Waar het privacy en internet betreft, gaat de bezorgdheid gewoonlijk uit naar wat mensen zelf op het net zetten. Hoewel het raadzaam is daarover na te denken (is het slim om op je blog te vertellen dat je op vakantie gaat wanneer je huisadres makkelijk is te vinden?) en om rekening te houden met je latere ik (wil je werkelijk tien jaar nog steeds herinnerd worden aan die foto waar je stomdronken op staat, of aan dat expliciete verhaal over die wilde nacht?), is dat niet het grootste probleem. Je hebt er vooral jezelf mee en zulke domheid schaar ik, zij het met lichte tegenzin, onder de mensenrechten. Bovendien leren men sen snel: elke keer dat dergelijke verhalen breed worden uitgemeten, is er een opvoedkundig schokeffect.
Erger is het wanneer anderenslordig zijn met onze gegevens. Instanties die slordig zijn met data, laten iets slingeren dat niet van hen is. Dat is van een andere orde. Meestal gaat het meteen om massa’s gegevens en worden duizenden of tienduizenden mensen geraakt. Het gaat daarbij vaak om gevoelige gegevens: adres, girorekening, sofi-nummer, inkomen, geboortedatum – genoeg om online iemands identiteit mee te kunnen vervalsen.
We zagen het nogal eens gebeuren, de laatste weken. Eind november bleek Defensie gegevens van mariniers online te hebben gezet: 340 pagina’s met daarop hun naam, huisadres, functie en rang. Er zaten mariniers tussen die bij inlichtingendiensten werkten. Leuk, je werkgever die je cover verraadt. Defensie verwijderde de gegevens uiteindelijk van de website maar ze bleven nog wekenlang vindbaar.
Een week geleden bleek dat Vecozo, die voor de medische sector bijhoudt wie waar verzekerd is, inmiddels 80.000 mensen toegang biedt tot haar gegevens. Van tandarts tot taxichauffeur, van apotheek tot leverancier van hulpmiddelen: iedereen kan erin grasduinen en adressen, sofi-nummers en geboortedata van verzekerden opzoeken. Daar vallen niet alleen de gegevens van bekende Nederlanders onder, maar ook de verblijfsadressen van vrouwen die voor hun man zijn gevlucht en andere geheime adressen. Zo’n site met een wachtwoord beveiligen is leuk maar dat wordt een holle frase als één op de 200 Nederlanders toegang tot de site heeft. Vecozo weigert elk commentaar.
Twee dagen later bleek verzekeraar CZ een fout in haar website te hebben waardoor de gegevens van 55.000 mensen die een offerte hadden gevraagd, te kijk stonden. Naam, adres, inkomen, sofi-nummer, bankgegevens, geboortedatum, gezinssamenstelling, roept u maar. CZ werd door een deskundige op de hoogte gesteld van het lek maar deed niets. Toen het nieuws vijf dagen later via het AD bekend werd, sloot CZ de website en riep ineens mea culpa. Hoogleraar informatica Chris Verhoef noemde de site ‘een startpagina voor identiteitsfraude, want met deze informatie kan een crimineel zo een creditcard op naam van iemand anders aanvragen.’
Vorige week ging een nieuwe richtlijn van het CBP over de online publicatie van persoonsgegevens van kracht: wie iets publiceert, moet zelf beoordelen of dat wettelijk juist is. Het gaat daarbij om bedoelde publicatie. Wat mij betreft wordt het tijd dat het CBP ferme boetes gaat uitdelen aan al wie onbedoeld persoonsgegevens publiceert of laat slingeren, want daar zit momenteel de pijn. Wie weet leren die instanties dan eindelijk om zorgvuldiger met onze gegevens om te gaan.
Naschrift: op www.spaink.net/data_breaches.html ben ik zojuist een chronologische lijst begonnen van dergelijke ‘incidenten’. Lees je ergens over zo’n voorval, mail me dan alsjeblieft, uiteraard met documentatie.
> Lees je ergens over zo’n voorval, mail me dan alsjeblieft, uiteraard met documentatie.
Prima idee. Wij zullen u bedienen.
Waarom heb je de ondekking van Peter R. de Vries van de gelekte AIVD files over het seks-leven van Pim Fortuyn er niet bij gezet? Is dat nou niet frappant, dat de AIVD kennelijk een sex-chart bijhouden van wie het met wie doet, en die files ook nog eens naar buiten laten lekken?
