Ondermijning

Niemand hoeft medelijden met Facebook te hebben: het bedrijf wist precies wat er gaande was – erger: het had zijn software erop ingericht – maar deed tegenover de buitenwereld of zijn neus bloedde. In 2015 bleek al dat via apps die derden op Facebook konden laten circuleren, niet alleen gegevens van de gebruikers van die apps konden worden geoogst, maar ook die van al hun contacten. Facebook waarschuwde gedupeerden niet, noch stelde het toezichthouders op de hoogte van dit datalek – nee, Facebook ontkende. Het veranderde stilletjes iets aan zijn software, en dat was dat. Dat maakte Zuckerbergs excuses van afgelopen week uiterst goedkoop: ‘vertrouwen beschaamd… fouten gemaakt … ervan geleerd … nooit meer doen’, zo’n soort riedel.

Door: Foto: mkhmarketing (cc)
Foto: Andrew Kuchling (cc)

Hardleers

, door

COLUMN - In 2006 liet ik de veiligheid van de elektronische patiëntendossiers van twee ziekenhuizen testen. Bij een ziekenhuis waren de hackers binnen een paar uur binnen, zonder ingewikkelde strapatsen. De hackers gebruikten een alom bekende kwetsbaarheid, konden daarna overal bij en verhuisden op mijn verzoek grote hoeveelheden gegevens heen en weer, om te kijken of het ziekenhuissysteem dan tenminste doorhad dat er ineens wel erg veel data werd rondgesleurd. Nee hoor, niks.

Ik kon lijstjes oproepen van alle patiënten met ziekte X, of geboren in een specifiek jaar, of in behandeling bij dokter Y, of wonend in postcodegebied Z. Alle patiëntendossiers kon ik vrijelijk inzien, kopiëren, wissen, ja zelfs veranderen. Het ziekenhuis merkte niets.

Toen ik de directie belde met het schokkende nieuws en een afspraak tussen hen en de hackers arrangeerde om de oorzaken van hun gapende gat te bespreken, stuurden ze de systeembeheerder. De directie noch de Raad van Bestuur lieten zich zien. Niet hun pakkie-an, vonden ze.

Maandag werd bekend dat vier Nederlandse ziekenhuizen betrokken waren bij twee nieuwe medisch datalekken.

Twee ziekenhuizen hadden via een tussenpersoon de papieren dossiers van hun patiënten aan Belgische gevangenen verstrekt; de gevangenen moesten de dossiers gereedmaken om te scannen, opdat de dossiers gedigitaliseerd konden worden. Papier ordenen, nietjes eruit, dat werk. De dossiers van je patiënten aan veroordeelde criminelen geven – wie bedenkt er in hemelsnaam zoiets? Medische dossiers mogen uitsluitend worden verwerkt door mensen die een strenge geheimhoudingsplicht hebben.

Lezen: Mohammed, door Marcel Hulspas

Mededeling

Wie was Mohammed? Wat dreef hem? In deze vlot geschreven biografie beschrijft Marcel Hulspas de carrière van de de Profeet Mohammed. Hoe hij uitgroeide van een eenvoudige lokale ‘waarschuwer’ die de Mekkanen opriep om terug te keren tot het ware geloof, tot een man die zichzelf beschouwde als de nieuwste door God gezonden profeet, vergelijkbaar met Mozes, Jesaja en Jezus.

Mohammed moest Mekka verlaten maar slaagde erin een machtige stammencoalitie bijeen te brengen die, geïnspireerd door het geloof in de ene God (en zijn Profeet) westelijk Arabië veroverde. En na zijn dood stroomden de Arabische legers oost- en noordwaarts, en schiepen een nieuw wereldrijk.

Foto: Perspecsys Photos (cc)

Een regen van lekken

, door

DATA - Van 2007 tot 2010 heb ik een overzicht bijgehouden van Nederlandse datalekken: gevallen waarin allerlei persoonlijke gegevens van derden op straat belandden. Brakke websites die grote hoeveelheden persoonsgegevens prijsgaven, psychiatrische dossiers die bij het oud papier werden gedumpt, paspoortkopieën die bij een veilingkantoor onbeveiligd online stonden.

Dat waren de uitgelekte datalekken – niemand had enig idee hoe vaak zoiets nu werkelijk gebeurde, en hoe zo’n kwestie werd afgehandeld. Stelde zo’n bedrijf de gedupeerden op de hoogte dat hun gegevens waren gelekt? Troffen ze maatregelen om herhaling te voorkomen? Dachten ze überhaupt na over deugdelijke databescherming?

De digitale burgerrechtenorganisatie Bits of Freedom nam het stokje over, en hield tot 2013 een Zwartboek Datalekken bij. Belangrijker: ze werkten noest aan een Meldplicht Datalekken, een wet die bedrijven en instellingen verplicht om datalekken meteen na ontdekking bij het College Bescherming Persoonsgegevens te melden, aangevuld met de eis dat de gedupeerden zo snel mogelijk op de hoogte worden gesteld dat hun gegevens waren gelekt. In Europees verband werd een lobby opgezet voor zo’n wet.

