In onze maatschappij wordt steeds meer gebruik gemaakt van digitale middelen. Niemand kan zich nog een leven voorstellen zonder internet en e-mail, maar deze ontwikkelingen brengen wel risico’s met zich mee. In dit artikel zal ik stilstaan bij verscheidene grote fouten die op dit gebied in het verleden zijn begaan. Om te illustreren wat wij daarvan kunnen leren, geef ik enkele voorbeelden van risico’s die een digitale wereld met zich meebrengt.
Het meest recente voorbeeld van een ‘digitaal’ risico is het datalek bij de Nederlandse Zorgautoriteit (afgekort NZa). Deze organisatie adviseert de minister over de spelregels waar men zich aan te houden heeft in de zorg en signaleert mogelijke inconsistenties en belemmeringen die daarbij kunnen voorkomen. In haar rol als regelgever stelt de NZa tarieven, prestaties en budgetten vast waar dat nodig is. Dankzij een klokkenluider vanuit de organisatie is bekend geworden dat er jarenlang een groot gat in de digitale beveiliging van de NZa zat. Ofschoon het de taak van deze klokkenluider was om de kwaliteit van de beveiligingsmaatregelen te testen en hij zijn leidinggevende meerdere malen op de hoogte stelde van de beveiligingslekken, werd er niets met zijn informatie gedaan.
Het is schokkend om te horen dat een belangrijke medische organisatie als de NZa onzorgvuldig omgaat met de gegevens die een klokkenluider aan zijn eigen organisatie meldt. Het wordt nog schokkender wanneer de omvang van het probleem nader bekeken wordt. Gegevens van patiënten, personeel en ziekenhuizen waren voor alle medewerkers van de Zorgautoriteit in te zien, van ontslagbrieven tot intieme verslagen over patiënten. Dit soort gegevens zou zwaar beveiligd moeten zijn en slechts door een beperkt deel van de medewerkers te raadplegen. Daarnaast stonden ook illegaal verkregen speelfilms, waaronder de laatste Die Hard-film met Bruce Willis en meer dan 2.000 niet-rechtenvrije e-boeken, op het interne netwerk van de NZa. Dit houdt ook nog eens een grove schending van het auteursrecht in.
Helaas is dit digitale falen in de laatste jaren niet het enige datalek geweest. Er zijn verschillende schandalen geweest die getuigen van een slechte beveiliging. Het meest bekende is de affaire met Diginotar. Dit bedrijf verschafte zogenaamde certificaten die in het internetverkeer gebruikt worden om identiteiten vast te stellen. Diginotar verstrekte dit soort certificaten aan alle overheidsdiensten, waaronder de RDW (Rijksdienst wegverkeer) en DigiD. Een Iraanse hacker maakte meer dan 500 valse certificaten, waarmee legitieme websites nagemaakt en volledig overgenomen kunnen worden door een hacker. Deze hack betekende uiteindelijk de ondergang voor het bedrijf Diginotar, dat niet lang daarna failliet ging.
Datalekken of inbraken door een hacker zijn ingrijpende problemen. Ieder bedrijf zou continu alles in het werk moeten stellen om dit te voorkomen. Mogelijkheden hiervoor zijn het inhuren van hackers om de zwakke plekken in het eigen systeem in kaart te brengen. Hiernaast kan ook een privacy-audit inzicht bieden in de mogelijke zwakke plekken van privacygevoelige gegevens. Bij een dergelijke audit kijkt een privacy-expert naar de manier waarop gegevens beveiligd zijn, hoe de medewerkers toegang kunnen krijgen tot bepaalde gevoelige gegevens en wie precies die toegang krijgt. Het is moeilijk om alle risico’s in te dekken, maar de nodige zelfreflectie op het gebied van beveilig zou ieder modern bedrijf moeten nastreven en toejuichen.
Lees ook de andere artikelen van mr. Sophia Sipkens.