"Gegevensbeveiliging hoeft niet ingewikkeld te zijn."
Sinds 2019 richt Google zich in het Google Safety Engineering Center (GSEC) in München op gegevensprivacy en -beveiliging op internet. Site Lead Wieland Holfelder bespreekt de laatste ontwikkelingen bij het GSEC, de werkmethodes van zijn team en de positie van München als centrum van digitale excellentie.
Dr. Holfelder, het Google Safety Engineering Center, of kortweg het GSEC, werd in 2019 in München geopend. Wat gebeurt er in het centrum?
Het GSEC is het wereldwijde centrum voor privacy- en beveiligingstechniek van Google. Dit is de plek waar we nieuwe producten ontwikkelen, gebruikersbehoeften in kaart brengen, onze kennis delen en samenwerken met onze partners aan een betere internetbeveiliging.
Gegevensprivacy en -beveiliging zijn erg belangrijk in Duitsland. Hoe belangrijk was die lokale traditie bij het opzetten van het Google Safety Engineering Center hier in München?
Twaalf jaar geleden, toen ik bezig was met het opzetten van het Google-kantoor in München, werd al snel duidelijk dat gegevensbescherming erg belangrijk was voor onze gebruikers in Duitsland. Toen het om gegevensbescherming en -beveiliging ging, was het eerste dat we deden speciale ontwikkelingsteams opzetten. Nadat deze teams in München zich tien jaar lang hadden ontwikkeld, wilden we de doelstelling verbreden en ons openstellen voor dialoog. Daarom was het logisch om het GSEC in München op te zetten, waar men zich intensief bezighoudt met deze kwesties. We hebben ervoor gezorgd dat al onze producten voldoen aan de vereisten van de Europese Algemene Verordening Gegevensbescherming (AVG). Deze kennis en bewustwording breiden zich uit naar andere landen. Nu is het zo dat er wereldwijd steeds meer aandacht is voor gegevensprivacy en -beveiliging.
Het GSEC is een zeer internationale werkplek met medewerkers uit meer dan 40 verschillende landen.
Omdat we met internationale producten werken, moeten we verschillende perspectieven hanteren. Dit is mogelijk als ons personeel zo representatief mogelijk is voor de gebruikers. We zijn echter nog lang niet waar we willen zijn en streven ernaar om zo divers mogelijke teams samen te stellen. Zo zouden we bijvoorbeeld graag veel meer vrouwen in onze ontwikkelingsteams hebben.
Hoe ziet een normale dag bij GSEC eruit?
Dagelijks werken er meer dan 200 privacy-engineers aan Google-producten zoals het Google-account en de Google Chrome-browser. We organiseren ook workshops voor geïnteresseerden, waaronder veiligheidstraining, en evenementen zoals Differential Privacy Codelabs. Voor mij is dat ontzettend belangrijk omdat het landschap snel verandert en we meer informatie willen aanreiken over het thema Internetbeveiliging.
Wat voor dingen doen jullie hier die internetgebruikers dagelijks zouden kunnen tegenkomen?
Als je Google-producten gebruikt, heb je je misschien wel eens afgevraagd welke gegevens er voor personalisering worden gebruikt om bijvoorbeeld betere zoekresultaten aan te bieden. Het Google-account geeft je een overzicht van de activiteitsgegevens die voor zulke persoonlijke informatie worden gebruikt. Je kunt je Google-account ook instellen om aan te geven of je wel of niet wilt dat deze gegevensverzameling blijft doorgaan. Voor dit doel hebben we Privacycheck ontwikkeld, waarmee je snel je privacyvoorkeuren in je Google-account kunt instellen. Voor Chrome en Android hebben we de Wachtwoordmanager ontwikkeld, die op verzoek automatisch een wachtwoord aanmaakt en opslaat voor elke website en app die je gebruikt. Gebruikers kunnen ook de Wachtwoordcheckgebruiken om hun wachtwoorden te analyseren op beveiligingsrisico's. Binnen enkele seconden kunnen ze zien of hun wachtwoorden zijn gehackt bij een datadiefstal en krijgen ze instructies voor het wijzigen van deze wachtwoorden. Ik ben bijzonder trots op het werk dat het GSEC heeft gedaan voor deze wachtwoordbeveiligingstools.
Kun je uitleggen waarom?
Password Manager kan niet door phishing-websites worden misleid en je kunt voor elke website een nieuw, sterk wachtwoord maken zonder dat je ze zelf hoeft te onthouden. Dit voorkomt dat hackers wachtwoorden kunnen raden - en dat je hetzelfde wachtwoord op meerdere sites gebruikt.
Waarom zou dat een probleem zijn?
