Overslaan en naar de inhoud gaan

Informatiebeveiliging en privacy: mis, misser hoogmis

Vijf jaar na de introductie van de AVG zijn de privacyschendingen bepaald niet afgenomen. In een Lutheraans pamflet, inclusief stellingen (vrij naar Maarten Luther 1517) om aan portals te spijkeren, leggen Theo Krens en Jeroen Speckamp haarfijn uit waarom het misging, misgaat en mis blijft gaan.

De introductie per 25 mei 2018 van de Algemene Verordening Gegevensbescherming (AVG), internationaal aangeduid met General Data Protection Regulation (GDPR), deed menig organisatie op haar grondvesten schudden. Met man en macht werd gewerkt en bakken met geld zijn uitgegeven om op tijd compliant te zijn met de 99 artikelen uit voornoemde verordening. Maar hoe kan het nu dat ruim vijf jaar na dato privacy schendingen, eufemistisch aangeduid met datalekken, nog steeds aan de orde van de dag zijn? Hoog tijd voor een nadere analyse! In een Lutheraans pamflet, inclusief stellingen (vrij naar Maarten Luther 1517) om aan portals te spijkeren, wordt duidelijk waarom het misging, misgaat en mis blijft gaan. Voor menig organisatie wellicht een ongemakkelijk artikel, maar hopelijk toch ook een Aha-erlebnis.

Als er al sprake is van volledige bescherming van de privacy, dan bestaat dat alleen voor de meest volkomenen, dus voor heel weinigen (23).

Daarom wordt een groot deel van de bevolking bedrogen, wanneer hun met een groots gebaar zonder onderscheid bescherming van de privacy beloofd wordt (24).

“Ons bedrijf respecteert uw privacy en draagt er zorg voor dat de persoonlijke informatie die u ons verschaft vertrouwelijk en veilig wordt behandeld. Ook hechten we veel waarde aan een goede beveiliging van uw persoonlijke gegevens. Wij hebben dan ook passende technische en organisatorische maatregelen genomen om uw persoonlijke gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.” Zomaar drie standaard zinnetjes die je voorgeschoteld krijgt bij bijna iedere willekeurige website die je bezoekt. Zijn organisaties daadwerkelijk zo begaan met de bescherming van de gegevens van hun klanten of interesseert ze het, plat gezegd, geen ene mallemoer en zijn voorgaande geruststellende woorden alleen ingegeven door de torenhoge boetes die ze boven het hoofd hangen?

Weg dus met al die proleten, die tot de on-line community zeggen: Veilig, veilig en het is niet veilig (92).

Achtergrond

“Privacy, persoonlijke levenssfeer, privésfeer of eigenruimte schermt personen of groepen af van bespieding en beïnvloeding.” Privacy betekent dat iemand dingen kan doen zonder dat de buitenwereld daar weet van heeft, inbreuk op maakt, of invloed op heeft. De afscherming van beïnvloeding wordt ook omschreven als het recht om met rust gelaten te worden. Het is een universeel mensenrecht, een fundamentele vrijheid en een grondrecht, in ieder geval in Nederland.

De consequentie van voorgaande omschrijving is dat gegevens die betrekking hebben op privacy moeten worden beschermd en dat de verstrekker op bescherming kan vertrouwen.

Toen het Europees Parlement zei: ‘Bescherm de privacy’ wilde zij dat de privacy van zijn inwoners voortdurend beschermd zou zijn (1).

Dit woord mag niet verstaan worden als alleen betrekking hebbend op de taken van de Autoriteit Persoonsgegevens die bestaan uit toezicht en handhaving en door haar bediend worden (2).

Wat was ook alweer de aanleiding van de Algemene Verordening Gegevens-bescherming (AVG)? Juist ja, het massaal door organisaties negeren van de Wet Bescherming Persoonsgegevens (WBP) die sinds 6 juli 2000(!) van kracht was om onze privacy te beschermen. De ingestelde toezichthouder, het College Bescherming Persoonsgegevens (CBP), mocht handhaven als een tandeloze tijger. Dus introduceer je een nieuwe wet, de AVG, waarin het echt geregeld gaat worden en je geeft de toezichthouder een nieuwe naam: de Autoriteit Persoonsgegevens (AP).

Vertrouwelijkheid en privacy

Privacy bestond dus gelukkig ook al ruim voor 2018 en werd aangeduid met de vertrouwelijkheid van gegevensverwerking. Vertrouwelijkheid is een kwaliteitskenmerk van gegevens. Met vertrouwelijkheid wordt bedoeld dat een gegeven alleen te benaderen is door de eigenaar of door iemand die gemachtigd is door de eigenaar.

Vertrouwelijkheid vormt samen met Integriteit en Beschikbaarheid de zogenoemde BIV-classificatie, waarbij op basis van een risicoanalyse een indicatie wordt gegeven van het type gegevensverwerking dat plaatsvindt in een bepaald bereik (bijv. een applicatie of informatiesysteem). Vertrouwelijke gegevens zijn bijvoorbeeld persoonsgegevens en nog gevoeliger, patiëntgegevens en deze moeten worden beschermd tegen “uitlekken”. Maatregelen om vertrouwelijkheid te garanderen zijn cryptografie en toegangsbeveiliging (autorisatie).

Datalek

Een goede graadmeter hoe de AVG functioneert en hoe organisaties met gegevens omgaan is verwoord in het containerbegrip datalek.

“Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.” (Bron: AP)

De AP kreeg in 2022 in totaal 21.151 meldingen van datalekken. Rekent u even mee: Het aantal fte van de AP was in 2022 169,2. Dit betekent gemiddeld 146 meldingen per medewerker per jaar laten we zeggen 3 per kalenderweek.

