De grootschalige virusbesmetting bij gemeenten, universiteiten en de overheid toont weer eens aan hoe kwetsbaar onze digitale infrastructuur is voor aanvallen van buiten. De Piratenpartij ziet hierin een bevestiging van haar roep om minder privacygevoelige gegevens op dit soort kwetsbare systemen op te slaan. Hoewel nog steeds niet duidelijk is waar het virus vandaan komt en welke schade het virus precies heeft aangericht, blijkt keer op keer dat het onmogelijk is om dit soort inbraken te voorkomen.
Eerder liet het Stuxnet-virus al zien hoe intelligent en kwaadaardig sommige virussen kunnen zijn. Een overheid die er een gewoonte van maakt om zoveel mogelijk gegevens van haar burgers op te slaan is ook een overheid die welbewust het risico neemt dat deze gegevens vroeger of later in verkeerde handen zullen vallen. Op het Nationaal Privacydebat dat WebWereld eerder dit jaar organiseerde betoogde Lodewijk van Zwieten, Landelijk officier van justitie voor cybercrime: "Wanneer de overheid privacygevoelige gegevens opslaat is het niet de vraag of, maar wanneer deze op straat komen."
De overheid is zich zelf dus ook bewust van de risico's. De Piratenpartij vraagt zich af waarom zij dan blijft volharden in haar data-verzamelingsdrang. Ze wil alles weten, alles verzamelen en iedere burger is op voorhand verdachte. De wens om tot een compleet overzicht te komen van 16 miljoen transparante burgers waarvan alle persoonsgegevens, vingerafdrukken, medische gegevens, telefoon-, surf- en emailgeschiedenis en zelfs de locatie van hun telefoon opgeslagen en gekoppeld zijn, past niet in een vrij land.
Dat het slechts een kwestie van tijd is tot deze gegevens in verkeerde handen vallen is zeker, de vraag is alleen wanneer dat gebeurt en hoeveel schade dit aan de samenleving of de personen in kwestie zal berokkenen. De schade die aangericht wordt bij identiteitsdiefstal is niet in euro's uit te drukken. Waarschijnlijk dat het daarom in de risicoafwegingen van de overheid niet voldoende naar voren komt.
Niet alleen heeft de overheid dringend behoefte aan betere ICT-kennis om te komen tot goed beveiligde en goed functionerende systemen, nog veel belangrijker is het dat de overheid eens heel kritisch gaat kijken naar de noodzaak en de wenselijkheid van haar niet aflatende gegevenshonger die een reëel gevaar vormt voor de privacy en de rechtszekerheid van alle Nederlandse burgers. Het is dus hoog tijd voor dataminimalisatie en het echt werk maken van privacy-by-design. Niet alleen de veiligheid en privacy van de burgers zou hiermee gediend zijn, maar ook de staatskas, waaruit ieder jaar 5 tot 7 miljard euro aan mislukte ICT-projecten verdwijnt.
Het zou zo moeten zijn, dat wanneer de gegevens niet 100% beveiligd zijn, dat ze niet op een vanaf internet toegankelijk systeem mogen staan.
Verder zou de leverancier van de software niet de goedkoopste of de snelste moeten zijn, maar de beste en veiligste.
Dan is het misschien ook mogelijk om eventuele schade door onkunde, nalatigheid en onbenulligheid te verhalen op dit soort bedrijven, hiermee bedoel ik dus niet de schade, waar de makers niet aan kunnen doen, zoals een ICT afdeling die “vergeet” updates te installeren e.d.
Paradigm shift. We leven niet in de 19e eeuw en wat de overheid opslaat is een fractie van de datasporen die worden achtergelaten. Transparantie is de nieuwe norm. Wie geen spoor achterlaat is binnenkort verdacht.
Neemt niet weg dat het een #fail is dat duizenden overheidscomputers in botnets zitten, maar volgens politici hoeft er geen ministerie van ICT te komen. Gaat uitstekend met afdelingen.
“Vroeg of laat”, niet “vroeger of later”. Is een barbarisme #EvenDeGrammaticaNaziUithangen.
Verder overigens volledig eens met het artikel. Helaas zijn dit soort argumenten nog steeds te vaak tegen dovemansoren gericht wanneer je dit uitlegt aan de grootste gegevensbewaarders…
Een optie om gegevensbeveiliging op een hoger nivo te krijgen is een prijskaartje aan ieder datalek te hangen: denk aan een tientje voor basale NAW gegevens, een tientje extra voor een creditcardnummer, enz. Een en ander te betalen aan de persoon wiens gegevens gelekt zijn.
Groot nadeel is dat bedrijven minder snel geneigd zullen zijn om leken toe te geven.
Het opslaan van persoonlijke data is op zich zelf geen kwaad,maar het via internet toegankelijk maken wel.
Het gebruik maken van deze data moet aan zeer,zeer strenge voorwaarden voldoen.
De overheid mag zelf niet dit actief gebruiken,alleen via andere die hier voor zijn gescreend.
De gebruiker moet zelf ook al zijn persoonlijke data vermelden,en na gebruik zich verantwoorden.
De inzage moet gelogd worden,zodat er geen misbruik kan zijn.
Veiligheid is maar op een (meest mogelijke) manier te garanderen en dat is door kundige beheerders en opensource. Elke leverancier van propritaire software kan je ‘beloven’ dat het veilig is en audits ‘kopen’ die zeggen dat het veilig is, maar echt veilig is het pas als er veel ogen naar hebben kunnen kijken.
Helemaal mee eens (weer). Onder het mom van veiligheid worden grote hoeveelheden gegevens van mensen opgeslagen, terwijl het voor kwaadwillenden niet lastig is valse of onvolledige gegevens te (laten) verstrekken. Het is dus een schijnveiligheid die wordt gecreëerd ten koste van privacy.