Bijvoorbeeld: ik bestel bloemen voor mijn vrouw op een website en voor mijn klantenaccount op die site voer ik in mijn haast een wachtwoord in dat ik ook voor een andere site gebruik. Als hackers toegang krijgen tot de server van de bloemenwinkel en dit wachtwoord in handen krijgen, komen ze er ook snel achter of mijn e-mailaccount of mijn Google-account met datzelfde wachtwoord toegankelijk is. Sterker nog, ze kunnen dan nieuwe wachtwoorden aanmaken voor andere accounts die ik gebruik. Password Manager zorgt ervoor dat je online veiliger blijft door voor elke site automatisch sterke en unieke wachtwoorden te genereren.
“Omdat we met internationale producten werken, moeten we verschillende perspectieven hanteren.”
Wieland Holfelder, Vicepresident Techniek bij Google en Site Lead
Zijn er nog veiligere methoden die kunnen worden toegepast?
Ja, u kunt ook tweeledige verificatie gebruiken als u een Google-account hebt. Dat betekent dat u telkens wanneer u zich op een nieuw apparaat bij uw account aanmeldt, een code moet gebruiken die we naar uw telefoon sturen.
Hoe ontwikkelt GSEC dergelijke nieuwe producten precies?
We nodigen bijvoorbeeld mensen uit om naar ons 'User Experience Research Lab' te komen of om online-interviews bij te wonen, zodat we te weten komen hoe zij het internet gebruiken of hoe ze zoekopdrachten uitvoeren. Dat geeft ons inzicht in de tools en hulp die ze over het algemeen nodig hebben om doordachte beslissingen te nemen over hun privacyvoorkeuren. We stellen mensen vragen als: "Kunt u ons vertellen hoe u de Chrome-browser gebruikt met verschillende gezinsleden?", en we vragen hun om onze producten te gebruiken, zodat we hun gebruikerservaring kunnen evalueren. Die kennis is erg belangrijk, omdat we hierdoor te weten komen of onze informatie op de juiste plaats staat en of de interface en knoppen al dan niet nuttig zijn. Zo kunnen we ervoor zorgen dat onze producten aansluiten bij de behoeften van onze gebruikers. Onze filosofie is dat je geen beveiligingsexpert hoeft te zijn om je veilig te voelen op het web. Die voorwaarden, en het feit dat de behoeften in deze context zeer verschillend zijn, blijven de leidraad voor ons werk in de toekomst.
U werkt momenteel onder andere aan het overbodig maken van cookies van derden. Wat zijn cookies?
Cookies bestaan al zo lang als het internet. Het zijn kleine bestanden die door websites worden gebruikt om lokaal informatie op een computer op te slaan. Cookies spelen nog steeds een belangrijke rol op het internet. Zo worden eigen cookies gebruikt om u aangemeld te houden op een account of voor winkelwagentjes op e-commercesites. Er zijn ook cookies van derden, die het mogelijk maken om relevante reclame te tonen. Cookies van derden kunnen ook registreren dat u online naar een bepaald product hebt gezocht. Zo kan een cookie registreren dat u op de ene site op zoek bent naar een rugzak, en u vervolgens reclame voor een gelijkaardige rugzak van een andere site tonen.
Waarom is dat zo?
Het internet is een open en overwegend gratis platform. Het aanbod op websites wordt voornamelijk door reclame gefinancierd, en hoe relevanter de reclame, hoe beter voor gebruikers en adverteerders.
Cookies van derden maken het mogelijk om te volgen wat gebruikers online doen. U werkt momenteel aan manieren om dat in de toekomst te stoppen. Klopt dat?
Ja, we ontwikkelen momenteel de 'Privacy Sandbox', zodat adverteerders in de toekomst niet langer in staat zullen zijn om mij via mijn cookies te identificeren. Er is een breder besef ontstaan in de internetgemeenschap dat cookies van derden niet aan de verwachtingen van gebruikers voldoen. Gebruikers willen meer privacy en transparantie, keuze en controle over hoe hun gegevens worden gebruikt. Het is duidelijk dat het ecosysteem van het web moet worden aangepast om aan die vereisten te voldoen. Om een einde te maken aan het volgen van gebruikers op verschillende websites moet het internet afstappen van cookies van derden en andere verdoken technieken, zoals browser fingerprinting. De voorbije 30 jaar zijn veel belangrijke webfuncties die technieken echter ook gaan gebruiken. We willen niet dat het internet essentiële mogelijkheden verliest. Bedrijven moeten kunnen groeien, het internet moet duurzaam blijven, er moet universele toegang tot informatie zijn, mensen moeten een optimale ervaring krijgen op hun individuele apparaten, we moeten echte gebruikers onderscheiden van bots en oplichters enz. Het is de bedoeling om met Privacy Sandbox, ons opensource-initiatief, de privacy en veiligheid online te verbeteren en al wie informatie online plaatst, te ondersteunen.
Hoe lost Google het probleem op?
