Onzorgvuldig omgegaan met persoonsgegevens? Vanaf 1 januari hangt daar een prijskaartje aan, dankzij de meldplicht datalekken die dan in werking treedt. En dat werd hoog tijd, zegt Brenno de Winter, expert informatiebeveiliging en privacybescherming. “Een specialegroep binnen onze samenleving selecteren, is nu makkelijker dan tijdens de Tweede Wereldoorlog.”

Brenno de Winter
Het motto uit een gedicht van Adriaen Valerius (1576) lijkt actueler dan ooit: ‘O, Nederland, let op uw saeck. Bewaar, bescherm uw rechten en privi legiën.’ Burgers moeten op de barri caden voor hun privacy, een basaal recht, vindt Brenno de Winter. “De overheid doet veel te schimmig over wat ze met al onze persoonlijke gegevens doet en wat het ons oplevert. Iemand die zegt: ‘het maakt mij niet uit of mijn gegevens op straat liggen’, wil hier niet over nadenken. Misschien vindt hij of zij het te ingewikkeld. Iemand die zegt dat privacy opgeofferd moet worden voor veiligheid, veronderstelt dat de overheid altijd een betrouwbare partner is. Maar dat weten wij beter, als geen ander.”
Onderschat
Veel te lang hebben organisaties het belang van de veiligheid van persoonsgegevens onderschat. Ethische hackers, die waarschuwen voor de veiligheidsfouten in een systeem door datalekken aan te tonen, worden op allerlei manieren aan banden gelegd, terwijl bedrijven en organisaties die onze gegevens onvoldoende beschermen, buiten schot blijven. Dat kan nu niet meer. De Wet meldplicht datalekken drukt organisaties met hun neus op hun verantwoordelijkheid, stelt De Winter. Een datalek melden is verplicht. En organisaties en bedrijven kunnen een boete krijgen als ze persoonsgegevens niet op een behoorlijke en zorgvuldige manier verwerken, of langer bewaren dan noodzakelijk is. Maar ook als de beveiliging niet deugt, het beheer van persoonsgegevens slecht is, of gevoelige informatie over burgers, zoals hun politieke voorkeur of levensovertuiging, is misbruikt. In het najaar van 2011 gooide De Winter eensteen in de rustige overheidsvijver met zijn actie Lektober. De hele maand oktober onthulde hij samen met Webwereld dagelijks een ICT-privacylek in een website of bij een overheidsdienst. En die ‘lekken’ waren ruim voorhanden. Die actie bracht het maatschappelijke debat in beweging en droeg bij aan de vernieuwde nieuwe Wet bescherming persoonsgegevens, waarin de meldplicht voor datalekken is opgenomen. Maar we zijn er nog lang niet. “Kijk wat er gebeurt met ons burgerservicenummer, dat in 2007 is ingevoerd om in combinatie met het DigiD het elektronisch verkeer tussen burgers en overheid in goede banen te leiden. Daar hadden we het sofinummer al voor. Inmiddels wordt dat registratienummer voor veel meer zaken gevraagd: de zorg, je bankrekening et cetera. Is dat nodig? De overheid kan zich tegen je keren en fouten worden gemaakt, ook door een overheid.”
Joodse organisaties
Joodse organisaties lijken zich wel degelijk van dit risico bewust. Twee jaar geleden organiseerde het adviesorgaan ter bescherming van de Joodse gemeenschap Bij Leven en Welzijn (BLEW) voor
het eerst een workshop voor Joodse bestuurders over cyberveiligheid. Hoe veilig zijn onze systemen voor hackers? Er waren sprekers, systemen werden getest.
