Ga naar content
Google-account
Google-account
Dr. Wieland Holfelder heads the Google Safety Engineering Center in Munich

"Gegevensbeveiliging hoeft niet ingewikkeld te zijn."

Sinds 2019 richt Google zich in het Google Safety Engineering Center (GSEC) in München op gegevensprivacy en -beveiliging op het internet. Site Lead Wieland Holfelder bespreekt de nieuwste ontwikkelingen bij GSEC, de werkwijze van zijn team en de positie van München als centrum van digitale uitmuntendheid.

Delen

Dr. Holfelder, het Google Safety Engineering Center, of GSEC, werd in 2019 geopend in München. Wat vindt er in dit centrum plaats?

GSEC is het wereldwijde centrum voor privacy- en beveiligingstechniek van Google. We ontwikkelen hier nieuwe producten, achterhalen wat gebruikers nodig hebben, delen onze kennis en werken samen met onze partners om de beveiliging en veiligheid van internet te verbeteren.

Privacy en beveiliging van gegevens zijn erg belangrijk in Duitsland. Hoe belangrijk was dit bij de oprichting van het Google Safety Engineering Center hier?

Toen ik 12 jaar geleden het kantoor van Google in München opzette, werd al snel duidelijk dat gegevensbescherming een heel belangrijk punt is voor onze gebruikers in Duitsland. Daarom hebben we als eerste speciale ontwikkelingsteams aangesteld voor gegevensbescherming en -beveiliging. Na 10 jaar waarin we deze teams in München te hebben vormgegeven, wilden we de scope verbreden en de dialoog aangaan. De oprichting van het GSEC in München was dus een logische stap. Hier spelen deze onderwerpen een hoofdrol. We hebben ervoor gezorgd dat al onze producten voldoen aan de vereisten van de Europese Algemene verordening gegevensbescherming (AVG). Deze kennis en bewustwording verspreiden we verder naar andere landen. Gegevensprivacy en -beveiliging krijgen wereldwijd steeds meer aandacht.

GSEC is een internationale werkplek met medewerkers uit meer dan 40 verschillende landen.

Omdat we met internationale producten werken, hebben we verschillende perspectieven nodig. Dit kan alleen wanneer onze medewerkers een zo goed mogelijke afspiegeling zijn van de gebruikers. Maar we zijn nog lang niet waar we willen zijn en ons doel is om meer diverse teams op te zetten. We zouden bijvoorbeeld veel meer vrouwen in onze ontwikkelingsteams willen hebben.

Hoe ziet een normale dag bij GSEC eruit?

We hebben meer dan 200 privacytechnici die elke dag werken aan Google-producten zoals het Google-account en de Google Chrome-browser. We organiseren ook workshops voor geïnteresseerden, zoals beveiligingstrainingen en evenementen zoals Differential Privacy Codelabs. Ik vind dit met name belangrijk omdat het landschap snel verandert en we meer informatie willen bieden over internetbeveiliging.

Google Safety Engineering Center

Een mission statement in München: een kijkje in het Google Safety Engineering Center

Wat doen jullie met betrekking tot dingen die internetgebruikers dagelijks tegenkomen?

Als je Google-producten gebruikt, kun je je bijvoorbeeld afvragen wat voor gegevens worden gebruikt voor personalisatie, zoals voor betere zoekresultaten. Je Google-account geeft je een overzicht van de activiteitsgegevens die worden gebruikt voor dergelijke persoonlijke informatie. Je kunt je Google-account ook zo instellen dat deze gegevensverzameling wel of niet doorgaat. Voor dit doel hebben we de Privacycheck ontwikkeld, waarmee je snel je privacyvoorkeuren kunt instellen in je Google-account. Voor Chrome en Android hebben we Wachtwoordmanager ontwikkeld. Deze tool maakt en bewaart op verzoek automatisch een wachtwoord voor elke website en app die je gebruikt. Gebruikers kunnen ook Wachtwoordcheck gebruiken om hun wachtwoorden te analyseren op beveiligingsproblemen. Ze zien dan binnen enkele seconden of een van hun wachtwoorden is gecompromitteerd bij een gegevensdiefstal en krijgen instructies om deze wachtwoorden te wijzigen. Ik ben vooral trots op het werk dat GSEC heeft gedaan aan deze tools voor wachtwoordbeveiliging.

Kunt u uitleggen waarom?

Wachtwoordmanager kan niet worden misleid door phishingwebsites en je kunt voor elke website een nieuw, sterk wachtwoord maken zonder dat je het zelf hoeft te onthouden. Zo kunnen hackers geen wachtwoorden raden en voorkom je dat je hetzelfde wachtwoord op meerdere sites gebruikt.

Waarom is dat een probleem?

