DATA - Het is bizar hoe onverantwoordelijk er soms met persoonsgegevens wordt omgegaan. Bizar, want wie persoonsgegevens aan een bedrijf of organisatie verstrekt (of dat nou een e-mailadres of seksuele voorkeur is) mag verwachten dat er voor een fatsoenlijke beveiliging van de gegevens wordt gezorgd. Gelukkig gebeurt dat meestal – maar veel te vaak ook niet.
Vanmorgen belde ik voor een artikel met de Woonbond, een branche-organisatie van huurders en woningzoekenden. De organisatie had een administratiemodule per abuis openbaar op het internet geplaatst, zonder enige vorm van beveiliging.
Met deze module konden de gegevens van enquêtes die de Woonbond had uitgevoerd, worden bekeken en gewijzigd – en iedereen met een internetverbinding kon erbij. Namen, woonadressen, telefoonnummers en in totaal bijna 7200 e-mailadressen, maar ook zeer persoonlijke ontboezemingen: open en bloot op internet.
Je zou verwachten dat, wanneer je een organisatie dit vertelt, het meteen ‘code rood’ is. Dat een systeembeheerder in pure paniek dan maar de stekker uit de webserver trekt – liever een website die even offline is, dan privégegevens van duizenden mensen die voor het oprapen liggen. Je zou verwachten dat een organisatie diep door het stof gaat en door alle getroffen personen een excuusbrief stuurt. Nou, niets van dat alles. Er zou ‘van het weekend wel iemand naar kijken’, aldus de woordvoerder van de Woonbond, want de verantwoordelijke ontwikkelaar moest naar school. Ik kan verzekeren dat het niet fijn is om je tijdens een interview in hete koffie te verslikken.
Na enig aandringen besloot de organisatie er dan toch maar iemand direct naar te laten kijken, en binnen twee uur was de administratiemodule achter een loginpagina geplaatst. Maar de gedachte dat de Woonbond zelf niet op het toch tamelijk voor de hand liggende idee kwam om het lek zo snel mogelijk te dichten, is onvergeeflijk, net als het feit dat de organisatie niet van plan is om gedupeerden te laten weten dat hun persoonsgegevens mogelijk zijn misbruikt.
En het is geen incident. Afgelopen week nog bleek dat klachten die op de website van de Taxi Centrale Amsterdam binnenkwamen, voor iedereen toegankelijk waren; grofweg hetzelfde verhaal als bij de Woonbond. Wat deed de TCA vervolgens? Die klaagde dat zijn website was ‘gehackt’. Met een hack had dit echter niets te maken; wel met zoveel incompetentie dat je er somber van zou worden. En eveneens deze week bleek dat Hyves-foto’s die voor de buitenwereld waren afschermd, via een omweg toch te bekijken waren (in tegenstelling tot de TCA en de Woonbond reageerde Hyves overigens wél snel en professioneel). De organisatie Bits of Freedom houdt een uitputtend overzicht bij van dit soort privacy-fails.
Er is een lichtpuntje in deze privacyduisternis: het nieuwe kabinet heeft bij zijn aantreden belooft om een meldplicht voor datalekken in het leven te beroepen. Bedrijven en organisaties die de controle over persoonsgegevens verliezen, moeten dat bij de overheid melden, op straffe van een boete. Laten we hopen dat de overheid besluit om deze meldingen openbaar te maken. Want wanneer je privacy in het geding is geweest, heb je op zijn minst het recht om dat te weten.
Reacties (5)
Een fikse boete inderdaad, waarbij de hoogte mede bepaald moet worden naar wat cybercriminelen grif betalen voor deze gegevens (1 e-mailadres 9 euro, informatie over een bankrekening 7,50 tot 95 euro en creditcardgegevens rond de 23 euro)…
7200 * €9 = €64.800. Dat zullen ze bij de Woonbond toch net iets minder vinden.
Dat is alleen de directe schade, daarnaast ook nog e.v.t. gevolgschade…
Niet alleen Hyves-foto’s waren zichtbaar, een aantal dagen daarvoor had ik Hyves laten weten dat afgeschermde profielen zichtbaar zijn (lees dit artikel maar eens).
Beetje gerelateerd:
http://www.guardian.co.uk/commentisfree/2011/jan/31/charlie-brooker-paranoid-about-snoops