Dataveiligheid een verloren zaak?

Erkende digidisrupties zoals blockchain, robotisering en internet of things vragen om hernieuwde aandacht voor beveiliging. En dan zet de wetgever ook nog druk. Jammer genoeg is het nastreven van dataveiligheid vechten tegen de bierkaai.

Het was een mooie tijd, 1986. Ik studeerde af, huwde en ging de automatisering in. Bij RAET, de koning van het mainframe. Het RAET-mainframe was de ultieme datakluis, alleen verbonden met domme terminals. En als de data en de beschikbaarheid echt belangrijk waren, was er een uitwijk-mainframe. Maar sommige van mijn collega’s hadden de sleutel van de kluis. Een vriendelijke collega, wiens naam ik kwijt ben, liet mij eind 1986 ongevraagd zien wat mijn salaris per januari 1987 zou worden. Daarna volgde de anekdote van klant X die jaarlijks de convocaties voor haar jaarvergadering liet afdrukken. Onderdeel van het printritueel was dat alleen mensen van de klant bij de printer mochten komen, waarna namen van de interessantste grootaandeel houders de ronde deden. (Ik zeg niks.) Kortom, elektronisch vastgelegde data en security gaan vanouds niet goed samen.

In diezelfde tijd werd voor het eerst de bevolkingsadministratie geautomatiseerd. De beslissers hadden nog herinneringen aan de Tweede Wereldoorlog en hoeveel plezier de bezetter had gehad aan ons puike bevolkingsregister, dus de data moesten bij de gemeenten blijven. Als mainframe-adept kon ik de redenering niet goed volgen, maar ik wist toen nog niets van de bijzondere denkwereld van ambtenaren. Zoals bekend heeft onze overheid net honderd miljoen weggegooid aan een mislukte poging tot data-centralisatie en dat zegt evenveel over de veranderde kijk op data(bescherming) als over het toenemende onvermogen om werkende systemen te ontwikkelen.

In die goede oude tijd is geheid van alles gebeurd dat nooit naar buiten is gekomen. Zo hoorde ik eens van een EDP-auditor dat in de jaren negentig de complete basisregistratie van het toenmalige Gak (een voorloper van het UWV) zou zijn ontvreemd. Van die database met minstens zes miljoen werknemers moeten een paar mensen erg rijk zijn geworden, maar de pers heeft het nooit gehaald.

Ergens begin deze eeuw is het denken over databescherming en privacy omgeslagen. Ik zag het van nabij bij de overheid toen ik in 2007 de grote centrale loonaangiftedatabase, de polis-administratie bouwde. Die enorme, superomvangrijke database twintig miljoen loonaangiften per maand met tientallen financiële details van veertien miljoen mensen werd probleemloos op een database van het Amerikaanse IBM gestald. In Brussel. Tien jaar daarvoor zou zoiets ondenkbaar zijn geweest. Bedenk ook dat toen al lang en breed de Patriot Act was ingevoerd. Onder die wet is IBM te dwingen om de Amerikaanse overheid een kopie af te staan. Als ze in de VS ook maar half snappen wat je met die informatie kunt doen aan terreurbestrijding en economische spionage, dan is dat vermoedelijk al gebeurd. En mochten presidenten als Bush junior en Obama al terughoudend zijn, dan is Trump dat beslist niet. Toch maakt bijna niemand zich hier in Nederland druk om.

Dezelfde achteloosheid zien we bij het reguliere gegevensgebruik. Die loonaangiftedatabase is in te zien door tienduizenden ambtenaren via een mechanisme dat Suwinet-inkijk heet. Daarmee zit er een enorm gat in onze privacy. Elke keer wanneer er een audit plaatsvindt blijkt weer dat ambtenaren gevoelige gegevens bekijken van mensen met wie ze professioneel niets van doen hebben. Dat blijft ook zo want de logging is zo zwak opgezet dat de pakkans minimaal is. Vrijwel niemand die het boeit.

Tien jaar geleden was de Belastingdienst op het gebied van datasecurity overigens nog een witte raaf. Er werd daar goed gelogd en actief gecontroleerd of medewerkers buiten hun boekje gingen. Sinds begin dit jaar weten we dat dit ook voorbij is. Zembla zond toen de documentaire ‘Prutsen en pielen zonder pottenkijkers’ uit. De Belastingdienst blijkt een afdeling Data & Analytics te hebben opgezet niet met IBM maar met het eveneens Amerikaanse Accenture waarin vrijelijk en zonder controle wordt gegrut in alle data waarop de Belastingdienst de hand kan leggen. Net als bij Suwinet inkijk zijn er al overtredingen gesignaleerd, maar niemand kan uitsluiten dat niet al hetzelfde is gebeurd als in de jaren negentig bij het Gak: een massale datadiefstal. Wat de zaken nog veel enger maakt, is dat de Belastingdienst er niet voor terugdeinst allerlei gedragsdata te verzamelen. Het begint met parkeerdata – kentekenparkeren vinden ze daar top! – maar is ten principale onbegrensd. Niemand houdt de Belastingdienst tegen om kentekenregistraties per camera op te slaan of om tv-kijkgedrag en energieverbruik te gaan registreren. We zijn allang allemaal verdacht.

Als lezer van dit magazine gaat uw aandacht wellicht uit naar al die technische uitdagingen rond datasecurity: hacking, internet of things, robotisering, wetgeving. Daarmee is niets mis, maar kunnen we het ook eens hebben over onze mentaliteit en over datahygiëne? We moeten technisch moderniseren, maar een paar stappen terug naar onze vroegere mentaliteit op datagebied is even belangrijk.

(Deze bijdrage is afkomstig uit Computable Magazine, editie 06/2017.)

2018-03-20T20:25:51+00:00