"Databeveiliging zou niet ingewikkeld mogen zijn.”

Sinds 2019 richt Google zich in het Google Safety Engineering Center (GSEC) in München op databescherming en gegevensbeveiliging op het internet. Site Lead Wieland Holfelder bespreekt de laatste ontwikkelingen bij GSEC, de werkmethodes van zijn team en de positie van München als digitaal expertisecentrum.

Dr. Holfelder, in 2019 opende het Google Safety Engineering Center of GSEC de deuren in München. Wat gebeurt hier precies?

GSEC is het wereldwijde centrum van Google voor privacy en beveiliging. Hier ontwikkelen we nieuwe producten, identificeren we de behoeften van gebruikers, delen we onze kennis en werken we samen met onze partners om de internetbeveiliging te verbeteren.

Gegevensbescherming en -beveiliging zijn erg belangrijk in Duitsland. Hoe belangrijk was die lokale traditie bij de keuze om het Google Safety Engineering Center hier te vestigen?

Twaalf jaar geleden, bij de opstart van het Google-kantoor in München, werd al snel duidelijk dat gegevensbescherming erg belangrijk was voor onze Duitse gebruikers. Voor gegevensbescherming en -beveiliging hebben we eerst en vooral speciale ontwikkelingsteams samengesteld. Nadat we deze tien jaar lang hadden uitgebouwd, wilden we onze reikwijdte verbreden en ons openstellen voor een nieuwe dialoog. Daarom was het zinvol om het GSEC in München te vestigen, een stad die zich sterk op deze kwesties toelegt. We hebben ervoor gezorgd dat al onze producten voldoen aan de vereisten van de Europese Algemene Verordening Gegevensbescherming (AVG). Die kennis en bewustwording verspreidt zich naar andere landen. Gegevensbescherming en -beveiliging krijgen wereldwijd steeds meer aandacht.

Zijn er zaken waarmee jullie bezig zijn, die ons dagelijkse internetgebruik beïnvloeden?

Als u Google-producten gebruikt, hebt u zich misschien al afgevraagd welke gegevens worden gebruikt voor personalisering, om bijvoorbeeld betere zoekresultaten te verkrijgen. Uw Google-account geeft u een overzicht van de activiteitsgegevens die voor een dergelijke personalisering worden gebruikt. In uw Google-account kunt u ook aangeven of u instemt met het verzamelen van die informatie of niet. Voor dat doel hebben we Privacycheck ontwikkeld, waarmee u snel de privacyvoorkeuren van uw Google-account kunt instellen. Voor Chrome en Android hebben we Password Manager ontwikkeld, waarmee op verzoek automatisch een wachtwoord wordt ingesteld en opgeslagen voor elke website en app die u gebruikt. Gebruikers kunnen ook de Password Checkup gebruiken om hun wachtwoorden te controleren op beveiligingsproblemen. Binnen een paar seconden zien ze of hun wachtwoorden gelekt zijn bij een datalek en krijgen ze instructies over hoe ze die wachtwoorden kunnen wijzigen. Ik ben bijzonder trots op het werk dat GSEC heeft verricht voor deze beveiligingstools voor wachtwoorden.

Kunt u uitleggen waarom?

Password Manager kan niet worden omzeild door phishingwebsites en u kunt voor elke website een nieuw, sterk wachtwoord aanmaken zonder dat u het hoeft te onthouden. Dat voorkomt dat hackers wachtwoorden kunnen achterhalen – en dat u hetzelfde wachtwoord op meerdere sites gebruikt.

Waarom zou dat een probleem zijn?

Stel, ik bestel bloemen voor mijn vrouw op een website en als wachtwoord kies ik snel een wachtwoord dat ik ook elders gebruik. Als hackers toegang krijgen tot de server van de bloemenwinkel en het wachtwoord te pakken krijgen, kunnen ze snel checken of ze ook toegang hebben tot mijn e-mailaccount of mijn Google-account met datzelfde wachtwoord. Bovendien kunnen ze nieuwe wachtwoorden aanmaken voor andere accounts die ik gebruik. Password Manager verzekert uw veiligheid online door automatisch sterke en unieke wachtwoorden te genereren voor elke site.

Zijn er nog veiligere methoden die kunnen worden toegepast?

Ja, u kunt ook tweeledige verificatie gebruiken als u een Google-account hebt. Dat betekent dat u telkens wanneer u zich op een nieuw apparaat bij uw account aanmeldt, een code moet gebruiken die we naar uw telefoon sturen.