OK, goed, het huwelijksregister is ook een soort van overheidssexchart, maar dat de AIVD belastinggelden verspilt met onderzoek waar zelfs zijn eigen medewerkers rode oortjes van krijgen, terwijl de AIVDers zich eigenlijk met de landsveiligheid dienen bezig te houden… ik vind dat dat erbij moet. Het is het topvoorbeeld van verspilde belastingsgelden en de perversiteit van de overheid – niet van Pim zelf, want zo pervers was hij nou ook weer niet. Pervers was juist dat de overheid zijn non-perversie onder het mom van landsveiligheid werd bijgehouden, waarmee de overheid laat zien dat geinstitutionaliseerde overheidsdiscriminatie tegen homo’s nog steeds actueel is. Sowieso vind ik het verdacht dat alleen deze files naar buiten zijn gelekt, en niet bijv. de files over het seksleven van Rita Verdonk of Ahmed Aboutaleb.
Grom: de affaire rond het onderzoeken van het seksleven van Fortuijn wordt hier om verschillende redenen niet genoemd. Mijn stuk gaat over het massaal lekken van persoonsgegevens in de afgelopen weken, en daar valt die affaire niet onder. (En oude zaken erin opnemen wil ik sowieso niet: dat vertekent de geschiedenis, want dan vergeet ik er allicht een aantal). Evenmin ging het bij Fortuijn om het _onbedoeld_ lekken, waarmee dat geval niet aan de vereisten voor data breaches voldoet.
Het was overigens wel degelijk een probleem, daar heb je gelijk in, maar een probleem van een andere orde. namelijk de orde van misplaatste en apert overijverige activiteiten van de AIVD en ongewenste politieke bemoeienis hunnerzijds.
Het is hemelschokkend, maar ik kan er niet zo erg wakker van liggen, en ben er zelfs merkwaardig genoeg niet helemaal zo erg ten ondersten boven van. Hoe zou dat nou toch komen in de paranoia.
En dan vertegenwoordig ik eigenlijk feitelijk alleen nog maar het allergrootste deel van alle meningen hier op aarde. Dat is natuurlijk wel een klein beetje vervelend. Ik kan me dat wel voorstellen.
‘\°_°/’
Maar ja. Daar zullen we dan maar weer een goed nieuw jaartje doorheen moeten zien te bijten hoe moeilijk dat vaak ook wel niet is. Hè? Wat?
“Evenmin ging het bij Fortuijn om het _onbedoeld_ lekken.” Dank voor het uitleggen, maar ik heb nog een algemene vraag: hoe weten “we” (de media, de klokkenluiders, de burgers) wanneer iets expres en wanneer iets per ongeluk gelekt is? Digitale files zijn immers gewoon bitjes en bijtjes, en daar kun je toch niet aan zien of iets expres danwel onbedoeld gelekt is?
Tenslotte denk ik niet dat CBP boetes gaan uitdelen want die hebben zo’n bevoegdheid niet. Het CPB is gewoon een soort van data-warehouse dat bijhoudt wie van wie last heeft ondervonden, daar wat stukjes en studies over publiceert op hun site (die vervolgens door iedereen genegeerd worden), en eventueel een paar briefjes schrijft namens de gedupeerden die dat kennelijk zelf niet kunnen doen. Meer dan dat kan en doet het CPB niet.
Grom, als er ergens op een site iets slecht beveiligd is en daardoor toegankelijk voor onbevoegden, is dat evident ‘onbedoeld lekken’. Wanneer de AIVD iets laat weten over het privéleven van een politicus is dat bedoeld lekken. Daartussen zit een flink grijs gebied :)
Je onderschat het CBP: die mogen wel degelijk boetes uitdelen. Tijdens de afgelopen uitreiking van de Big Brother Awards maakte voorzitter Kohnstamm min of meer bekend wie de eerste boete zou krijgen (tenzij ze de plannen rap zouden veranderen): de NS, vanwege de OV-chipkaart. Het CBP houdt zich de laatste jaren juist minder met individuele klachten en meer met algemeen beleid bezig, en heeft daarvoor ook meer geld gekregen – en meer bevoegdheden.
Eén op de 2000 Nederlanders toch, die toegang heeft tot die gegevens van Vecozo? Of tel ik nou verkeerd, ik ben een beetje moe. Overigens blijft het ook dan bizar en ik kan me goed voorstellen dat het criminele circuit hier al van op de hoogte was voordat het in de openbaarheid kwam.
Joan: 16 miljoen Nederlanders gedeeld door 80.000 mensen die toegang hebben tot de VEcozo-systemen is 200. Heus :)
Laat alle lezers eens kijken op http://www.michelkraay.nl . Schokkend en er staat nog meer te wachten. De landsadvocaat , Peter R de Vries, banken en verzekeringen houden geen rekening met u privacy!!!!!!!!!!!!