This web site is no longer maintained and may be outdated. It is retained primarily for historical reasons.

Beveilig informatie en vergeet de rest

Afbeelding: Locks van Katie | Licentie: CC BY-NC-SA 2.0

Organisaties die nu slordig met persoonsgegevens omgaan, gaan vrijuit.

Onze samenleving heeft zich de laatste twee decennia ontwikkeld tot een informatie­maatschappij. Niet eerder was zoveel gevoelige informatie over onszelf digitaal toegankelijk opgeslagen. En nog nooit is het zo belangrijk geweest dat de vertrouwelijkheid, beschikbaarheid en integriteit van die gegevens is gewaarborgd. Vandaag doet de rechter uitspraak in een zaak waarvan de aanleiding bewijst dat informatiebeveiliging niet de aandacht krijgt die het verdient.

Diegene die verantwoordelijk is voor het beheer van persoonsgegevens moet van de wet “[passende] technische en organisatorische beveiligingsmaatregelen” nemen tegen het verlies van controle over die gegevens. Naarmate de gevoeligheid van de gegevens stijgt, moet ook de beveiliging beter zijn. Maar aan de handhaving van die regels schort een hoop. Het College Bescherming Persoons­gegevens (CBP) doet lang niet altijd onderzoek. De resultaten van zo’n onderzoek zijn bovendien zonder gevoelige consequenties. Een bedrijf dat slordig met gevoelige gegevens omgaat zal slechts beboet worden als bij herhaling wordt aangetoond dat de beveiliging een zootje is. Van effectieve handhaving is daarmee geen sprake.

Dat staat in schril contrast met de behandeling van de melders van een probleem met de beveiliging waardoor onbevoegde toegang tot gevoelige gegevens mogelijk is. Degene die zo’n kwetsbaarheid meldt loopt nu het risico zich voor een rechter te moeten verantwoorden. In de strafzaak waarin vandaag de rechter uitspraak doet, maakt de organisatie die de controle over de haar toevertrouwde medische gegevens kwijt is geraakt het nog bonter. Zij eist dat de melder van de kwetsbaarheid de kosten betaalt voor onder meer “de intern gemaakte uren aan probleemoplossing”. In een samenleving die voor het functioneren afhankelijk is van goede informatiebeveiliging, is het absurd dat degene die een misstand aantoont mag opdraaien voor het rechtzetten daarvan.

Melders van kwetsbaarheden in de beveiliging van gevoelige gegevens moeten beter beschermd worden. Iemand die met de beste intenties zo’n probleem aantoont moet er op kunnen vertrouwen beloond te worden – en dan niet met een strafzaak. Het is dan natuurlijk wel belangrijk dat de aard van het aangetoonde kwetsbaarheid in verhouding staat tot de aard van de gegevens. Iemand die met een half uur proberen het wachtwoord vindt dat toegang geeft tot alle medische dossiers van een ziekenhuis en daar, behalve dat te melden, verder niets mee doet, verdient niets dan lof. Maar diegene die duizenden computers van onschuldige derden infecteert met een virus om die computers in te zetten voor het achterhalen van het wachtwoord van een mailbox, verdient niets dan een straffe rechter.

Het Openbaar Ministerie moet daarom beleidsregels opstellen waarin zij duidelijk maakt in welke situaties zij zal overgaan op vervolging. De toegepaste criteria moeten gebaseerd zijn op de proportionaliteit van de aangetoonde kwetsbaarheid en de mate van de door de melder toegepaste zorgvuldigheid. De recent door de overheid gepubliceerd richtlijn over de omgang met zulke kwetsbaarheden en meldingen daarvan, moet ook snel verduidelijkt worden. Zo moet helder zijn dat de richtlijn van toepassing is op élke kwetsbaarheid, ongeacht de aard ervan. Bij iedere maatregel moet de beveiliging van informatie als uitgangspunt genomen worden.

Maar het allerbelangrijkste is dat de politiek gaat kiezen voor een effectieve handhaving van de regels die worden gesteld aan het beveiligen van gevoelige gegevens. Er moet een toezichthouder komen die pro-actief optreedt en sancties met een afschrikwekkende werking oplegt. Dus geen dwangsommen, maar boetes waarvan de hoogte afhankelijk is van de gevoeligheid van de gegevens, de aard van de kwetsbaarheid en de omzet van de betrokken organisatie. En misschien moeten organisaties aan wie burgers gevoelige gegevens toevertrouwen, door het opstellen en publiceren van een privacy impact assessment, vooraf inzichtelijk maken welke risico’s er zijn en hoe daarmee wordt omgegaan.