Hoe ontwikkelt GSEC dergelijke nieuwe producten precies?

We nodigen bijvoorbeeld mensen uit om naar ons 'User Experience Research Lab' te komen of om online-interviews bij te wonen, zodat we te weten komen hoe zij het internet gebruiken of hoe ze zoekopdrachten uitvoeren. Dat geeft ons inzicht in de tools en hulp die ze over het algemeen nodig hebben om doordachte beslissingen te nemen over hun privacyvoorkeuren. We stellen mensen vragen als: "Kunt u ons vertellen hoe u de Chrome-browser gebruikt met verschillende gezinsleden?", en we vragen hun om onze producten te gebruiken, zodat we hun gebruikerservaring kunnen evalueren. Die kennis is erg belangrijk, omdat we hierdoor te weten komen of onze informatie op de juiste plaats staat en of de interface en knoppen al dan niet nuttig zijn. Zo kunnen we ervoor zorgen dat onze producten aansluiten bij de behoeften van onze gebruikers. Onze filosofie is dat je geen beveiligingsexpert hoeft te zijn om je veilig te voelen op het web. Die voorwaarden, en het feit dat de behoeften in deze context zeer verschillend zijn, blijven de leidraad voor ons werk in de toekomst.

U werkt momenteel onder andere aan het overbodig maken van cookies van derden. Wat zijn cookies?

Cookies bestaan al zo lang als het internet. Het zijn kleine bestanden die door websites worden gebruikt om lokaal informatie op een computer op te slaan. Cookies spelen nog steeds een belangrijke rol op het internet. Zo worden eigen cookies gebruikt om u aangemeld te houden op een account of voor winkelwagentjes op e-commercesites. Er zijn ook cookies van derden, die het mogelijk maken om relevante reclame te tonen. Cookies van derden kunnen ook registreren dat u online naar een bepaald product hebt gezocht. Zo kan een cookie registreren dat u op de ene site op zoek bent naar een rugzak, en u vervolgens reclame voor een gelijkaardige rugzak van een andere site tonen.

Waarom is dat zo?

Het internet is een open en overwegend gratis platform. Het aanbod op websites wordt voornamelijk door reclame gefinancierd, en hoe relevanter de reclame, hoe beter voor gebruikers en adverteerders.

Cookies van derden maken het mogelijk om te volgen wat gebruikers online doen. U werkt momenteel aan manieren om dat in de toekomst te stoppen. Klopt dat?

Ja, we ontwikkelen momenteel de 'Privacy Sandbox', zodat adverteerders in de toekomst niet langer in staat zullen zijn om mij via mijn cookies te identificeren. Er is een breder besef ontstaan in de internetgemeenschap dat cookies van derden niet aan de verwachtingen van gebruikers voldoen. Gebruikers willen meer privacy en transparantie, keuze en controle over hoe hun gegevens worden gebruikt. Het is duidelijk dat het ecosysteem van het web moet worden aangepast om aan die vereisten te voldoen. Om een einde te maken aan het volgen van gebruikers op verschillende websites moet het internet afstappen van cookies van derden en andere verdoken technieken, zoals browser fingerprinting. De voorbije 30 jaar zijn veel belangrijke webfuncties die technieken echter ook gaan gebruiken. We willen niet dat het internet essentiële mogelijkheden verliest. Bedrijven moeten kunnen groeien, het internet moet duurzaam blijven, er moet universele toegang tot informatie zijn, mensen moeten een optimale ervaring krijgen op hun individuele apparaten, we moeten echte gebruikers onderscheiden van bots en oplichters enz. Het is de bedoeling om met Privacy Sandbox, ons opensource-initiatief, de privacy en veiligheid online te verbeteren en al wie informatie online plaatst, te ondersteunen.

Hoe lost Google dit probleem op?

