Data op straat

Waar het privacy en internet betreft, gaat de
bezorgdheid gewoonlijk uit naar wat mensen zelf
op het net zetten. Hoewel het raadzaam is
daarover na te denken (is het slim om op je blog
te vertellen dat je op vakantie gaat wanneer je
huisadres makkelijk is te vinden?) en om rekening
te houden met je latere ik (wil je werkelijk tien
jaar nog steeds herinnerd worden aan die foto
waar je stomdronken op staat, of aan dat
expliciete verhaal over die wilde nacht?), is dat
niet het grootste probleem. Je hebt er vooral
jezelf mee en zulke domheid schaar ik, zij het
met lichte tegenzin, onder de mensenrechten.
Bovendien leren mensen snel: elke keer dat
dergelijke verhalen breed worden uitgemeten, is
er een opvoedkundig schokeffect.

Erger is het wanneer anderen slordig zijn met
onze gegevens. Instanties die slordig zijn met
data, laten iets slingeren dat niet van hen is.
Dat is van een andere orde. Meestal gaat het
meteen om massa's gegevens en worden duizenden of
tienduizenden mensen geraakt. Het gaat daarbij
vaak om gevoelige gegevens: adres, girorekening,
sofi-nummer, inkomen, geboortedatum - genoeg om
online iemands identiteit mee te kunnen
vervalsen.

We zagen het nogal eens gebeuren, de laatste
weken. Eind november bleek Defensie gegevens van
mariniers online te hebben gezet: 340 pagina's
met daarop hun naam, huisadres, functie en rang.
Er zaten mariniers tussen die bij
inlichtingendiensten werkten. Leuk, je werkgever
die je cover verraadt. Defensie verwijderde de
gegevens uiteindelijk van de website maar ze
bleven nog wekenlang vindbaar.

Een week geleden bleek dat Vecozo, die voor de
medische sector bijhoudt wie waar verzekerd is,
inmiddels 80.000 mensen toegang biedt tot haar
gegevens.  Van tandarts tot taxichauffeur, van
apotheek tot leverancier van hulpmiddelen:
iedereen kan erin grasduinen en adressen,
sofi-nummers en geboortedata van verzekerden
opzoeken. Daar vallen niet alleen de gegevens van
bekende Nederlanders onder, maar ook de
verblijfsadressen van vrouwen die voor hun man
zijn gevlucht en andere geheime adressen. Zo'n
site met een wachtwoord beveiligen is leuk maar
dat wordt een holle frase als  een op de 200
Nederlanders toegang tot de site heeft.  Vecozo
weigert elk commentaar.

Twee dagen later bleek verzekeraar CZ een fout in
haar website te hebben waardoor de gegevens van
55.000 mensen die een offerte hadden gevraagd, te
kijk stonden. Naam, adres, inkomen, sofi-nummer,
bankgegevens, geboortedatum, gezinssamenstelling,
roept u maar. CZ werd door een deskundige op de
hoogte gesteld van het lek maar deed niets. Toen
het nieuws vijf dagen later via het AD bekend
werd, sloot CZ de website en riep ineens mea
culpa. Hoogleraar informatica Chris Verhoef
noemde de site 'een startpagina voor
identiteitsfraude, want met deze informatie kan
een crimineel zo een creditcard op naam van
iemand anders aanvragen.'

Vorige week ging een nieuwe richtlijn van het CBP
over de online publicatie van persoonsgegevens
van kracht: wie iets publiceert, moet zelf
beoordelen of dat wettelijk juist is. Het gaat
daarbij om bedoelde publicatie. Wat mij betreft
wordt het tijd dat het CBP ferme boetes gaat
uitdelen aan al wie onbedoeld persoonsgegevens
publiceert of laat slingeren, want daar zit
momenteel de pijn. Wie weet leren die instanties
dan eindelijk om zorgvuldiger met onze gegevens
om te gaan.

Karin Spaink

Meer weten over de wondere wereld van ICT 
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef