Privacy, I can haz?

DATA - Het is bizar hoe onverantwoordelijk er soms met persoonsgegevens wordt omgegaan. Bizar, want wie persoonsgegevens aan een bedrijf of organisatie verstrekt (of dat nou een e-mailadres of seksuele voorkeur is) mag verwachten dat er voor een fatsoenlijke beveiliging van de gegevens wordt gezorgd. Gelukkig gebeurt dat meestal – maar veel te vaak ook niet.

Vanmorgen belde ik voor een artikel met de Woonbond, een branche-organisatie van huurders en woningzoekenden. De organisatie had een administratiemodule per abuis openbaar op het internet geplaatst, zonder enige vorm van beveiliging.

Met deze module konden de gegevens van enquêtes die de Woonbond had uitgevoerd, worden bekeken en gewijzigd – en iedereen met een internetverbinding kon erbij. Namen, woonadressen, telefoonnummers en  in totaal bijna 7200 e-mailadressen, maar ook zeer persoonlijke ontboezemingen: open en bloot op internet.

Je zou verwachten dat, wanneer je een organisatie dit vertelt, het meteen ‘code rood’ is. Dat een systeembeheerder in pure paniek dan maar de stekker uit de webserver trekt – liever een website die even offline is, dan privégegevens van duizenden mensen die voor het oprapen liggen. Je zou verwachten dat een organisatie diep door het stof gaat en door alle getroffen personen een excuusbrief stuurt. Nou, niets van dat alles. Er zou ‘van het weekend wel iemand naar kijken’, aldus de woordvoerder van de Woonbond, want de verantwoordelijke ontwikkelaar moest naar school. Ik kan verzekeren dat het niet fijn is om je tijdens een interview in hete koffie te verslikken.

Na enig aandringen besloot de organisatie er dan toch maar iemand direct naar te laten kijken, en binnen twee uur was de administratiemodule achter een loginpagina geplaatst. Maar de gedachte dat de Woonbond zelf niet op het toch tamelijk voor de hand liggende idee kwam om het lek zo snel mogelijk te dichten, is onvergeeflijk, net als het feit dat de organisatie niet van plan is om gedupeerden te laten weten dat hun persoonsgegevens mogelijk zijn misbruikt.

En het is geen incident. Afgelopen week nog bleek dat klachten die op de website van de Taxi Centrale Amsterdam binnenkwamen, voor iedereen toegankelijk waren; grofweg hetzelfde verhaal als bij de Woonbond. Wat deed de TCA vervolgens? Die klaagde dat zijn website was ‘gehackt’. Met een hack had dit echter niets te maken; wel met zoveel incompetentie dat je er somber van zou worden. En eveneens deze week bleek dat Hyves-foto’s die voor de buitenwereld waren afschermd, via een omweg toch te bekijken waren (in tegenstelling tot de TCA en de Woonbond reageerde Hyves overigens wél snel en professioneel). De organisatie Bits of Freedom houdt een uitputtend overzicht bij van dit soort privacy-fails.

Er is een lichtpuntje in deze privacyduisternis: het nieuwe kabinet heeft bij zijn aantreden belooft om een meldplicht voor datalekken in het leven te beroepen. Bedrijven en organisaties die de controle over persoonsgegevens verliezen, moeten dat bij de overheid melden, op straffe van een boete. Laten we hopen dat de overheid besluit om deze meldingen openbaar te maken. Want wanneer je privacy in het geding is geweest, heb je op zijn minst het recht om dat te weten.