Data Privacy of Data Piracy?

De schatten van de data zijn de netten waarmee men nu de rijkdom van de mensen vangt (66).

Organisaties worden dus geacht volgens de AVG maatregelen te nemen om de privacy van hun (potentiële) klanten te beschermen. Als zelfs grote Amerikaanse cloud providers zeggen de wet te respecteren dan zou je kunnen stellen dat de wet succesvol is. Maar is het in woord belijden van een wet, het produceren van bergen documentatie en een “onafhankelijke” toetsing een bewijs van respect en werking?

Websitegebruikers moeten bijvoorbeeld dagelijks vele koekjes selecteren en accepteren zodat zij niet worden doodgegooid met allerlei reclameaanbiedingen. Achter deze Cookie Wall woont het cookiemonster: die lust uw gegevens rauw. Selecteer je niet de volgens de organisatie gewenste opties, krijg je veelal niks te zien. En zelfs als je alles op nee invoert, krijg je alsnog een marketinguiting. Komt die reclame voor schoenen ook altijd nadat je net een paar nieuwe hebt aangeschaft?

Volgens de AVG zijn cookies maar ook technieken zoals bijvoorbeeld Javascript, Flash cookies en HTML5-local storage verboden. Maar na uw (beperkte) toestemming mag een organisatie wel tracking cookies plaatsen waarmee een organisatie bezoekers kan profileren en het (internet)gedrag door de tijd heen volgen. Een van de (opgelegde) AVG-maatregelen is om websitegebruikers te informeren over de plaatsing van deze cookies.

Ongekende vraatzucht

Niet alleen het cookiemonster heeft honger: organisaties leiden aan ongekende vraatzucht als het gaat om onze (persoonlijke) gegevens. Ooit maakten we toepassingen (applicaties) om mensen verantwoord met gegevens om te laten gaan waarbij de toegang netjes werd geregeld en functiescheiding ingebouwd via applicatie controls. Daarna gooiden we alle bestanden bij elkaar gaven een paar knappe koppen toegang om met slimme algoritmen de bedrijfsvoering te ‘normaliseren’: het datawarehouse was geboren. Nu spreekt iedereen over datalake – machine learning – business intelligence: ongekende zwarte pareltjes in de bedrijfsvoering. De hele wereld is ondertussen vervuld van niet transparante en ongecontroleerde algoritmen dus laten we ons vooral zorgen maken over de “artificiële intelligentie”!

Moge het echter die proleten welgaan, die tot de online community zeggen: onveilig, onveilig en het is niet onveilig (93).

Diezelfde organisaties die op basis van risicoanalyses de klantgegevens vertrouwelijkheidsniveau 3 geven, vragen aan diezelfde (potentiële) klant op hun website om een paar klikjes te doen om daarmee de privacy te schenden.

Maar als de organisaties het volgens de regels doen, hebben we gelukkig nog de verknipte gebruiker: Hoe kan het dat we Facebook, X en Telegram vertrouwen maar bang zijn dat onze medische gegevens op straat komen te liggen? Misschien belangrijker: is het recht op privacy eigenlijk (nog) wel belangrijk?

Van chaos naar orde: Een re-informatie is nodig

Wie de waarheid van de privacy weerspreekt, die zij vervloekt (71).

Maar wie zich bezorgd maakt over de willekeur en de brutaliteit in de woorden van de online community, die zij gezegend (72).

Zoals de Autoriteit Persoonsgegevens met zijn toorn en ban hen straft die ten aanzien van de privacy allerlei bedrog plegen (73).

Tijdens de Reformatie, spijkerde Maarten Luther een papier met 95 stellingen op de deuren van de kerk van Wittenberg. Hebben wij in plaats van 99 regels, 95 stellingen nodig om te worden beschermd tegen het misbruik van persoonlijke data? Kunnen daarbij de boetes als aflaten beschouwd worden?

Organisaties hebben gegevens en informatie nodig om hun klanten te bedienen maar waarom worden we niet beschermd en hoe kunnen we onszelf beschermen? Wij sluiten dit artikel af met enkele re-informatie aanbevelingen.

De “privacy reflex”. Privacy wordt alleen bereikt door een adequate inrichting van logische toegangsbeveiliging. De meeste privacyschendingen worden veroorzaakt door ondoordachte en te ruime permissies.

Respect. Waardeer de privacy van uw medemens zoals u uw eigen privacy waardeert. Organisaties dienen transparant te publiceren hoe zij omgaan met de (vertrouwelijke) gegevens van (potentiële) klanten.

Herbezinning. Regelgeving die niet kan worden of wordt gehandhaafd moet worden herzien of afgeschaft voor de introductie van weer nieuwe regels (NIS2, DORA).

Herstel van moreel besef. Heropvoeding van de dataslurpers met toezicht en strafmaat. Recente voorbeelden van uitgedeelde boetes geven hoop maar het besef is nog niet ingedaald.

Stop de illusie van Gratis. Programmeurs werken niet gratis. U betaalt zonder toestemming met het verstrekken van uw (persoonlijke) gegevens.

Gebruik eens LSD (Luisteren Samenvatten en Doorvragen). U bent eigenaar van uw data dus vraag eens door bij de organisaties waar u zaken mee doet – welke data verzamelt u en waar legt u deze vast en wie kan erbij en hoe borgen jullie dat?

Wij wensen u veel succes met wat er rest van uw privacy!

Magazine AG Connect
Dit artikel verscheen ook in AG Connect editie 3 2024. Wil je het blad ook ontvangen? Bekijk dan onze abonnementen.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee
KG
Kees Groeneveld 21 juni 2024

Waar is nu de link naar het pamflet? Kan aan dit artikel geen touw vastknopen....

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in