Licht op lekken
- 02 november 2011
Ons Zwartboek Datalekken is eigenlijk misleidend. Ook al is het aantal meldingen schrikbarend hoog, het is nog altijd maar een fractie van het totaal aantal lekken dat plaats heeft. De Lektober actie van Webwereld onderstreept dat fijntjes: wie op zoek gaat, vind nog veel meer.
Als criterium om een lek op te nemen in het Zwartboek Datalekken hanteren we de definitie uit ons position paper (PDF): “de verantwoordelijke die weet, of redelijkerwijs kan vermoeden, dat onbevoegd toegang is verkregen tot door hem verwerkte persoonsgegevens”. In de praktijk zijn we strenger en nemen we eigenlijk alleen datalekken in ons zwartboek op als duidelijk is dat er inderdaad gegevens gelekt zijn. Daarbij gaan we er ook nooit zelf actief naar op zoek, maar baseren ons alleen op berichten in de media. Sporadisch reageren we op tips.
In de afgelopen maand wees Webwereld elke dag een website aan waar onbedoeld privégegevens toegankelijk waren. De nieuwssite wilde met Lektober wijzen op het belang van een goede beveiliging van privégegevens. Heel goed, want wat privé is moet privé blijven. Net als ons eigen overzicht toont Webwereld aan dat de meeste lekken het gevolg zijn van grove slordigheden in de beveiliging van gegevens. Door basale fouten, zoals het blindelings vertrouwen van de invoer van gebruikers en het niet versleutelen van de wachtwoorden, wordt het bezoekers wel erg makkelijk gemaakt om die gegevens in te zien. Soms zijn de slordigheden minder technisch, zoals het lek van CheapTickets waar een ontwikkelomgeving met gegevens van klanten aan het internet werd gekoppeld of het gebruik van de standaard gebruikersnaam en wachtwoord voor de beheerinterface.
Wij zijn, helaas, niet verrast. We zien dezelfde slorigheden al sinds we twee jaar geleden met de inventarisatie in ons Zwartboek Datalekken zijn begonnen. Al die lekken hebben nóg een grote overeenkomst: de meeste lekken komen voor in andere branches dan bij aanbieders van telefonie en internet. De smalle meldplicht, die nu bij de Eerste Kamer ligt en alleen gaat gelden voor telefonie- en internetaanbieders, schiet duidelijk te kort. We hebben dringend een brede meldplicht nodig, eentje die van toepassing is op iedereen die persoonsgegevens verwerkt.
In de commotie rond Lektober is vorige week één lichtpuntje verloren gegaan. Tijdens het wekelijkse vragenuurtje vroeg het kamerlid El Fassed wat de staatssecretaris van Veiligheid en Justitie vond van al die lekken. Teeven antwoordde:
De minister van Buitenlandse Zaken en ik constateerden dat wij beiden in 2008 een reis hadden geboekt via cheaptickets.nl, dus vermoedelijk liggen ook de persoonsgegevens van ons beiden op straat. Dat is vervelend; wij zijn er zelf ook mee geconfronteerd.
Hij beëindigde zijn beantwoording met een toezegging over een brede meldplicht :
De regering is ermee bezig en over 35 dagen ligt er een voltooid wetsvoorstel. Dan kunnen wij ermee aan de slag.
Teeven had ons al eens die meldplicht beloofd, maar wanneer het wetsvoorstel er ook echt zou zijn was onduidelijk. Met deze toezegging is dat dus bij het einde van deze maand. Hoe zou zo’n meldplicht er volgens jullie uit moeten zien? Wat zou een bedrijf jou moeten vertellen als ze de controle over jouw gegevens verloren zijn?