Ondermijning

Niemand hoeft medelijden met Facebook te hebben: het bedrijf wist precies wat er gaande was – erger: het had zijn software erop ingericht – maar deed tegenover de buitenwereld of zijn neus bloedde. In 2015 bleek al dat via apps die derden op Facebook konden laten circuleren, niet alleen gegevens van de gebruikers van die apps konden worden geoogst, maar ook die van al hun contacten. Facebook waarschuwde gedupeerden niet, noch stelde het toezichthouders op de hoogte van dit datalek – nee, Facebook ontkende. Het veranderde stilletjes iets aan zijn software, en dat was dat. Dat maakte Zuckerbergs excuses van afgelopen week uiterst goedkoop: ‘vertrouwen beschaamd… fouten gemaakt … ervan geleerd … nooit meer doen’, zo’n soort riedel.

Foto: Andrew Kuchling (cc)

Hardleers

COLUMN - In 2006 liet ik de veiligheid van de elektronische patiëntendossiers van twee ziekenhuizen testen. Bij een ziekenhuis waren de hackers binnen een paar uur binnen, zonder ingewikkelde strapatsen. De hackers gebruikten een alom bekende kwetsbaarheid, konden daarna overal bij en verhuisden op mijn verzoek grote hoeveelheden gegevens heen en weer, om te kijken of het ziekenhuissysteem dan tenminste doorhad dat er ineens wel erg veel data werd rondgesleurd. Nee hoor, niks.

Ik kon lijstjes oproepen van alle patiënten met ziekte X, of geboren in een specifiek jaar, of in behandeling bij dokter Y, of wonend in postcodegebied Z. Alle patiëntendossiers kon ik vrijelijk inzien, kopiëren, wissen, ja zelfs veranderen. Het ziekenhuis merkte niets.

Toen ik de directie belde met het schokkende nieuws en een afspraak tussen hen en de hackers arrangeerde om de oorzaken van hun gapende gat te bespreken, stuurden ze de systeembeheerder. De directie noch de Raad van Bestuur lieten zich zien. Niet hun pakkie-an, vonden ze.

Maandag werd bekend dat vier Nederlandse ziekenhuizen betrokken waren bij twee nieuwe medisch datalekken.

Twee ziekenhuizen hadden via een tussenpersoon de papieren dossiers van hun patiënten aan Belgische gevangenen verstrekt; de gevangenen moesten de dossiers gereedmaken om te scannen, opdat de dossiers gedigitaliseerd konden worden. Papier ordenen, nietjes eruit, dat werk. De dossiers van je patiënten aan veroordeelde criminelen geven – wie bedenkt er in hemelsnaam zoiets? Medische dossiers mogen uitsluitend worden verwerkt door mensen die een strenge geheimhoudingsplicht hebben.

Lezen: De wereld vóór God, door Kees Alders

De wereld vóór God – Filosofie van de oudheid, geschreven door Kees Alders, op Sargasso beter bekend als Klokwerk, biedt een levendig en compleet overzicht van de filosofie van de oudheid, de filosofen van vóór het christendom. Geschikt voor de reeds gevorderde filosoof, maar ook zeker voor de ‘absolute beginner’.

In deze levendige en buitengewoon toegankelijke introductie in de filosofie ligt de nadruk op Griekse en Romeinse denkers. Bekende filosofen als Plato en Cicero passeren de revue, maar ook meer onbekende namen als Aristippos en Carneades komen uitgebreid aan bod.

Foto: Perspecsys Photos (cc)

Een regen van lekken

DATA - Van 2007 tot 2010 heb ik een overzicht bijgehouden van Nederlandse datalekken: gevallen waarin allerlei persoonlijke gegevens van derden op straat belandden. Brakke websites die grote hoeveelheden persoonsgegevens prijsgaven, psychiatrische dossiers die bij het oud papier werden gedumpt, paspoortkopieën die bij een veilingkantoor onbeveiligd online stonden.

Dat waren de uitgelekte datalekken – niemand had enig idee hoe vaak zoiets nu werkelijk gebeurde, en hoe zo’n kwestie werd afgehandeld. Stelde zo’n bedrijf de gedupeerden op de hoogte dat hun gegevens waren gelekt? Troffen ze maatregelen om herhaling te voorkomen? Dachten ze überhaupt na over deugdelijke databescherming?

De digitale burgerrechtenorganisatie Bits of Freedom nam het stokje over, en hield tot 2013 een Zwartboek Datalekken bij. Belangrijker: ze werkten noest aan een Meldplicht Datalekken, een wet die bedrijven en instellingen verplicht om datalekken meteen na ontdekking bij het College Bescherming Persoonsgegevens te melden, aangevuld met de eis dat de gedupeerden zo snel mogelijk op de hoogte worden gesteld dat hun gegevens waren gelekt. In Europees verband werd een lobby opgezet voor zo’n wet.

Het ging niet zonder slag of stoot, maar sinds 1 januari is die wet van kracht. Het is bepaald geen papieren tijger. Lekken moeten binnen 72 uur na ontdekking worden gemeld, de getroffenen moeten terdege van de lekkage op de hoogte worden gesteld, er dienen maatregelen worden genomen om herhaling te voorkomen. Wie een datalek niet meldt, kan op fikse boetes rekenen: de maximale boete is 820.000 euro, of 10% van de netto jaaromzet. Daarnaast kunnen overtredingen van de Wbp, de wet bescherming persoonsgegevens (onzorgvuldige bewerking, onrechtmatig gebruik, gegevens te lang bewaren, etc.) nu flink worden gestraft, met boetes tot maximaal 500.000 euro.

