Cybercriminaliteit
Dit is het dagelijkse commentaar van NRC. Het bevatmeningen, interpretaties en keuzes. Ze worden geschreven door een groepredacteuren, geselecteerd door de hoofdredacteur. In de commentaren laat NRC zien waar het voor staat. Commentaren bieden de lezer eenhandvat, een invalshoek, het is ‘eerste hulp’ bij het nieuws van de dag.
Het is een nachtmerrie en tegelijk een wake-upcall. Eerder deze week werd bekend dat de gegevens op straat liggen van bijna een half miljoen deelnemers aan het Bevolkingsonderzoek baarmoederhalskanker, alsmede de medische informatie van tienduizenden patiënten die zich via huisarts of ziekenhuis lieten testen.
Een nachtmerrie omdat het hierbij om zeer gevoelige informatie gaat. Niet alleen om medische gegevens, maar ook om het burgerservicenummer (bsn) en de geboortedatum, in deze combinatie de heilige graal voor wie iemands identiteit wil stelen. Van ruim 53.000 patiënten, onder wie een minister en een Kamerlid, staat al informatie op het dark web, het verborgen deel van het internet, ontdekte RTL Nieuws.
Het is een wake-upcall omdat het weer toont dat privacy een groot goed is, dat persoonlijke data te allen tijde beveiligd en beschermd moeten worden. De tijd van papieren dossiers is voorbij, de tijd van de eigen harde schijf of usb-stick ook (en die werden wel eens achtergelaten). Alles, over iedereen, is wel ergens digitaal opgeslagen. En data zijn waardevol, ze zijn de nieuwe handelswaar.
Dat zullen de meeste burgers hopelijk beseffen. Zeker waar het gaat om die data die je vrijwillig afstaat, al dan niet aan een grote Amerikaanse techreus: met de bonuskaart, vakantiefoto’s op het socialemedia-account, de slimme verwarmingsknop in huis, het online koopgedrag. Bij andere data-overhandiging zullen sommigen de schouders ophalen. Over de deurbelcamera van de buren, winkels waar je alleen met pinpas kan betalen, parkeerapps, cookies, gsm-sporen of gezichtsherkenning lijken de meeste Nederlanders zich geen zorgen te maken. De ophef over bijvoorbeeld de invoer van de OV-chipkaart in 2006 of de ‘Sleepwet’ waarmee inlichtingendiensten communicatie stelselmatig mochten onderscheppen en waarover zelfs in 2018 een referendum werd gehouden, lijkt iets uit het verleden.
Maar zijn we ons nog voldoende bewust van wat we allemaal achterlaten en bij wie? Achterdocht is waar het om data gaat geen overbodige luxe.
Dat maakt de impact van déze hack zo groot. Voor deelnemers aan het Bevolkingsonderzoek baarmoederhalskanker is het vijfjaarlijkse gynaecologische onderzoek al een stap. Een die wordt genomen in het besef dat het uitstrijkje ernstige ziekten voorkomt en levens redt. Deze hack kan nog meer schade berokkenen als het gevolg is dat mensen niet meer komen opdagen.
Want die vraag over het eerbiedigen van privacy zou je als burger juist niét moeten hoeven stellen, die achterdocht niét moeten voelen, als het om gegevens gaat die je deelt met de overheid, huisarts of ziekenhuis. Juist die relatie moet gebaseerd zijn op vertrouwen. Het vertrouwen dat jouw data zijn geanonimiseerd waar mogelijk, streng beveiligd omdat het moet.
En als ze in verkeerde handen vallen, dan moet je er vervolgens op kunnen vertrouwen dat onmiddellijk – en binnen 72 uur – een melding wordt gedaan bij de Autoriteit Persoonsgegevens. Zoals het er nu naar uitziet, wachtten de laboratoria van Clinical Diagnostics Nederland, onderdeel van het medisch-diagnostische bedrijf Eurofins, een maand voor zij Bevolkingsonderzoek Nederland op de hoogte brachten. Dat is onacceptabel. Degenen wier gegevens zijn gelekt, kunnen pas volgende week een brief verwachten.
Tegelijk roept het ook veel vragen op voor Bevolkingsonderzoek Nederland zelf – en de verantwoordelijke minister – en voor huisartsen en ziekenhuizen die van de laboratoria gebruik maakten. Hebben zij zich er voldoende van vergewist hoe ze die privégegevens beschermden, en zich niet louter op certificaten en mooie woorden gebaseerd? Een datalek bij een externe partij betekent niet dat zij niet verantwoordelijk zijn.
Ja, cybercriminelen worden steeds vindingrijker en hun misdaden geavanceerder. De toegang die zij nu kregen, kan zijn veroorzaakt door een menselijke fout of een ingewikkelde hack. Dat ontslaat echter niemand ervan de beveiliging zo goed mogelijk op orde te hebben.
Want hoe kan het dat in een tijd waarin de trend juist data-minimalisatie is, bij een bevolkingsonderzoek het burgerservicenummer gecombineerd wordt opgeslagen met geboortedata, adresgegevens en medische gegevens? Hadden de externe laboratoria al die data wel nodig?
De controle over de eigen persoonsgegevens is een grondrecht, en de bescherming ervan als je die als burger in goed vertrouwen overhandigt, verdient daarom het meest stevige toezicht dat de overheid kan garanderen. Dat is hier duidelijk niet gebeurd.
Economieredacteuren nemen je mee in de discussies die zij op de redactie voeren over actuele ontwikkelingen
Source: NRC