Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Gegevens van 17 miljoen Nederlanders op straat

Kwetsbaarheid zit in policy en gedrag

Wij kunnen wel denken dat we een drukke en uitdagende baan hebben, maar inspecteur bij de Autoriteit Persoonsgegevens (AP), dat moet echt gekkenwerk zijn. Als je alleen al ziet wat er de afgelopen maand aan datalekken in de publiciteit is gekomen. Met vorige week natuurlijk het grootste datalek van het jaar: de persoonlijke gegevens van ruim 17 miljoen Nederlanders op straat. Inkomensgegevens, zorguitgaven, belastingcijfers; alles lekte uit. Dat wordt nog een flinke kluif voor de AP-inspecteur.

Bij elk ICT-project is gegevensveiligheid een belangrijk issue. Zeker in onderwijs en zorg waar wij actief zijn, wegen privacy en dataveiligheid – terecht – zwaar. Men wil zekerheden en garanties en als het gaat om publieke clouds is men extra op z’n hoede: waar staan de data, wie kunnen erbij, wie is eigenaar van de data? En ook al kun je al die vragen volledig en naar tevredenheid beantwoorden, een licht wantrouwen blijft vaak hangen. Zo’n commercieel bedrijf als Microsoft, ver weg: dat voelt toch niet helemaal vertrouwd. Dan houden we het liever in eigen huis.
 

Megalek op staatsniveau

De afgelopen weken zijn er veel meldingen van datalekken geweest. Half augustus werd er ingebroken op de website van de gemeente Ede. Hierbij zijn gegevens van een kleine 4.000 burgers gestolen. Een week later verspreidde een medewerker van gemeente Veenendaal per ongeluk de namen en adressen van 1.500 inwoners die thuiszorg ontvangen. De dag daarna werden gegevens van zo’n 10.000 Utrechtse inwoners en bedrijven onbedoeld op het intranet van de gemeente geplaatst. Op 9 september stalen hackers 20 gigabyte aan data, waaronder persoonsgegevens, van de servers van de gemeente Almelo. Op 13 september meldden twee energiemaatschappijen aan de Autoriteit Persoonsgegevens dat gegevens van twee miljoen huishoudens vermoedelijk zijn gestolen. Op 14 september bracht een online-gamebedrijf naar buiten dat iemand onrechtmatig toegang had gehad tot hun klantendatabase met 78.000 klanten. En vlak daarna dus dat megalek op staatsniveau.
 

Kwetsbaarheid zit in policy en gedrag

Als je naar de gepubliceerde lekincidenten van de afgelopen weken kijkt, dan valt op dat het vaak gaat om inbraken in private clouds of om slordigheid van medewerkers en onrustbarend vaak om overheidsinstellingen. Zelden of nooit is dataverlies te wijten aan het feit dat data in publieke clouds staan. Kwetsbaarheid zit vooral in policy en handhaving daarvan. En in gedrag. Het zorgen voor kaders en voorwaarden, en het ‘opvoeden’ van medewerkers in veilig gedrag zijn voor ons dus net zulke belangrijke issues bij ICT-projecten.

En dan nog heb je geen 100% garantie. Als iemand doelbewust de plannen en maatregelen voor 17 miljoen Nederlanders lekt, omdat voortijdige publicatie van de Miljoenennota politieke winst oplevert, dan helpt daar geen inspecteur van de Autoriteit Persoonsgegevens aan.