Informatiebeveiliging en privacy: mis, misser hoogmis

De introductie per 25 mei 2018 van de Algemene Verordening Gegevensbescherming (AVG), internationaal aangeduid met General Data Protection Regulation (GDPR), deed menig organisatie op haar grondvesten schudden. Met man en macht werd gewerkt en bakken met geld zijn uitgegeven om op tijd compliant te zijn met de 99 artikelen uit voornoemde verordening. Maar hoe kan het nu dat ruim vijf jaar na dato privacy schendingen, eufemistisch aangeduid met datalekken, nog steeds aan de orde van de dag zijn? Hoog tijd voor een nadere analyse! In een Lutheraans pamflet, inclusief stellingen (vrij naar Maarten Luther 1517) om aan portals te spijkeren, wordt duidelijk waarom het misging, misgaat en mis blijft gaan. Voor menig organisatie wellicht een ongemakkelijk artikel, maar hopelijk toch ook een Aha-erlebnis.

Vertrouwelijkheid vormt samen met Integriteit en Beschikbaarheid de zogenoemde BIV-classificatie, waarbij op basis van een risicoanalyse een indicatie wordt gegeven van het type gegevensverwerking dat plaatsvindt in een bepaald bereik (bijv. een applicatie of informatiesysteem). Vertrouwelijke gegevens zijn bijvoorbeeld persoonsgegevens en nog gevoeliger, patiëntgegevens en deze moeten worden beschermd tegen “uitlekken”. Maatregelen om vertrouwelijkheid te garanderen zijn cryptografie en toegangsbeveiliging (autorisatie).

Datalek

Een goede graadmeter hoe de AVG functioneert en hoe organisaties met gegevens omgaan is verwoord in het containerbegrip datalek.

“Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.” (Bron: AP)

De AP kreeg in 2022 in totaal 21.151 meldingen van datalekken. Rekent u even mee: Het aantal fte van de AP was in 2022 169,2. Dit betekent gemiddeld 146 meldingen per medewerker per jaar laten we zeggen 3 per kalenderweek.

Data Privacy of Data Piracy?

Organisaties worden dus geacht volgens de AVG maatregelen te nemen om de privacy van hun (potentiële) klanten te beschermen. Als zelfs grote Amerikaanse cloud providers zeggen de wet te respecteren dan zou je kunnen stellen dat de wet succesvol is. Maar is het in woord belijden van een wet, het produceren van bergen documentatie en een “onafhankelijke” toetsing een bewijs van respect en werking?

Websitegebruikers moeten bijvoorbeeld dagelijks vele koekjes selecteren en accepteren zodat zij niet worden doodgegooid met allerlei reclameaanbiedingen. Achter deze Cookie Wall woont het cookiemonster: die lust uw gegevens rauw. Selecteer je niet de volgens de organisatie gewenste opties, krijg je veelal niks te zien. En zelfs als je alles op nee invoert, krijg je alsnog een marketinguiting. Komt die reclame voor schoenen ook altijd nadat je net een paar nieuwe hebt aangeschaft?

Volgens de AVG zijn cookies maar ook technieken zoals bijvoorbeeld Javascript, Flash cookies en HTML5-local storage verboden. Maar na uw (beperkte) toestemming mag een organisatie wel tracking cookies plaatsen waarmee een organisatie bezoekers kan profileren en het (internet)gedrag door de tijd heen volgen. Een van de (opgelegde) AVG-maatregelen is om websitegebruikers te informeren over de plaatsing van deze cookies.

Ongekende vraatzucht

Niet alleen het cookiemonster heeft honger: organisaties leiden aan ongekende vraatzucht als het gaat om onze (persoonlijke) gegevens. Ooit maakten we toepassingen (applicaties) om mensen verantwoord met gegevens om te laten gaan waarbij de toegang netjes werd geregeld en functiescheiding ingebouwd via applicatie controls. Daarna gooiden we alle bestanden bij elkaar gaven een paar knappe koppen toegang om met slimme algoritmen de bedrijfsvoering te ‘normaliseren’: het datawarehouse was geboren. Nu spreekt iedereen over datalake – machine learning – business intelligence: ongekende zwarte pareltjes in de bedrijfsvoering. De hele wereld is ondertussen vervuld van niet transparante en ongecontroleerde algoritmen dus laten we ons vooral zorgen maken over de “artificiële intelligentie”!

Diezelfde organisaties die op basis van risicoanalyses de klantgegevens vertrouwelijkheidsniveau 3 geven, vragen aan diezelfde (potentiële) klant op hun website om een paar klikjes te doen om daarmee de privacy te schenden.

Maar als de organisaties het volgens de regels doen, hebben we gelukkig nog de verknipte gebruiker: Hoe kan het dat we Facebook, X en Telegram vertrouwen maar bang zijn dat onze medische gegevens op straat komen te liggen? Misschien belangrijker: is het recht op privacy eigenlijk (nog) wel belangrijk?

Van chaos naar orde: Een re-informatie is nodig

Tijdens de Reformatie, spijkerde Maarten Luther een papier met 95 stellingen op de deuren van de kerk van Wittenberg. Hebben wij in plaats van 99 regels, 95 stellingen nodig om te worden beschermd tegen het misbruik van persoonlijke data? Kunnen daarbij de boetes als aflaten beschouwd worden?

Organisaties hebben gegevens en informatie nodig om hun klanten te bedienen maar waarom worden we niet beschermd en hoe kunnen we onszelf beschermen? Wij sluiten dit artikel af met enkele re-informatie aanbevelingen.