De reputatie van de USB-stick gaat gebukt onder zijn handige formaat. Een kwart van de geheugensticks raakt vroeg of laat een keer zoek, en de berichten van ambtenaren die USB-sticks verloren met vertrouwelijke informatie liggen nog vers in het geheugen. Advocaten, als hoeders van vertrouwelijkheid, zijn terughoudend in het gebruik van memorysticks. Voor wie het toch wil: koop een stick met een pincode, adviseert de deskundige.
Advocaten die processtukken op USB-sticks zetten, bijvoorbeeld om er thuis aan door te kunnen werken? Het zijn er niet zo veel, blijkt uit een korte rondgang langs kantoren. Grotere kantoren hebben hun netwerk zo op orde dat de kleine sticks niet langer nodig zijn, of werken met beveiligde exemplaren; kleine kantoren nemen voorzichtigheid in acht.
USB? Voor Ernst Klemann, stafmedewerker facilitaire zaken bij Dommerholt Advocaten in Zwolle, is het bijna een vies woord. ‘Verboden. Je kunt bij ons op kantoor wel USB-sticks in de computer steken, maar je kunt er niets op zetten of vanaf halen.’
Advocaten bij de vestigingen van Dommerholt in Zwolle, Apeldoorn en Heerenveen kunnen helemaal geen bestanden van hun computer halen of er vanuit een externe bron op zetten. Het is ook niet nodig: alles loopt via beveiligde verbindingen. Advocaten die thuis werken, hebben via een beveiligde verbinding toegang tot hun elektronische dossiers, net als cliënten. De advocaten van Pels Rijcken & Droogleever Fortuijn in Den Haag krijgen beveiligde USB-sticks van hun werkgever. Dat zijn de enige exemplaren die ze mogen gebruiken.
Ook kleine kantoren zijn bezig met informatiebeveiliging, maar maken hun keuzes op een andere manier. Toen Henri Nijenhuis, advocaat in Nijmegen, in 2009 met zijn collega verhuisde naar een nieuw pand, was dat een natuurlijk moment om ook de ICT onder de loep te nemen. ‘We hebben nu in elke kamer twee computers staan,’ zegt Nijenhuis, ‘een met internetverbinding en een die draait op het interne netwerk, zonder verbinding naar buiten. Buitenstaanders kunnen zo nooit bij ons systeem komen.’
USB-sticks gebruiken Nijenhuis en zijn collega Compri zelden. ‘De enige USB-stick op kantoor gebruiken we voor het maken van een wekelijkse back-up van Legal Eagle. Ik probeer zo weinig mogelijk USB-sticks te gebruiken. Je hebt dan wel anti-virusprogramma’s, maar het werken met USB-sticks kan toch gevaarlijk zijn.’
Advocaat Jeroen Holthuijsen van Tripels Advocaten in Maastricht (acht advocaten) zegt dat op zijn kantoor geen afspraken zijn gemaakt over het gebruik van geheugensticks. ‘Maar we gebruiken ze niet of bijna niet. We hebben webmail waarmee je de werkmail van huis uit kunt benaderen, dus als je een keer thuis wilt werken, mail je de stukken naar jezelf.’ Op zijn kantoor is wel nagedacht over een beveiligde VPN-verbinding tussen kantoor en huis, ‘maar daar was toen onder de advocaten niet echt behoefte aan’.
Dubbele beveiliging
Toch werken met USB-sticks? Jan van der Lubbe, hoofd van het Information, Security & Privacy Lab van de Technische Universiteit in Delft, beveelt een USB-stick met dubbele beveiliging aan: eentje met een pincode die de gegevens op de stick zelf versleutelt en weer ontcijfert. Die versleuteling gaat volgens de zogenoemde Advanced Encryption Standard: een unieke code van 128 of zelfs 256 bits, ofwel opeenvolgende nullen en enen. Zo’n code is nauwelijks te kraken. ‘Qua omvang is zo’n sleutel zo groot dat je acht maanden lang 30.000 pc’s zou moeten laten draaien om hem te ontcijferen’, rekent Van der Lubbe voor.
Het voordeel van zo’n stick, waarbij de coderingssoftware op de stick zelf staat, is dat hij werkt op iedere pc en dat de gebruiker feitelijk werkt binnen een afgeschermde omgeving. Van der Lubbe: ‘Dan sta je helemaal los van het systeem. Ik heb onlangs negen dagen in de Verenigde Staten vastgezeten door die aswolk op IJsland. Ik kon zo gewoon en veilig op vreemde computers werken.’ De pincode op een beveiligde USB-stick is tussen de vier en tien cijfers lang. Als de gebruiker een aantal malen de verkeerde code intoetst, wist de USB-stick zichzelf. Voor echte diehards is er nog meer mogelijk, zoals een USB-stick met vingerafdrukherkenning, die nog maar door één enkele persoon kan worden gebruikt. Dergelijke sticks worden bijvoorbeeld gebruikt door het leger. ‘Maar dat lijkt me voor de advocatuur vrij ver gaan,’ zegt Van der Lubbe. ‘Ik stel me voor dat het voor een advocaat vooral simpel moet zijn.’
(Lars Kuipers, journalist)