Metadata: de verborgen schatten (en risico’s) van informatie

'Head in de cloud, feet on the ground!'

Blogs

Tot de taken van SLM behoort onder meer het laten uitvoeren van Data Protection Impact Assessments (DPIA’s) op het gebruik van clouddiensten, zoals Microsoft Azure, Google Workspace en Amazon Web Services. Een DPIA brengt in kaart welke risico’s er zijn voor de privacybescherming bij het verzamelen, opslaan en verwerken van gegevens in de cloud. De cloudproviders verkrijgen deze gegevens niet alleen uit de inhoud van bestanden, zij halen ook veel informatie uit de zogenoemde metadata. Wat zijn metadata, welke risico’s brengen zij met zich mee en hoe kun je deze inperken?

Wat zijn metadata?
Metadata (soms ook diagnostische data of telemetriegegevens genaamd) zijn, in een notendop, gegevens over gegevens. Denk bijvoorbeeld aan informatie over de gebruikte apparatuur, de locatie, de verbinding, etc. In het geval van bijvoorbeeld e-mail bestaan de metadata onder meer uit de namen en e-mailadressen van de afzender en ontvanger, informatie over de apparatuur die voor de gegevensoverdracht wordt gebruikt, de datum en tijdzone van verzending en ontvangst en het onderwerp van de e-mail.

De metadata van een tekstverwerker kunnen onder meer bestaan uit de naam en initialen van de auteur, de bedrijfsnaam, de computernaam, de schijf of netwerkserver waarop het bestand ligt opgeslagen, bestandseigenschappen, revisies, verborgen tekst, verwijderde opmerkingen en nog veel meer. Bijna elk digitaal bestand beschikt over metadata. Een afbeelding beschikt bijvoorbeeld over metadata met de camera-instellingen, de naam van de fotograaf, de witbalans en zelfs de fabrikant van de cameralens.

Wat is het nut van metadata?
Gegevens betekenen weinig zonder de juiste context. Dat geldt ook voor bijvoorbeeld een nieuwsbericht. Als dit alleen zou bestaan uit losse termen zoals ‘persoon’, ‘koffer’ en ‘plein’ begrijp je er niets van zonder de ‘vijf w’s van de journalistiek’: wat, waar, wanneer, wie en waarom (of hoe). Gegevens krijgen pas betekenis als je weet wie ze creëerde en waarom, hoe ze verstuurd werden en waar vandaan, wanneer ze zijn gemaakt en voor het laatst zijn bijgewerkt, etc. Metadata geven deze en nog veel meer duiding aan gegevens.

De context van metadata maakt gegevens vindbaar, vergelijkbaar en verifieerbaar. Een goed voorbeeld hiervan zijn de metadata van webpagina’s. Zoekmachines geven vaak een hogere prioriteit aan metadata zoals de paginatitel, trefwoorden en de beschrijving dan aan de daadwerkelijke inhoud van de pagina. Metadata zijn dus handig om relevante pagina’s sneller en nauwkeuriger te vinden op internet, maar ook in databases.

Daarnaast dragen metadata bij aan een efficiënter gebruik van gegevens door de interoperabiliteit en de kwaliteit te verbeteren. Dankzij metadata kunnen je de dingen doen die je wilt doen met gegevens, zoals kosten besparen, dienstverlening verbeteren, samenwerking stimuleren en problemen doorzien.

Waar bevinden metadata zich?
Metadata zijn verborgen omdat ze (voornamelijk) gelezen worden door systemen. Het zou erg verwarrend en omslachtig zijn als er in elk bestand een groot blok stond met allerlei termen en cijfers. Je kunt metadata echter wel zichtbaar maken en zelfs bewerken. Klik in Windows Verkenner maar eens met de rechtermuisknop op een bestand en selecteer dan ‘eigenschappen’. Dat opent een venster met informatie zoals de bestandsnaam, met welk programma het kan worden geopend, wanneer het is gemaakt, wanneer het voor het laatst is geopend en gewijzigd, de bestandsgrootte, het volledige pad van de map waarin het is opgeslagen, wie het heeft gemaakt, wie de systeemeigenaar is, enzovoort. Zo zijn metadata in vrijwel alle applicaties te vinden en te bewerken via een menu-item met de naam ‘info’ of ‘eigenschappen’.

Wat zijn de risico’s van metadata?
Metagegevens vertellen niet alleen de gebruiker veel over een bestand. Ieder systeem dat het bestand transporteert, opslaat of verwerkt, kan de metadata lezen. Bedrijven halen daar waardevolle informatie uit op, zoals men vaak zegt om “de diensten te verbeteren”. In de praktijk betekent dit nog weleens “gerichte marketingacties uitvoeren”. Dit is vooral mogelijk als men uit de metadata voldoende persoonsgegevens kan halen om een identiteit te achterhalen of gebruikersprofielen op te stellen. Dat is in strijd met de regels van de Algemene Verordening Gegevensbescherming (AVG). Bovendien maken niet alle bedrijven in hun algemene voorwaarden duidelijk hoe zij omgaan met metadata.

Wanneer overheidsorganisaties online diensten gebruiken, moeten zij zich ervan bewust zijn dat de gegevens die opgeslagen worden in de cloudomgeving van de leverancier persoonlijke gegevens van en over ambtenaren kunnen bevatten. Zij lopen daarmee het risico dat persoonsgegevens gedeeld worden met cloudproviders. Dit gebeurt meestal onbewust, omdat de metadata verborgen zijn en gebruikers zich er eenvoudigweg niet van bewust zijn. Ontvangers en verwerkers van bestanden die weten waar en hoe ze moeten kijken, kunnen deze echter eenvoudig inzien. Het is daarom goed om te weten dat, en hoe, metadata gewijzigd en verwijderd kunnen worden. De meeste applicaties bieden hulpprogramma’s waarmee je de controle behoudt over welke metadata worden opgenomen in je bestanden. Zo blijft je privacy beschermd terwijl je de handige, anonieme, metadata behoudt.

Conclusie
Het niveau van de privacybescherming en gegevensbeveiliging ligt vaak onder een loep als het gaat om de inhoud van bestanden, maar wordt nog weleens over het hoofd gezien voor metadata. In de afspraken die SLM maakte met Microsoft staat beschreven wat de leverancier allemaal wel en expliciet niét mag doen met de persoonsgegevens die men verzamelt. Dat geldt voor de inhoud van bestanden, maar ook voor de metadata. SLM heeft deze afspraken vastgelegd in een amendement op de rijksbrede MBSA . Onderdelen van het Rijk kunnen, als ze de Microsoftproducten en -diensten onder de MBSA afnemen deze AVG-compliant inzetten.

Privacybeleid
Cookiebeleid

© 2024 SLM Microsoft, Google Cloud en Amazon Web Services