Het ging niet zonder slag of stoot, maar sinds 1 januari is die wet van kracht. Het is bepaald geen papieren tijger. Lekken moeten binnen 72 uur na ontdekking worden gemeld, de getroffenen moeten terdege van de lekkage op de hoogte worden gesteld, er dienen maatregelen worden genomen om herhaling te voorkomen. Wie een datalek niet meldt, kan op fikse boetes rekenen: de maximale boete is 820.000 euro, of 10% van de netto jaaromzet. Daarnaast kunnen overtredingen van de Wbp, de wet bescherming persoonsgegevens (onzorgvuldige bewerking, onrechtmatig gebruik, gegevens te lang bewaren, etc.) nu flink worden gestraft, met boetes tot maximaal 500.000 euro.

Foto: Sargasso achtergrond wereldbol

Natte maand

, door

Webwereld brengt deze maand iedere dag een datalek naar buiten. Uit vrees voor ‘maatschappelijke ophef’ hebben de gemeentes zich al schrap gezet voor de resultaten van deze lekmaand. Eindelijk!, juicht Karin Spaink. Het artikel is ook in Parool verschenen.

Datalekken vinden is inmiddels een gewilde sport geworden. Helaas is het geen topsport: terwijl instanties instellingen en bedrijven steeds meer gegevens van ons willen, zijn diezelfde dataverzamelaars vaak laks met de beveiliging ervan – wat raar is.

Juist wanneer onze gegevens zo onmisbaar zijn voor hun bedrijfsvoering, voor onze identificatie en voor het correct uitvoeren en verwerken van onze transacties, verdienen die een hoge graad van bescherming. Desondanks gaan veel websites en applicaties gebukt onder elementaire fouten. Derden kunnen daardoor makkelijk met onze gegevens aan de haal gaan. Privacyschendingen, fraude, identiteitsdiefstal en valse verdenkingen zijn het gevolg.

Zo bleek vorige maand dat je bij de Belastingdienst met een willekeurig DigiD op andermans naam een toeslag voor huur-, zorg- of kinderbijslag kon aanvragen, diens rekeningnummer in het jouwe kon veranderen en die toeslag kon wegsluizen. De Belastingdienst is zo naar schatting voor ruim een miljoen opgelicht; honderden – mogelijk duizenden – mensen zijn ofwel hun toeslag misgelopen, ofwel valselijk als fraudeurs aangemerkt.

Lezen: Bedrieglijk echt, door Jona Lendering

Mededeling

Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.

Steun ons!

Mededeling

De redactie van Sargasso bestaat uit een club vrijwilligers. Naast zelf artikelen schrijven struinen we het internet af om interessante artikelen en nieuwswaardige inhoud met lezers te delen. We onderhouden zelf de site en houden als moderator een oogje op de discussies. Je kunt op Sargasso terecht voor artikelen over privacy, klimaat, biodiversiteit, duurzaamheid, politiek, buitenland, religie, economie, wetenschap en het leven van alle dag.

Om Sargasso in stand te houden hebben we wel wat geld nodig. Zodat we de site in de lucht kunnen houden, we af en toe kunnen vergaderen (en borrelen) en om nieuwe dingen te kunnen proberen.

Foto: Sargasso achtergrond wereldbol

Boete voor lekken

, door

Een gastbijdrage van Karin Spaink, ook op haar site te lezen.

De Europese Commissie piekert over een betere richtlijn voor datalekken. Telecombedrijven die de gegevens van hun klanten per ongeluk blootgeven, zijn nu verplicht om hun clientèle daarvan op de hoogte te stellen.

Daarbij maakt het niet uit of die gegevens zijn vrijgekomen door een hack of door slordig beheer. Zulke gegevens horen immers terdege beschermd te worden, en mocht die bescherming hebben gefaald, dan hebben de getroffen klanten op z’n minst het recht dat zo snel mogelijk te weten. Het zijn per slot van rekening hún gegevens die onbedoeld rondslingeren.

De huidige richtlijn – niet veel meer dan een notificatieplicht – helpt weinig: hij is te beperkt, te soepel en te laks.Alleen telecombedrijven vallen onder de richtlijn, ze hebben liefst een week om hun klanten te waarschuwen, en er zijn amper repercussies. Wie zich er enigszins in verdiept weet dat datalekken tegenwoordig aan de orde van de dag zijn, en dat ze behoorlijk ingrijpend kunnen zijn. Honderdduizenden patiëntendossiers hier. Tienduizenden creditcards daar. Een half miljoen accounts elders. Persoonsgegevens verliezen (of hacken) is een internationale sport geworden.

Steun ons!

Mededeling

De redactie van Sargasso bestaat uit een club vrijwilligers. Naast zelf artikelen schrijven struinen we het internet af om interessante artikelen en nieuwswaardige inhoud met lezers te delen. We onderhouden zelf de site en houden als moderator een oogje op de discussies. Je kunt op Sargasso terecht voor artikelen over privacy, klimaat, biodiversiteit, duurzaamheid, politiek, buitenland, religie, economie, wetenschap en het leven van alle dag.

Om Sargasso in stand te houden hebben we wel wat geld nodig. Zodat we de site in de lucht kunnen houden, we af en toe kunnen vergaderen (en borrelen) en om nieuwe dingen te kunnen proberen.