Vergaardrift zonder hygiëne
- 23 december 2009
Een medewerker van de Rabobank verloor vorige week een usb-stick, waar zich onder meer de gegevens van drieduizend klanten op bevonden. Hun persoonlijke gegevens stonden erop, maar ook welke beleggingen ze hadden gedaan en wat hun totaal belegde vermogen was. Dat de kwestie in het nieuws kwam, was uitsluitend omdat de vinder de usb-stick bij een krant afleverde en de krant er nieuws in zag.
Dit is een bijdrage van Karin Spaink. Dit stuk is ook gepubliceerd in Het Parool op 22 december 2009 en op haar weblog.
Zulke datalekken zijn aan de orde van de dag. Soms gaat het om diefstal, maar vaker gaat het om slordigheid of onnadenkendheid van de mensen die beroepshalve met gevoelige informatie werken: verloren laptops, websites waar gevoelige informatie per ongeluk voor het oprapen ligt, rondslingerende usb-sticks, verdwaalde cd’s, afgedankte computers of harde schijven waar nog van alles op blijkt te staan.
Juist in een maatschappij die zichzelf zo afhankelijk heeft gemaakt van elektronische data, is dergelijke slordigheid buitengewoon pijnlijk. Je wilt niet dat duizenden elektronische patiëntendossiers ergens rondslingeren of dat ineens de financiële historie van de klanten van een bank op straat ligt. Zulke slordigheid leidt geregeld tot akelige inbreuken op iemands privacy; de gedupeerden staan vervolgens ook potentieel bloot aan misbruik van hun gegevens. Kwaadwillenden kunnen er makkelijk identiteitsfraude mee plegen (een type misdaad dat sterk in opkomst is), of nagaan wie een interessant slachtoffer is voor inbraak of chantage.
Iedereen wil de hele tijd maar gegevens van ons en onze gedragingen liefst real-time volgen. Voor zowat alles moet je je registreren, en bijna alles wat we doen leidt tot digitale sporen die aan ons worden onttrokken en vervolgens worden opgeslagen en bewaard. De vergaardrift van bedrijven en overheid kent haast geen grenzen.
Er zit een wrange paradox in die verzameldrift. Terwijl de dataverzamelaars enerzijds wonderen verwachten van het koppelen en verwerken van al die gegevens – betere gebruikersprofielen en risicoanalyses maken, sporen beter natrekken, misdaad voorkomen, monitoring opschroeven, logistiek en efficiëntie verbeteren, kosten drukken enzovoorts – zijn ze met het beheer van die gegevens vaak erg nonchalant. Te veel mensen hebben toegang, gegevens worden onversleuteld bewaard en gekopieerd, laptops en usb-sticks hebben geen beveiliging, computernetwerken zijn onvoldoende afgeschermd of hebben een architectuur die meer let op gebruiksgemak dan op veiligheid.
Sinds kort wordt er nagedacht over een meldplicht voor datalekkages. De plannen zijn helaas buitengewoon beperkt. Zo gaat de EU via een richtlijn de telecomaanbieders verplichten datalekken te melden, maar blijven alle andere vergaarders – van financiële instanties tot de zorg, van bedrijfsleven tot overheidsinstanties – buiten schot. Ook zij zouden onder zo’n meldplicht horen te vallen.
En aan meldingen alleen heb je uiteindelijk natuurlijk niks. De hoop is dat bedrijven en overheden uit angst voor reputatieschade zorgvuldiger zullen worden, maar elke gedragsdeskundige weet dat straf uitdelen alleen zelden helpt: dat leidt namelijk vooral tot pogingen om gemaakte fouten te verdoezelen.
We zouden eens moeten gaan nadenken over datahygiëne. Net zoals we het gewoon vinden in ons dagelijks leven hygiëne te betrachten – je handen wassen na toiletbezoek, geregeld douchen, je tanden poetsen, servies afwassen, geen water drinken uit een plas op straat – zouden we een vergelijkbare serie gewoontes rondom dataverkeer, dataopslag en dataoverdacht moeten ontwikkelen.
Wellicht dat we dan gaandeweg leren terug te deinzen als iemand een onbeveiligde usb-stick in een computer steekt en het vies gaan vinden als data niet versleuteld wordt overgedragen: alsof iemand je met een gebruikte naald wil prikken.
Verder lezen:
- EU-richtlijn meldplicht: Tweakers.net, 14 november 2009;
- Vijf gaten in de meldplicht: Webwereld, 14 november 2009;
- Datalekkerij: Spaink, 22 juli 2008;
- Vitale informatie: Spaink, 29 nov. 2008;
- Overzicht Nederlandse datalekken.