Foto: Eric Heupel (cc)

Natte maand

Webwereld brengt deze maand iedere dag een datalek naar buiten. Uit vrees voor ‘maatschappelijke ophef’ hebben de gemeentes zich al schrap gezet voor de resultaten van deze lekmaand. Eindelijk!, juicht Karin Spaink. Het artikel is ook in Parool verschenen.

Datalekken vinden is inmiddels een gewilde sport geworden. Helaas is het geen topsport: terwijl instanties instellingen en bedrijven steeds meer gegevens van ons willen, zijn diezelfde dataverzamelaars vaak laks met de beveiliging ervan – wat raar is.

Juist wanneer onze gegevens zo onmisbaar zijn voor hun bedrijfsvoering, voor onze identificatie en voor het correct uitvoeren en verwerken van onze transacties, verdienen die een hoge graad van bescherming. Desondanks gaan veel websites en applicaties gebukt onder elementaire fouten. Derden kunnen daardoor makkelijk met onze gegevens aan de haal gaan. Privacyschendingen, fraude, identiteitsdiefstal en valse verdenkingen zijn het gevolg.

Zo bleek vorige maand dat je bij de Belastingdienst met een willekeurig DigiD op andermans naam een toeslag voor huur-, zorg- of kinderbijslag kon aanvragen, diens rekeningnummer in het jouwe kon veranderen en die toeslag kon wegsluizen. De Belastingdienst is zo naar schatting voor ruim een miljoen opgelicht; honderden – mogelijk duizenden – mensen zijn ofwel hun toeslag misgelopen, ofwel valselijk als fraudeurs aangemerkt.

Bestel je boeken bij Bazarow

Bazarow is een verkopende boekensite, waar je ook recensies, nieuws, een agenda en een digitaal magazine kan vinden. Nog niet alles is af, maar veel boeken zijn al te vinden en er komt de komende maanden steeds meer bij.

Het doel van Bazarow is om een site te vormen die evenveel gemak biedt als de online giganten maar die wél teruggeeft aan de boekensector. Tegen roofkapitalisme, en voor teruggeefkapitalisme, bijvoorbeeld door te zorgen dat een flink deel van de opbrengst terug naar de sector gaat en door boekhandels te steunen.

Lezen: Venus in het gras, door Christian Jongeneel

Op een vroege zomerochtend loopt de negentienjarige Simone naakt weg van haar vaders boerderij. Ze overtuigt een passerende automobiliste ervan om haar mee te nemen naar een afgelegen vakantiehuis in het zuiden van Frankrijk. Daar ontwikkelt zich een fragiele verstandhouding tussen de twee vrouwen.

Wat een fijne roman is Venus in het gras! Nog nooit kon ik zoveel scènes tijdens het lezen bijna ruiken: de Franse tuin vol kruiden, de schapen in de stal, het versgemaaide gras. – Ionica Smeets, voorzitter Libris Literatuurprijs 2020.

Foto: Eric Heupel (cc)

Boete voor lekken

Een gastbijdrage van Karin Spaink, ook op haar site te lezen.

De Europese Commissie piekert over een betere richtlijn voor datalekken. Telecombedrijven die de gegevens van hun klanten per ongeluk blootgeven, zijn nu verplicht om hun clientèle daarvan op de hoogte te stellen.

Daarbij maakt het niet uit of die gegevens zijn vrijgekomen door een hack of door slordig beheer. Zulke gegevens horen immers terdege beschermd te worden, en mocht die bescherming hebben gefaald, dan hebben de getroffen klanten op z’n minst het recht dat zo snel mogelijk te weten. Het zijn per slot van rekening hún gegevens die onbedoeld rondslingeren.

De huidige richtlijn – niet veel meer dan een notificatieplicht – helpt weinig: hij is te beperkt, te soepel en te laks.Alleen telecombedrijven vallen onder de richtlijn, ze hebben liefst een week om hun klanten te waarschuwen, en er zijn amper repercussies. Wie zich er enigszins in verdiept weet dat datalekken tegenwoordig aan de orde van de dag zijn, en dat ze behoorlijk ingrijpend kunnen zijn. Honderdduizenden patiëntendossiers hier. Tienduizenden creditcards daar. Een half miljoen accounts elders. Persoonsgegevens verliezen (of hacken) is een internationale sport geworden.

Lezen: Venus in het gras, door Christian Jongeneel

Op een vroege zomerochtend loopt de negentienjarige Simone naakt weg van haar vaders boerderij. Ze overtuigt een passerende automobiliste ervan om haar mee te nemen naar een afgelegen vakantiehuis in het zuiden van Frankrijk. Daar ontwikkelt zich een fragiele verstandhouding tussen de twee vrouwen.

Wat een fijne roman is Venus in het gras! Nog nooit kon ik zoveel scènes tijdens het lezen bijna ruiken: de Franse tuin vol kruiden, de schapen in de stal, het versgemaaide gras. – Ionica Smeets, voorzitter Libris Literatuurprijs 2020.