Stel dat ik bloemen voor mijn vrouw bestel op een website en voor mijn klantaccount op die site snel een wachtwoord invoer dat ik ook al ergens anders gebruik. Als hackers toegang krijgen tot de server van de bloemenwinkel en dit wachtwoord in handen krijgen, kunnen ze achterhalen of ze met hetzelfde wachtwoord ook toegang krijgen tot mijn e-mailaccount of mijn Google-account. Bovendien kunnen ze nieuwe wachtwoorden maken voor andere accounts die ik gebruik. Wachtwoordmanager zorgt dat je online beveiligd blijft door automatisch sterke en unieke wachtwoorden te genereren voor elke site.

Wieland Holfelder in front of the Google office in Munich

"Omdat we met internationale producten werkt, hebben we verschillende perspectieven nodig."

Wieland Holfelder

Vice President of Engineering bij Google en Site Lead

Zijn er nog veiligere maatregelen die we kunnen gebruiken?

Ja, je kunt voor je Google-account ook tweefactorauthenticatie gebruiken. Hiermee moet je elke keer dat je op een nieuw apparaat inlogt op je account een code gebruiken die we je per telefoon sturen.

Hoe ontwikkelen jullie dit soort nieuwe producten bij GSEC?

We nodigen mensen bijvoorbeeld uit om naar ons User Experience Research Lab te komen of om deel te nemen aan online interviews. Dit geeft ons veel informatie over hoe ze internet gebruiken of dingen zoeken. We krijgen dan inzicht in welke tools en hulp ze over het algemeen nodig hebben om weloverwogen beslissingen te nemen over hun privacyvoorkeuren. We stellen mensen vragen zoals: 'Kun je ons vertellen hoe je de Chrome-browser gebruikt met verschillende gezinsleden?' en we vragen ze om onze producten te gebruiken, zodat we kunnen evalueren hoe ze daarop reageren. Deze inzichten zijn erg belangrijk, want ze helpen ons te begrijpen of onze informatie op de juiste plek staat en of de interface en knoppen nuttig zijn. Zo zorgen we dat onze producten aansluiten op de behoeften van onze gebruikers. Onze filosofie is dat je geen beveiligingsexpert hoeft te zijn om je veilig te voelen op het web. Deze omstandigheden en het feit dat mensen binnen deze context heel verschillende behoeften hebben, blijven ons werk in de toekomst bepalen.

U werkt er onder andere aan om cookies van derden overbodig te maken. Wat zijn cookies?

Cookies bestaan al net zo lang als het internet. Het zijn kleine bestanden die websiteproviders gebruiken om informatie lokaal op een computer op te slaan. Cookies spelen nog steeds een belangrijke rol op. First-party cookies worden bijvoorbeeld gebruikt om je ingelogd te houden op een online account of om winkelwagens te laten werken op e-commercewebsites. Er zijn ook cookies van derden op basis waarvan relevante advertenties kunnen worden getoond. Cookies van derden kunnen namelijk ook registreren dat je online naar een bepaald product hebt gezocht. Een cookie kan dus registreren dat je op de ene site naar een rugzak zoekt en je vervolgens op een andere site een advertentie voor een vergelijkbare rugzak tonen.

Waarom is dat?

Het internet is een open en grotendeels kosteloos platform. Website-aanbiedingen worden voornamelijk gefinancierd door advertenties en hoe relevanter de advertenties zijn, hoe beter dit is voor gebruikers en providers.

Met cookies van derden kan de online activiteit van gebruikers worden bijgehouden. U werkt op dit moment aan manieren om dit in de toekomst te voorkomen. Klopt dat?

Ja, we ontwikkelen op dit moment de Privacy Sandbox, zodat adverteerders ons in de toekomst niet meer kunnen identificeren via cookies. De internetcommunity is er zich steeds meer van bewust dat cookies van derden niet voldeden aan de verwachtingen van gebruikers. Gebruikers eisen meer privacy, waaronder transparantie, keuze en controle over hoe hun gegevens worden gebruikt. Het is duidelijk dat het web-ecosysteem moet evolueren om aan deze eisen te voldoen. Als we cross-site tracking willen beëindigen, moeten we afstappen van cookies van derden en andere verborgen technieken zoals browser-fingerprinting. Maar in de afgelopen ruim 30 jaar zijn veel belangrijke webfuncties ook afhankelijk geworden van deze technieken. We willen niet dat het web belangrijke mogelijkheden verliest, zoals uitgevers de kans geven hun bedrijf te laten groeien en het web duurzaam te houden, universele toegang tot content te waarborgen, de beste ervaringen te bieden voor mensen op hun individuele apparaten en echte gebruikers te onderscheiden van bots en fraudeurs. Ons doel voor het open source-initiatief Privacy Sandbox is om het web voor gebruikers meer privé en veiliger te maken en tegelijkertijd uitgevers te ondersteunen.

Hoe lost Google het probleem op?

