de bescherming aan Unieburgers kan bieden in dit opzicht, die het Unierecht hen wel biedt.’

Op dit moment zijn er aardig wat advocatenkantoren die innoveren, of beter: moderniseren, op dit gebied. Wat zijn nu de meest in het oog springende do’s en don’ts?
‘Ga niet over één nacht ijs omdat het zo mooi lijkt of zo mooi eruit ziet. Denk na over veiligheid. Wat doe je als je gehackt zou worden? Hoe bescherm je communicatie met of informatie van je cliënt? Een simpel maar erg belangrijk voorbeeld: gebruik geen openbare wifinetwerken om onversleuteld te communiceren met cliënten. Voor alle anderen die ook op dat netwerk zijn ingelogd, heb je eigenlijk de deur naar je bestanden en emails daarmee op een kier gezet. Dus: beveilig je systemen, je gegevens én je communicatie. Implementeer manieren waarop je zo anoniem mogelijk kunt communiceren, bijvoorbeeld door relatief eenvoudige oplossingen als Pretty Good Privacy of PGP software. Tot slot: wat zijn de alternatieven? Als een system een keer niet werkt, of de cloudaanbieder stopt ermee, dan moeten er alternatieven zijn. Een backup. Eigenlijk: doe alles zelf wat je ook je cliënten zou adviseren om zichzelf te beschermen. En dan nog een stapje extra. Misschien is die fax helemaal zo gek nog niet.’