Als onderdeel van het Privacy Sandbox-initiatief, werken we samen met de internetgemeenschap aan de ontwikkeling van nieuwe technologie die gebruikersinformatie privé houdt en invasieve trackingtechnieken, zoals vingerafdrukken, vermijdt, maar die sites tegelijkertijd wel een manier biedt om nuttige advertenties aan te bieden en hun bedrijf te financieren. Eerder dit jaar hebben we een voorproefje gedaan van de Topics API, een nieuw Privacy Sandbox-voorstel voor op interesses gebaseerde reclame dat FloC moet vervangen. Het is gebaseerd op feedback van regelgevers privacyvoorvechters, en ontwikkelaars. Het stelt adverteerders in staat om relevante advertenties te tonen aan personen, gebaseerd op hun interesses, bijv. ‘sport’, wat wordt afgeleid uit de websites die ze bezoeken, en dat alles op de meest privacy-veilige manier voor gebruikers. In het verleden werden cookies gebruikt om gebruikers te identificeren, maar het idee achter Topics is dat je persoonlijke surfgeschiedenis je browser of apparaat niet verlaat en met niemand wordt gedeeld, inclusief adverteerders. Dit betekent dat adverteerders door kunnen gaan met het aanbieden van relevante advertenties en inhoud kunnen blijven aanbieden zonder hen over het hele internet te hoeven te volgen.
We boeken ook grote vooruitgang met andere voorstellen voor Privacy Sandbox, waaronder FLEDGE en API's voor metingen. Daarnaast blijven we samenwerken met de Britse mededingings- en marktautoriteit (CMA) om ervoor te zorgen dat onze voorstellen op een manier worden ontwikkeld die werkt voor het hele ecosysteem.
In de afgelopen jaren is München een populaire locatie geworden voor digitale start-ups en andere technologiebedrijven. Wat is je ervaring hiermee als Site Lead van Google München?
München ondergaat opmerkelijke veranderingen. Apple, Amazon en Google investeren hier allemaal en breiden hun activiteiten alhier uit, net als andere geweldige bedrijven waaronder Celonis, een unicorn-bedrijf dat diensten op het gebied van gegevensanalyse aanbiedt. Er zijn hier meer B2B-bedrijven opgericht dan elders omdat er zoveel andere sterke technologiebedrijven in de regio aanwezig zijn. We hebben ook enkele voortreffelijke universiteiten, zoals de LMU en de TUM, die lokale ondernemerscentra exploiteren. Bovendien biedt de Beierse deelstaatregering een ongeëvenaard niveau van ondersteuning met haar actieplan ‘High-Tech Agenda’. Zo zien we bijvoorbeeld dat er enorm wordt geïnvesteerd in kunstmatige intelligentie en quantumcomputing, wat echt geweldig is. Naast een aloude regionale traditie en expertise op het gebied van techniek en technologie, vormen de sterke economische positie, de goede politieke ondersteuning, de uitstekende onderwijsinstellingen en de hoge levenskwaliteit een winnende combinatie die München tot zo'n uitzonderlijke locatie maken.
Momenteel wordt er in München gebouwd aan nieuwe Google-kantoren. Heeft de coronapandemie jullie plannen veranderd?
Vóór de pandemie brachten we het grootste deel van onze tijd door op kantoor, waar we veel cafés, vergaderruimten en restaurants hebben waar medewerkers elkaar kunnen ontmoeten en ze met elkaar kunnen co-creëren. Deze manier van werken is tijdens de pandemie natuurlijk behoorlijk veranderd en nu zijn we bezig veel van wat we het afgelopen jaar geleerd hebben in de planning van ons nieuwe en uitdagende Arnulfpost-project mee te nemen.
Is het mogelijk om dezelfde sfeer te creëren met werken op afstand?
Ons bedrijf is geboren in de cloud, is geëvolueerd in de cloud en we leven allemaal in de cloud. Daarom proberen we ons personeel te stimuleren om online met elkaar te communiceren tijdens ontbijtvergaderingen of open videoconferenties. We menen echter dat we niet eeuwig kunnen putten uit het sociale kapitaal dat we in de loop der jaren hebben opgebouwd. We hebben eigenlijk best veel mensen aangenomen die nog geen voet in ons kantoor hebben gezet. Het is een uitdaging voor alle managers om elk individu met zich mee te krijgen.
Wat betekent dit voor de manier waarop in de toekomst zal worden gewerkt bij GSEC in München?
We geloven er heilig in dat het belangrijk is mensen op het werk samen te brengen om de serendipiteit te creëren die nodig is om tot nieuwe innovatieve ideeën te komen, dus we zullen nooit 100 procent virtueel worden. Maar we hebben ons wel afgevraagd of iedereen nu echt een vaste werkplek moet hebben. Onze verkoopteams kunnen nu al flexibel werken. Veel van de ontwikkelingstools van onze engineers verhuizen naar de cloud. In de toekomst mag elk team zelf bepalen hoeveel flexibele en hoeveel vaste werkplekken het wil behouden. En in plaats van vaste werkplekken hebben we misschien meer creatieve ruimtes nodig om te brainstormen, met camera's, projectoren en elektronische whiteboards.
Foto's: Sima Dehgani
Vooruitgang in cyberbeveiliging
Ontdek hoe we meer mensen online beschermen dan wie ook ter wereld.
Meer informatie