Cyberveiligheid Bij grote datalekken, zoals recent bij Odido, is er volgens Michiel Hennink één groep die over de afhandeling niets te zeggen heeft: de slachtoffers. Dat moet anders, want soms is het in hun belang om de criminelen in weerwil van de heersende wijsheid wél te betalen.
Wat doe je als je op straat wordt overvallen met een pistool – je geld of je leven? Optie één: je geld. Je vervloekt de crimineel, doet aangifte en hoopt dat het eenmalig was. Optie twee: je wilt het verdienmodel van straatrovers niet in stand houden, dus je laat je neerschieten. Je kiest voor ‘het maatschappelijk belang’, wel zo netjes, toch? Misschien. Maar de meeste ouders zullen dit hun kind niet adviseren.
Michiel Hennink is consultant.
Wat zien we als we het Odido-datalek (6,5 miljoen klanten) vergelijken met een straatroof? De directie van Odido koos voor optie twee: niet betalen, ‘schiet ons maar neer’. Maar met een ‘kleine’ nuance: niet de directieleden werden geofferd, maar hun 6,5 miljoen klanten, want het waren hún gegevens die werden gepubliceerd.
De casus Odido staat niet op zichzelf. Er zijn drie belangrijke overeenkomsten met andere grote datalekken, zoals die bij Clinical Diagnostics (bevolkingsonderzoek, bijna één miljoen vrouwen) en ChipSoft (ziekenhuizen, miljoenen patiënten en honderdduizenden medische dossiers).
Ten eerste dat miljoenen burgers geraakt worden, maar geen stem hebben in de besluitvorming na het datalek. Zoals: wel of niet onderhandelen, wel of niet betalen? Odido kon de hackers afkopen voor een euro per getroffene, maar deed dat niet. Een ingrijpende belangenafweging waarin het slachtofferbelang nu niet (formeel) werd vertegenwoordigd.
Een tweede gemene deler is dat Odido, Clinical Diagnostics, ChipSoft en betrokken zorginstellingen de getroffenen slechts summier, onpersoonlijk en vertraagd informeren. Enkele zinnen met generieke informatie en dan weer radiostilte. Ook nadat de gevoeligste (onderhandelings)fasen voorbij zijn. De krant weet vaak meer dan slachtoffers. Zorgbedrijven als ChipSoft en Epic werden eerder zelfs beschuldigd van het opleggen van zwijgplichten in IT-contracten. Transparantie als bedreiging in plaats van als kernwaarde.
De derde overeenkomst: bedrijven blijken digitaal kwetsbaar (regelmatig verwijtbaar, zoals Clinical Diagnostics en Odido), maar maakten jarenlang wel miljoenenwinsten met precies die kwetsbare producten en processen. Terwijl de pijnlijke gevolgen vooral voor klanten en patiënten zijn. Het schadevergoedingsrecht biedt getroffenen relatief weinig mogelijkheden en leidt tot slepende processen met onzekere uitkomsten.
De baten voor de één, de lasten voor de ander – zoals de chief commercial officer van Odido het tegenover Nu.nl cynisch verwoordde: „Ik snap het gevoel. Maar als we jou nu 10 euro geven, lost dat niets op.” Dank, commercial officer, maar de klant is niets gevraagd. Bovendien: soms kan een erkenning van verantwoordelijkheid of een tegemoetkoming niets oplossen, maar toch van betekenis zijn.
Deze datalekken zullen niet de laatste zijn. De volgende keer gaat het misschien om UWV-keuringen, jeugdzorgdossiers of populaire datingapps. Het lijkt mij wenselijk dat we in die situaties niet opnieuw ‘een Odidootje doen’. Getroffenen hebben nu weinig te zeggen, weinig te weten en weinig te krijgen. Zij moeten sterker staan.
Ik denk hardop na over hoe het beter kan. Ten eerste door een evenwichtiger belangenafweging te verplichten. „Niet betalen”, ongeacht de context het officiële politie-mantra voor iedere situatie, is te kort door de bocht. Zeker, een crimineel verdienmodel frustreren is in het maatschappelijk belang. Maar een ernstige schending van de persoonlijke levenssfeer van honderdduizenden mensen voorkomen is dat óók. Het kabinet erkent dit spanningsveld en wil het betalen van losgeld niet verbieden. Betalen biedt geen garanties, maar is soms wel de enige kans die je hebt. Moedig de betaaloptie niet aan, maar overweeg die wel – net als bij de straatrover.
Ten tweede kunnen gedupeerden een verplichte, formele stem krijgen in de besluitvorming na grote datalekken. Wel of niet onderhandelen? Hoe helpen we gedupeerden? Dat kan met een directe stem (bijvoorbeeld een klantenpanel) of via een vertegenwoordiger. Denk aan gespecialiseerde advocaten die als formele belangenbehartigers van de slachtoffers fungeren in de bestuurskamer.
Ten derde kunnen de informatierechten van getroffenen versterkt worden. Na de eerste melding van het datalek begint de communicatie nu vaak te haperen. Zelfs als feiten nog onduidelijk zijn, of publicatie ervan criminelen in de kaart speelt, kan een minimum aan procesupdates worden verplicht. Wat speelt er, wat kan ik verder verwachten? Een datalek heeft naast een materiële ook een emotionele dimensie. Betere communicatie is daarom cruciaal.
Tot slot kunnen we grote bedrijven verplichten om slachtoffers van een datalek sneller en meer tegemoet te komen. Een eerste financiële tegemoetkoming kan gestandaardiseerd worden, nog los van de juridische schuld- of schadevraag. Zo gaat het ook bij luchtvaartmaatschappijen die een vaste vergoeding betalen bij vertraging of banken die klanten compenseren na phishing.
Bij datalekken zou de hoogte van de tegemoetkoming bijvoorbeeld kunnen afhangen van de gevoeligheid van de gelekte gegevens, de omzet uit de klant en/of recente bedrijfswinsten. Bovendien moet het mogelijk worden voortijdig een consumentencontract op te zeggen, wanneer een bedrijf als Odido het vertrouwen heeft geschaad.
Overregulering of bedrijven failliet laten gaan na een datalek is onwenselijk. Maar honderdduizenden mensen duperen, die gratuit excuses aanbieden met gesloten beurs, en de jaren daarop weer vrolijk miljoenenwinsten uitkeren, is óók onwenselijk. Die vrijblijvendheid mag er wel een beetje af.