In het kader van het Privacy Sandbox-initiatief werken we samen met de internetgemeenschap aan nieuwe technologie die de privacy verzekert van de gegevens van gebruikers, en invasieve traceertechnieken zoals 'fingerprinting' vermijdt, maar websites ook een mogelijkheid biedt om relevante reclame te tonen en hun activiteiten zo te financieren. Eerder dit jaar lichtten we al een tip van de sluier van de Topics-API, een nieuw Privacy Sandbox-voorstel voor reclame op basis van interesses dat FloC vervangt op basis van feedback van regulatoren, privacygroepen en ontwikkelaars. Op die manier kunnen adverteerders relevante reclame tonen volgens de interesses van de consumenten, zoals 'sport', op basis van de websites die ze bezoeken, en tegelijk de privacy van de gebruikers verzekeren. Vroeger werden cookies gebruikt om gebruikers te identificeren, maar het idee achter Topics is dat uw persoonlijke browsegeschiedenis uw browser of apparaat niet verlaat en met niemand wordt gedeeld, ook niet met adverteerders. Dat betekent dat adverteerders relevante reclame en inhoud kunnen blijven tonen zonder mensen te traceren op het internet.

We boeken ook veel vooruitgang met andere voorstellen voor Privacy Sandbox, zoals FLEDGE en meet-API's, en we blijven samenwerken met de CMA (Competition and Markets Authority) in het Verenigd Koninkrijk om te garanderen dat de ontwikkeling van onze voorstellen werkt voor het volledige ecosysteem.

De voorbije jaren is München een populaire locatie geworden voor digitale start-ups en andere technologiebedrijven. Hoe ziet u dit als Site Lead van Google München?

München ondergaat opmerkelijke veranderingen. Apple, Amazon en Google zijn hier allemaal bezig met investeringen en uitbreidingen, net als andere fantastische bedrijven zoals Celonis, een unicornbedrijf dat data-analysediensten aanbiedt. Er worden hier meer B2B-bedrijven opgericht dan elders omdat er zo veel andere sterke technologiebedrijven in de regio aanwezig zijn. We hebben bovendien een aantal uitstekende universiteiten, zoals de LMU en de TUM, die lokale centra voor ondernemerschap aansturen. Bovendien biedt de Beierse deelstaatregering met haar actieplan 'High-Tech Agenda' een uitzonderlijk niveau van ondersteuning. Zo zien we enorme investeringen in artificiële intelligentie en quantumcomputing, en dat is geweldig nieuws. Het succes van München hangt niet alleen samen met de lange regionale traditie en expertise op het vlak van techniek en technologie, maar ook met de sterke economische positie, de goede politieke ondersteuning, de uitstekende onderwijsinstellingen en de hoge levenskwaliteit.

De bouw van de nieuwe Google-kantoren in München is volop bezig. Zijn uw plannen gewijzigd door de coronapandemie?

Vóór de pandemie brachten we onze tijd vooral door op kantoor, waar veel cafés, vergaderruimtes en restaurants zijn om elkaar persoonlijk te ontmoeten en samen te werken. Die manier van werken is tijdens de pandemie natuurlijk aanzienlijk gewijzigd. Veel van de lessen die we het afgelopen jaar hebben geleerd, verwerken we momenteel in de planning van ons nieuwe en boeiende Arnulfpost-project.

Is het mogelijk om dezelfde sfeer te creëren voor telewerk?

Ons bedrijf vindt zijn oorsprong in de cloud, is geëvolueerd in de cloud en we leven allemaal in de cloud. Daarom proberen we medewerkers aan te moedigen om online met elkaar te communiceren tijdens ontbijtvergaderingen of videoconferenties. We geloven echter dat we niet eindeloos kunnen terugvallen op het sociale kapitaal dat we in de loop der jaren hebben opgebouwd. We hebben veel mensen aangenomen die nog geen stap in onze kantoren hebben gezet. Het is een uitdaging voor alle managers om elk van die personen te begeleiden.

Wat betekent dat voor de manier waarop er in de toekomst concreet gewerkt zal worden bij GSEC München?

We blijven het belangrijk vinden om mensen samen te brengen op het werk. Dat is immers de basis voor nieuwe, innoverende ideeën. We willen dus zeker niet 100 procent virtueel werken. Maar we hebben ons wel de vraag gesteld of iedereen een vaste werkplek moet hebben. Onze verkoopteams kunnen al flexibel werken. Veel van de ontwikkelingstools van onze ingenieurs verhuizen naar de cloud. In de toekomst zal elk team zelf kunnen bepalen hoeveel flexibele en hoeveel vaste werkplekken behouden blijven. Misschien hebben we in plaats van vaste werkplekken meer creatieve ruimte nodig om te brainstormen, met camera's, projectoren en elektronische whiteboards.

Foto's: Sima Dehgani