Op zoek naar privacyvriendelijke tools

Als je op zoek bent naar een nieuwe vpn, kun je terecht bij de kortingscode van zowat iedere willekeurige podcast. Als je op zoek bent naar een goéde vpn, heb je professionele hulp nodig. Hetzelfde geldt voor e-mailclients, browsers, besturingssystemen en wachtwoordmanagers. Hoe weet je welke daarvan de beste, privacyvriendelijkste optie is? Daarvoor is er Privacy Guides, een platform waarop een aantal vrijwilligers dag in, dag uit zoekt naar de beste privacyvriendelijke tools om internet mee op te gaan. Tweakers sprak met een van de vrijwilligers achter de site, de Nederlander Niek de Wilde.

Privacy Guides komt net uit een roerige periode. Het platform stond tot voor kort bekend als Privacy Tools, maar interne ruzies en schermutselingen hebben geleid tot een afsplitsing. De oprichter van Privacy Tools, een Indonesiër die zichzelf Burung Hantu noemt, ging in 2020 afk en kwam niet meer terug. De leden van het team hebben maandenlang tevergeefs contact met hem gezocht. Privacy Tools en inmiddels Privacy Guides zijn vrijwilligersprojecten. Het zou dus niet zo erg moeten zijn dat Burung Hantu zijn e-mail niet beantwoordde, ware het niet dat hij de domeinnaam in handen had. In september 2021 besloot het bestaande team te migreren naar Privacy Guides. De site bevatte dezelfde informatie en hetzelfde team, maar met een nieuwe domeinnaam en een nieuw forum voor discussies leek dat toch vooral een nieuwe start.

Inmiddels is Privacy Guides uitgegroeid tot een begrip in de privacygemeenschap. De site heeft 100.000 unieke bezoekers per maand en tikt de 441.000 pageviews aan, allemaal in te zien op de openbare statistiekenpagina. "Ik heb er altijd op gehamerd dat alles transparant moet zijn, van ons opensource-analyticsplatform tot onze inkomsten en uitgaven", zegt De Wilde.

De site wordt niet alleen veel bezocht, maar heeft ook culturele impact, in ieder geval in de privacygemeenschap. Dat was bijvoorbeeld te zien in 2019, toen het toenmalige PrivacyTools zoekmachine Startpage niet meer aanraadde in het overzicht. Dat bedrijf was kort daarvoor overgenomen door een advertentiebedrijf. De achtergrond van een bedrijf, wie erachter zit en wat het verdienmodel is, vormen inmiddels een criterium waarop diensten worden beoordeeld. Privacy Guides timmert inmiddels hard aan de weg om zijn autoriteitspositie uit te bouwen, vertelt De Wilde.

Hoe ben je bij Privacy Guides begonnen?

"Ik heb van oudsher een passie voor dingen rondom security. Daar ging ik me steeds meer mee bezig houden en dat groeide steeds meer uit. Via via kwam ik bij destijds nog bij Privacy Tools terecht. Die hadden aanvankelijk een GitHub-pagina, maar waren net bezig alles op een eigen pagina te zetten. Ik was verbaasd dat er zoveel kennis op één plek aanwezig was. Dat trok me wel."

"Ook het communityaspect sprak me erg aan. Ik zat bijvoorbeeld in steeds meer Matrix-servers en had steeds meer interactie met de community. Ik deed ook vaker pull requests op GitHub. Na een tijdje werd ik door een van de leden uitgenodigd om lid te worden van het team. Dat duurde eventjes; in het begin kijkt iedereen met je mee om te zien wat je doet en of je wel te vertrouwen bent. Inmiddels ben ik een vast onderdeel van Privacy Guides."

Hoeveel mensen werken er aan de site?

"Dat verschilt altijd een beetje, maar er is een harde kern van een man of vijf of zes die nu actief zijn. Er zijn zo'n tien mensen die vanaf het begin al actief waren op de site, maar soms is er eentje wat langer afwezig vanwege persoonlijke dingen. Life happens, Privacy Guides is vrijwilligerswerk, iedereen kan zelf bepalen wanneer hij wel en niet meewerkt."

Jullie testen privacytooltjes van e-mailclients en vpn's tot browsers. Hoe werkt dat, heeft iedereen een eigen portefeuille?

"Nee, net als hoeveel tijd hij erin stopt, kan iedereen ook bepalen waaraan hij wel of niet wil werken. Als iemand iets interessants tegenkomt, maakt hij daarvoor een pull request aan. We proberen inmiddels wel iets meer sturing te krijgen. We willen iets beter kunnen bepalen welk werk bijvoorbeeld prioriteit krijgt." Op dit moment werken we nog heel informeel, maar we zijn druk bezig te formaliseren. Vroeger kon iedereen een nieuwe aanbeveling doen: zullen we tool X of Y nu toevoegen? Dat leidde nogal eens tot flame wars, zeker als het over cryptovaluta ging. Dat stadium zijn we inmiddels wel ontgroeid."

Hoe beoordelen jullie die tools? Heb je daar een vast testprotocol voor?