‘De overheid kan zich tegen je keren en fouten worden gemaakt, ook door de overheid’
De opkomst was goed, en de bezoekers waren tevreden. Echte aanpassingen in de beveiliging van systemen was niet nodig. Dennis Mok, voorzitter BLEW, noemt die beveiliging in het algemeen oké. Hij ziet bovendien geen extra risico. “Maar als je de ‘voordeur’ afsluit, is het vanzelfsprekend dat je ervoor zorgt dat de digitale achterdeur ook goed dicht is.”Coen Abram, verantwoordelijk voor de ledenadministratie van de NIHS, somt op: “Iedereen die bij de NIHS komt werken, moet een contract ondertekenen dat er geen vertrouwelijke gegevens aan buitenstaanders worden verstrekt. Op straffe van ontslag. Verder zijn er diverse procedurele maatregelen getroffen om de veiligheid van persoonsgegevens te waarborgen. Van onsbestand worden regelmatig back-ups gemaakt door een bedrijf dat gespecialiseerd is in het bewaren van vertrouwelijke gegevens.” Ook de LJG ziet de veiligheid van de systemen en de ledenbestanden als een prioriteit. Madelon Bino, directeur, zegt dat daarvoor een gespecialiseerd bureau is ingehuurd dat de LJG daarover adviseert. Veel meer wil ze erover niet kwijt – voor de veiligheid. Basisschool Rosj Pina neemt de overheidsregels op het gebied van de bescherming van privacy in acht, naast alle andere veiligheidsmaatregelen die geadviseerd worden door bijvoorbeeld BLEW. De kinderen hebben ook een workshop gekregen van BLEW. Onder de titel Streetwise hadden ze les over veiligheid op straat en op internet.
Veiligheid als excuus
Het bewustzijn over digitale veiligheid groeit. Dat ziet ook Brenno de Winter. “Als ik een college geef op de Hogeschool Rotterdam, voor de opleidingen technische ontwikkeling en marketing, over beveiliging van persoonlijke gegevens, dan zit de collegezaal bomvol en is er een wachtlijst. Ook jongeren zien het belang en krijgen oog voor de risico’s.” En dat is hoopgevend. Want ondanks alle positieve ontwikkelingen zoals de Wet meldplicht datalekken, noemt De Winter de overheid nog steeds extreem techno-optimistisch. De Winter: “De overheid verzamelt steeds meer persoonsgegevens, met veiligheid als excuus. Maar de feiten om dat te onderbouwen ontbreken. De recente aanslag in Parijs is een mooi voorbeeld. Om de aanslagen te plannen, communiceerden de terroristen via sms. Nu gaan er stemmen op om het versleutelen van digitale gegevens tegen te gaan. Maar sms-berichten zijn niet versleuteld. Die berichten waren ‘openbaar’.” En De Winter gaat verder. “Het ontbreekt de overheid, politie en veiligheidsdiensten niet aan gegevens. Als ik kijk naar de aanslagen sinds de moord op Theo van Gogh, van ‘nine eleven’ tot en met de mislukte aanslag in de Thalys waren de daders steeds in beeld bij de veiligheidsdiensten. Het ontbrak dus niet aan persoonsgegevens, maar het ging mis in de fysieke opvolging. Dat kun je alleen maar oplossen door meer mankracht ter beschikking te stellen. Maar dat is duur. Dus roepen politici steeds om meer data.
‘Politici roepen om steeds meer data, zonder ook maar het begin van bewijs dat dit iets oplevert’
Met iedere keer als paradoxale kenmerk het opgeven van vrijheden om onze vrijheden te beschermen, zonder ook maar het begin van bewijs dat dit iets oplevert.” De Winter noemt dat ‘een schaamlap’ om hun straatje schoon te vegen als het opnieuw misgaat. Hij noemt het ook een risico. Voor ons burgers, voor ons basale recht op privacy.
Meepraten?
Brenno de Winter is één van de gasten in De Debatterij over ‘Privacy versus veiligheid’ op zondagmiddag 10 januari in Amsterdam. Dit is het tweede debat in een reeks van vier, georganiseerd
door Crescas in samenwerking met het NIW.
De Debatterij, 10 januari van 15.00-17.00 uur in Crea, Nieuwe Achtergracht 170, Amsterdam, entree € 2,50. Aanmelden via www.crescas.nl