Als onderdeel van het Privacy Sandbox-initiatief werken we met de webcommunity samen aan nieuwe technologie die gebruikersinformatie privé houdt en invasieve trackingtechnieken, zoals fingerprinting, voorkomt. Tegelijkertijd bieden we sites een manier om nuttige advertenties te tonen en hun bedrijf te financieren. Eerder dit jaar hebben we een preview gedaan van de Topics API, een nieuw voorstel voor de Privacy Sandbox voor op interesses gebaseerd adverteren dat FLoC vervangt op basis van feedback van toezichthouders, privacyvoorvechters en ontwikkelaars. Hiermee kunnen adverteerders relevante advertenties tonen aan mensen op basis van hun interesses zoals Sport, bijvoorbeeld, afgeleid van de websites die ze bezoeken. En dat allemaal op de meest privacyveilige manier voor gebruikers. Cookies werden in het verleden gebruikt om gebruikers te identificeren, maar het idee achter de Topics API is dat je persoonlijke browsegeschiedenis je browser of apparaat niet verlaat en met niemand wordt gedeeld, ook niet met adverteerders. Dit betekent dat adverteerders relevante advertenties en content kunnen blijven weergeven zonder tracking op het web.

We boeken ook goede vooruitgang met andere voorstellen voor de Privacy Sandbox, waaronder FLEDGE en meet-API's. Daarnaast blijven we samenwerken met de Britse Competition and Markets Authority (CMA) om te zorgen dat onze voorstellen worden ontwikkeld op een manier die werkt voor het hele ecosysteem.

München is de afgelopen jaren een populaire locatie geworden voor digitale start-ups en andere technologiebedrijven. Hoe ervaart u dit als Site Lead van Google München?

Er gebeurt momenteel ontzettend veel in München. Apple, Amazon en Google investeren hier en breiden hun activiteiten uit, net als andere fantastische bedrijven zoals Celonis, een unicornbedrijf dat services voor gegevensanalyse biedt. Er zijn hier meer B2B-bedrijven gevestigd dan elders, omdat er in de regio zoveel andere sterke techbedrijven zijn. We hebben ook uitstekende universiteiten zoals de LMU en de TUM die lokale ondernemerschapscentra runnen. En daarnaast biedt de Beierse deelstaatregering aan bedrijven ongekend veel ondersteuning met het actieplan High-Tech Agenda. We zien bijvoorbeeld enorme investeringen in AI en quantumcomputing, wat geweldig is. Naast een lange regionale traditie en expertise op het gebied van engineering en technologie, zorgen de sterke economische positie, goede politieke steun, uitstekende onderwijsinstellingen en hoge levenskwaliteit voor een winnende combinatie die München zo'n geweldige locatie maakt.

GSEC

GSEC opende 2 jaar geleden de deuren in de Beierse hoofdstad.

Momenteel worden er nieuwe kantoren van Google in München gebouwd. Heeft de coronapandemie uw plannen veranderd?

Vóór de pandemie brachten we het grootste deel van onze tijd door op kantoor, waar we veel cafés, vergaderruimten en restaurants hebben waar werknemers elkaar kunnen ontmoeten en samen kunnen werken. Deze manier van werken is tijdens de pandemie natuurlijk behoorlijk veranderd. We verwerken nu veel van wat we het afgelopen jaar hebben geleerd in de planning van ons nieuwe en spannende Arnulfpost-project.

Is het mogelijk om dezelfde sfeer te creëren als medewerkers op afstand werken?

Ons bedrijf is geboren in de cloud, ontwikkeld in de cloud en we leven allemaal in de cloud. Daarom proberen we medewerkers te stimuleren om online met elkaar contact te hebben tijdens ontbijtvergaderingen of open videovergaderingen. Maar we geloven dat we niet voor altijd kunnen teren op het sociale kapitaal dat we in de loop der jaren hebben opgebouwd. We hebben veel mensen aangenomen die nog nooit op ons kantoor zijn geweest. Het is voor alle managers een uitdaging om iedereen mee te krijgen.

Wat betekent dit voor de manier waarop in de toekomst wordt gewerkt bij GSEC in München?

We geloven sterk in het belang van mensen samenbrengen op het werk om de serendipiteit te creëren die nodig is om met nieuwe innovatieve ideeën te komen. Daarom gaan we niet 100% virtueel. Maar we hebben ons wel afgevraagd of iedereen een vaste werkplek nodig heeft. Onze verkoopteams kunnen al flexibel werken. Veel ontwikkelingstools van onze technici worden naar de cloud verplaatst. In de toekomst kan elk team zelf bepalen hoeveel flexibele en hoeveel vaste werkplekken het wil behouden. En misschien hebben we in plaats van vaste werkplekken meer creatieve ruimtes nodig om te brainstormen, met camera's, projectoren en elektronische whiteboards.

.

Foto's: Sima Dehgani

Terug naar bovenkant van pagina