"Niet overal. Voor sommige onderdelen hebben we wel minimale eisen. Bij vpn's kijken we of ze onafhankelijke audits krijgen, of de clients open source zijn, of ze cashbetalingen accepteren en of ze WireGuard ondersteunen. Ook bij e-mailclients proberen we een checklist aan te houden. Kun je anoniem betalen? Ondersteunen ze protocollen zoals dnssec?"

'De vpn-industrie is een van de giftigste die je kunt bedenken'"Bij software zoals e-mailclients is het ook wat makkelijker te testen. Daar kan ik tooltjes zoals hardenizers op loslaten en kijken of de e-mailclient dmarc ondersteunt. Gebeurt dat niet, dan valt hij af als aanbeveling. Providers kunnen met ons samenwerken om alsnog aan de eisen te voldoen. Dat gebeurt niet heel vaak; meestal zijn het vpn's die ons kapotspammen om te vragen of ze in ons overzicht mogen worden opgenomen. De vpn-industrie is een van de giftigste die je kunt bedenken. Ze spelen ook vaak in op de angsten van mensen en ze gebruiken termen waar mensen al snel van onder de indruk zijn, zoals 'military grade encryption'. Ik zie vpn's een beetje als de nieuwe antivirusindustrie."

Gebruik je zelf ook alle tools die je aanraadt?

"Ja! Ik vind dat je niet kunt zeggen dat Facebook zo slecht is en ondertussen wel WhatsApp kunt blijven gebruiken. Dat doe ik dus niet. Ik heb, heel symbolisch, op de verjaardag van de AVG WhatsApp van mijn telefoon verwijderd. Inderdaad, ik heb al zeker vier jaar geen WhatsApp meer!"

"In het begin was dat even wennen. Je mist bijvoorbeeld weleens wat dingen. Dan miste ik een uitnodiging voor een feestje, omdat mensen niet doorhadden dat ik niet in een groepschat zat. Op dat soort momenten merk je wel welke vrienden wel en niet aan je denken."

Veel alternatieve software, zoals Matrix, is notoir onvriendelijk voor 'de doorsnee gebruiker'. Ervaar je dat zelf ook zo?

"Bij de ene app gaat dat makkelijker dan bij de andere. Signal is een goed voorbeeld. Dat heeft grotendeels dezelfde user experience als WhatsApp. Dat maakt het wat makkelijker om mensen ertoe over te halen dat te gebruiken. Je begint bij je meer technische vrienden, bijvoorbeeld die ik van de ict-opleiding kende. Daarna komt je familie. Dat duurde even, maar ging uiteindelijk goed."

"Met diensten als Matrix merk je daarentegen wel dat het allemaal wat stroever loopt. Het heeft wat kleine mankementen hier en daar, met bijvoorbeeld encryptiesleutels en knopjes die er raar uitzien. Verder zie ik geen grote problemen in de privacyapps die ik zelf gebruik. Ik ben al jaren een tevreden gebruiker van GrapheneOS; ik gebruik geen Google-apps meer. Het enige wat ik soms nog mis, zijn navigatieapps. Met name de live verkeersinformatie in Google Maps werkt wel heel lekker; dat ontbreekt in andere apps wel. Daarom is Signal ook zo goed; dat is vaak erg traag met het doorvoeren van nieuwe features, maar áls die er zijn, werken ze ook gelijk allemaal heel goed."

Heb je het privacylandschap zien veranderen in de afgelopen jaren? Merken jullie het bijvoorbeeld als er weer een groot schandaal is?

"We groeien al redelijk hard in traffic; dat wordt niet zo beïnvloed door schandalen. Je ziet wel een groeiende behoefte aan privacyvriendelijke tools. Vooral na de Snowden-onthullingen is die community echt opgeblazen. Ook door andere gebeurtenissen zagen we dat, zoals de Facebook-overname van WhatsApp en het Cambridge Analytica-schandaal. Ook bij ontwikkelingen rondom verkiezingen gaan mensen sneller beseffen dat privacy toch wel erg belangrijk is."

"Vanuit mijn persoonlijke leven heb ik wel gemerkt dat je niet met gestrekt been in die discussie moet springen. Als je begint over hoe slecht WhatsApp wel niet is, voelen mensen zich snel aangevallen. Dan luisteren ze niet naar je, maar proberen ze vooral zichzelf te verdedigen. Wij proberen niet op de gekte in te spelen, maar neutraal te blijven. Zo willen we de kwaliteit van de aanbevelingen hoog houden."

Wat staat er voor de toekomst op de planning voor Privacy Guides?

"Onze belangrijkste stap is nu om te gaan professionaliseren. We willen het platform bijvoorbeeld toegankelijker maken voor mensen met een beperking. Denk aan het toevoegen van alt-tags bij afbeeldingen voor schermlezers en de mogelijkheid om met een toetsenbord te navigeren."

"Daarnaast zijn we bezig om niet alleen tools te behandelen, maar ook om meer te investeren in het schrijven van gidsen. Niet alleen voor hoe je die tools gebruikt, maar ook in het algemeen; hoe vind je bijvoorbeeld welke online accounts je hebt en hoe verwijder je zoiets? Zulke gidsen willen we meer gaan maken. Ook lopen we nog steeds regelmatig door alle bestaande communityaanbevelingen heen. We moeten kijken of die nog allemaal actueel zijn. Dan weten bezoekers dat wat ze wordt aangeraden, ook echt aan te raden is."