Baas over eigen persoonsgegevens!

Falende databeveiliging wordt nog altijd gedoogd. Problemen met DigiNotar, Lektober, KPN hebben er niet toe geleid dat hieraan duidelijke consequenties worden verbonden. Nog steeds weten we niet wat de totale omvang is geweest van de schade die het prutswerk bij DigiNotar heeft veroorzaakt. Niet alleen in Nederland maar vooral voor Iraanse internetgebruikers.

Nalatigheid

Deze week toonde het programma Zembla dat persoonsgegevens, patiëntendossiers en andere informatie van meer dan 300.000 werknemers op straat liggen. Net als bij het Elektronisch Patiënten Dossier zie je hier dat de zwakste schakel de hele keten kan breken. Het zou gaan om het grootste lek van persoonlijke en medische data in Nederland ooit. Je kunt je afvragen of het DigiNotar debacle echt de ogen heeft geopend. Ook hier gaat het niet om ingewikkelde hacks door hele slimme types maar gewoonweg om nalatigheid in basale veiligheid, verouderde software en systemen en vergeten updates.

Hoe kan na het DigiNotar debacle, dat een bedrijf als KPN, waarvan de CEO mede-voorzitter is van de Cyber Security Raad, een orgaan dat de overheid moet adviseren op het gebied van digitale vrijheid, en een bedrijf dat bovendien een belangrijke certificaatverstrekker is voor overheidsdiensten, het onderhoud aan internet-IT systemen niet goed voor elkaar heeft? Dit terwijl KPN was getoetst en geaudit – maar een certificaat geef je toch pas als alles goed is?

Onlangs heeft het Radboud Medisch Centrum in Nijmegen het mogelijk gemaakt dat patiënten thuis via internet inzage kunnen krijgen in hun eigen dossier. Dit gaat echter met behulp van DigiD – niet de meest veilige manier om gegevens te beschermen. DigiD is daar ook helemaal niet voor gemaakt. En als het verkeerd afloopt, zie ik overheden en bedrijven die eerst proberen te ontkennen dat er iets aan de hand is, die het bagatelliseren en de schuld vervolgens aan de boodschapper geven.

Een lek wordt als incident behandeld maar deze lekken zijn symptomen van een chronische ziekte. Daar horen medicijnen bij maar vooral een andere manier van leven. Bij het opslaan, verwerken, bewaren en beveiligen van informatie moeten overheden, bedrijven en instellingen daarom worden aangezet tot een andere levensstijl.

Eigen verantwoordelijkheid

En omdat absolute veiligheid niet gegarandeerd kan worden, zullen zij het verzamelen van persoonsgegevens moeten beperken tot een noodzakelijk minimum en voor beperkte tijd. Als er zo slordig wordt omgegaan met de beveiliging van persoonsgegevens moeten we zelf meer eigenaar worden. Baas over eigen data. Bedrijven en overheden zouden persoonsgegevens alleen maar mogen verwerken als daar expliciet toestemming voor is en dat die toestemming tijdelijk van aard is. Mensen moeten instrumenten krijgen om de eigen verantwoordelijkheid handen en voeten te geven.

Gebruikers vullen soms lukraak gegevens in, maar weten niet precies waar die worden bewaard en welke mate deze worden gekoppeld aan andere bestanden en verhandeld. Privacygevoelige informatie moet beter worden beschermd. Bedrijven en overheden die ronduit slordig met gegevens omspringen moeten een hoge boete kunnen krijgen. Het College Bescherming Persoonsgegevens zou daarvoor meer bevoegdheden moeten krijgen. Voor de bescherming van privacy moet de waarde van privacy omhoog. En prutswerk moet worden bestraft.