De stok achter Opsteltens deur

Licht op lekken

Datalek: Vliegschool lekt informatie uit BKR en strafdossier
DOSSIER / Zwartboek datalekken

Ons Zwartboek Datalekken is eigenlijk misleidend. Ook al is het aantal meldingen schrikbarend hoog, het is nog altijd maar een fractie van het totaal aantal lekken dat plaats heeft. De Lektober actie van Webwereld onderstreept dat fijntjes: wie op zoek gaat, vind nog veel meer.

Als criterium om een lek op te nemen in het Zwartboek Datalekken hanteren we de definitie uit ons position paper (PDF): “de verantwoordelijke die weet, of redelijkerwijs kan vermoeden, dat onbevoegd toegang is verkregen tot door hem verwerkte persoonsgegevens”. In de praktijk zijn we strenger en nemen we eigenlijk alleen datalekken in ons zwartboek op als duidelijk is dat er inderdaad gegevens gelekt zijn. Daarbij gaan we er ook nooit zelf actief naar op zoek, maar baseren ons alleen op berichten in de media. Sporadisch reageren we op tips.

In de afgelopen maand wees Webwereld elke dag een website aan waar onbedoeld privégegevens toegankelijk waren. De nieuwssite wilde met Lektober wijzen op het belang van een goede beveiliging van privégegevens. Heel goed, want wat privé is moet privé blijven. Net als ons eigen overzicht toont Webwereld aan dat de meeste lekken het gevolg zijn van grove slordigheden in de beveiliging van gegevens. Door basale fouten, zoals het blindelings vertrouwen van de invoer van gebruikers en het niet versleutelen van de wachtwoorden, wordt het bezoekers wel erg makkelijk gemaakt om die gegevens in te zien. Soms zijn de slordigheden minder technisch, zoals het lek van CheapTickets waar een ontwikkelomgeving met gegevens van klanten aan het internet werd gekoppeld of het gebruik van de standaard gebruikersnaam en wachtwoord voor de beheerinterface.

Wij zijn, helaas, niet verrast. We zien dezelfde slorigheden al sinds we twee jaar geleden met de inventarisatie in ons Zwartboek Datalekken zijn begonnen. Al die lekken hebben nóg een grote overeenkomst: de meeste lekken komen voor in andere branches dan bij aanbieders van telefonie en internet. De smalle meldplicht, die nu bij de Eerste Kamer ligt en alleen gaat gelden voor telefonie- en internetaanbieders, schiet duidelijk te kort. We hebben dringend een brede meldplicht nodig, eentje die van toepassing is op iedereen die persoonsgegevens verwerkt.

In de commotie rond Lektober is vorige week één lichtpuntje verloren gegaan. Tijdens het wekelijkse vragenuurtje vroeg het kamerlid El Fassed wat de staatssecretaris van Veiligheid en Justitie vond van al die lekken. Teeven antwoordde:

De minister van Buitenlandse Zaken en ik constateerden dat wij beiden in 2008 een reis hadden geboekt via cheaptickets.nl, dus vermoedelijk liggen ook de persoonsgegevens van ons beiden op straat. Dat is vervelend; wij zijn er zelf ook mee geconfronteerd.

Hij beëindigde zijn beantwoording met een toezegging over een brede meldplicht :

De regering is ermee bezig en over 35 dagen ligt er een voltooid wetsvoorstel. Dan kunnen wij ermee aan de slag.

Teeven had ons al eens die meldplicht beloofd, maar wanneer het wetsvoorstel er ook echt zou zijn was onduidelijk. Met deze toezegging is dat dus bij het einde van deze maand. Hoe zou zo’n meldplicht er volgens jullie uit moeten zien? Wat zou een bedrijf jou moeten vertellen als ze de controle over jouw gegevens verloren zijn?

  1. tifkap

    Hierbij een voorzetje:

    1 Er moet contact opgenomen worden met de klant / gebruiker indien er informatie gelekt is die te herleiden is tot deze klant.

    2 Gecommuniceerd moet worden welke informatie is gelekt.

    3 Een minimale impact-analyse moet verstuurd worden (hoe en waar kan de informatie mogelijk misbruikt worden)

    4 Er moet een advies gegeven worden hoe de klant kan compenseren voor dreigingen uit eerder vermelde impact-analyse.

    5 De lekker moet kosten compenseren die gemaakt zijn door klant om zich te beschermen tegen fout van de lekker. De kosten zouden per categorie vastgesteld moeten worden op een vast bedrag voor consumenten, zodat er een prijskaartje aan een lek hangt.

  2. Ozymandrias

    Het is typisch: zodra er gegevens van ministers op straat komen te staan wordt er actie genomen en blijkbaar in de gevallen zonder de ministers of van ons staats-apparaat dus niet.
    Foei! Overheid!

  3. R-J W

    Het is wel wat kort door de bocht om te zeggen dat er alleen actie komt omdat er ministers persoonlijk getroffen zouden zijn.
    Ik zou het breder stellen:
    Waarom wordt er niet meer aandacht gegeven aan zorgvuldige en structurele politiek. In plaats van al die directe reacties op gebeurtenissen en media aandacht?
    Laat er tijd aan besteden om een meldplicht zorgvuldig te formuleren zodat deze toekomst en duidelijk en gericht is.
    @tifkap punt 5:
    Ook nu al is het moeilijk om bedrijven/website-eigenaren te motiveren om openlijk over een lek te comuniceren. Het openbaar maken van een lek wordt door de meeste bedrijven gezien als imagoschade. Wanneer je het ook nog gaat beboeten is de motivatie al helemaal weg.

    Wat ik eigenlijk zou willen is:
    1. meer en duidelijkere informatie over het werken met persoonsgegevens.
    2. meer toegankelijke informatie voor website eigenaren ten aanzien van beveiliging
    3. een duidelijke richtlijn die stelt: wat te doen, wanneer er een (mogelijk) lek is en wanneer je een lek bij iemand anders gevonden hebt.

Laat een reactie achter op Ozymandrias Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.