Data op straat

Waar het privacy en internet betreft, gaat de bezorgdheid gewoonlijk uit naar wat mensen zelf op het net zetten. Hoewel het raadzaam is daarover na te denken (is het slim om op je blog te vertellen dat je op vakantie gaat wanneer je huisadres makkelijk is te vinden?) en om rekening te houden met je latere ik (wil je werkelijk tien jaar nog steeds herinnerd worden aan die foto waar je stomdronken op staat, of aan dat expliciete verhaal over die wilde nacht?), is dat niet het grootste probleem. Je hebt er vooral jezelf mee en zulke domheid schaar ik, zij het met lichte tegenzin, onder de mensenrechten. Bovendien leren men sen snel: elke keer dat dergelijke verhalen breed worden uitgemeten, is er een opvoedkundig schokeffect.

Erger is het wanneer anderenslordig zijn met onze gegevens. Instanties die slordig zijn met data, laten iets slingeren dat niet van hen is. Dat is van een andere orde. Meestal gaat het meteen om massa’s gegevens en worden duizenden of tienduizenden mensen geraakt. Het gaat daarbij vaak om gevoelige gegevens: adres, girorekening, sofi-nummer, inkomen, geboortedatum – genoeg om online iemands identiteit mee te kunnen vervalsen.

We zagen het nogal eens gebeuren, de laatste weken. Eind november bleek Defensie gegevens van mariniers online te hebben gezet: 340 pagina’s met daarop hun naam, huisadres, functie en rang. Er zaten mariniers tussen die bij inlichtingendiensten werkten. Leuk, je werkgever die je cover verraadt. Defensie verwijderde de gegevens uiteindelijk van de website maar ze bleven nog wekenlang vindbaar.

Een week geleden bleek dat Vecozo, die voor de medische sector bijhoudt wie waar verzekerd is, inmiddels 80.000 mensen toegang biedt tot haar gegevens. Van tandarts tot taxichauffeur, van apotheek tot leverancier van hulpmiddelen: iedereen kan erin grasduinen en adressen, sofi-nummers en geboortedata van verzekerden opzoeken. Daar vallen niet alleen de gegevens van bekende Nederlanders onder, maar ook de verblijfsadressen van vrouwen die voor hun man zijn gevlucht en andere geheime adressen. Zo’n site met een wachtwoord beveiligen is leuk maar dat wordt een holle frase als één op de 200 Nederlanders toegang tot de site heeft. Vecozo weigert elk commentaar.

Twee dagen later bleek verzekeraar CZ een fout in haar website te hebben waardoor de gegevens van 55.000 mensen die een offerte hadden gevraagd, te kijk stonden. Naam, adres, inkomen, sofi-nummer, bankgegevens, geboortedatum, gezinssamenstelling, roept u maar. CZ werd door een deskundige op de hoogte gesteld van het lek maar deed niets. Toen het nieuws vijf dagen later via het AD bekend werd, sloot CZ de website en riep ineens mea culpa. Hoogleraar informatica Chris Verhoef noemde de site ‘een startpagina voor identiteitsfraude, want met deze informatie kan een crimineel zo een creditcard op naam van iemand anders aanvragen.’

Vorige week ging een nieuwe richtlijn van het CBP over de online publicatie van persoonsgegevens van kracht: wie iets publiceert, moet zelf beoordelen of dat wettelijk juist is. Het gaat daarbij om bedoelde publicatie. Wat mij betreft wordt het tijd dat het CBP ferme boetes gaat uitdelen aan al wie onbedoeld persoonsgegevens publiceert of laat slingeren, want daar zit momenteel de pijn. Wie weet leren die instanties dan eindelijk om zorgvuldiger met onze gegevens om te gaan.

Naschrift: op www.spaink.net/data_breaches.html ben ik zojuist een chronologische lijst begonnen van dergelijke ‘incidenten’. Lees je ergens over zo’n voorval, mail me dan alsjeblieft, uiteraard met documentatie.


Aantal reacties: 9