Zo kies je een veilige samenwerkingstool volgens de NSA

Voor wie door de bomen het bos niet meer ziet, publiceert de NSA een handige gids waarmee je bestaande samenwerkingsoplossingen kan beoordelen op veiligheid en privacy. De Nederlandse Autoriteit Persoonsgegevens ging de Amerikanen al voor.

Welke samenwerkings- en videoconferencingtools zijn veilig en respecteren de privacy, en welke niet? De Amerikaanse NSA, wereldwijd gekend van spionageschandalen het net niet respecteren van de privacy van burgers, publiceert zonder enige zicht van ironie een lijst die je moet helpen bij het maken van de selectie. Hoewel die lijst afkomstig is van misschien wel de minst betrouwbare bron inzake gegevensbescherming, vind je er toch een handig overzicht.

Criteria

De dienst richt zich in eerste instantie op de eigen overheid, maar de aanbevelingen zijn breder bruikbaar. Dat komt omdat de NSA enkele goede criteria gebruikt voor de beoordeling van verschillende diensten. Het gaat om volgende aandachtspunten:

  • Ondersteunt de dienst end-to-end-encryptie?
  • Is de gebruikte standaard daarvoor sterk genoeg?
  • Is meerfactorauthenticatie beschikbaar?
  • Kunnen gebruikers zien en controleren wie er aan sessies deelneemt?
  • Deelt de maker van een tool data met derden?
  • Kan je gegevens veilig verwijderen van de gebruikte dienst?
  • Is de broncode voor de tool publiek beschikbaar (opensource)?

De NSA evalueert dertien verschillende oplossingen aan de hand van die criteria, waaronder Zoom, Webex, Teams, Slack, WhatsApp, Signal en Meet. In onderstaand overzicht zie je meteen hoe ze scoren tegen de criteria, alsook welke functionaliteit ze bevatten. De letters betekenen daarbij hetvolgende: (a) text chat, (b) voice conferencing, (c) video conferencing, (d) file sharing, (e) screen sharing.

De beoordeling van de NSA vind je ook hier terug.

De NSA stelt bij de evaluatie dezelfde vragen die je ook als bedrijf dient te stellen. Dat maakt het overzicht ondanks de reputatie van de NSA waardevol. Zoek je een gelijkaardige analyse dichter bij huis, dan kan je terecht bij onze noorderburen. De Autoriteit Persoonsgegevens van Nederland publiceerde eerder al een uitgebreid overzicht van dertien oplossingen met databescherming in het achterhoofd. Het Nederlandse overzicht is iets uitgebreider in zijn criteria, en focust ook op de plaats waar data effectief verwerkt wordt. Je vindt het overzicht hier.

Ons land publiceerde vooralsnog niets, wat betekent dat een buitenlandse spionagedienst momenteel meer praktische informatie biedt over veilig en privacyvriendelijk samenwerken dan de bevoegde instantie in België.