Slechte gegevensbescherming bij Annapa brengt schade toe aan het vertrouwen in het ASP-model, meent Sander van Haaff.
Een aantal weken geleden is Annapa.com gelanceerd, een nieuw soort website die administratieve functionaliteiten via het Web aanbiedt. Zo kun je er je afspraken bijhouden en zaken als telefoonnotities bewaren. Hoewel de toegevoegde waarde van de geboden functionaliteit mijns inziens beperkt is (er zijn immers al zoveel gratis ‘lokale’ equivalenten), is vooral de achterliggende gedachte bij deze site van enorm belang. Het betreft het veelbelovende ASP-model (application service provider) waarover de laatste tijd zoveel wordt geschreven. Wanneer je naar Annapa surft, ontmoet je een voorzichtig glimlachende dame op leeftijd die onder meer vertelt dat ‘privacy enorm belangrijk is’ en dat ‘Arthur Andersen Annapa controleert om uw privacy te waarborgen.’ Aangezien we bij ons bedrijf hard bezig zijn uitgebreide ASP-applicaties te ontwikkelen, is mijn belangstelling gewekt. En dus keek ik in hoeverre uw (en mijn) privacy daadwerkelijk wordt beschermd bij Annapa. Ik viel haast van verbazing van mijn stoel toen ik ontdekte hoe kinderachtig makkelijk het is om informatie in te zien van andere gebruikers, en deze te wijzigen. Eén simpele aanpassing in de URL is voldoende.
Hoewel ik het jammer zou vinden als Annapa op een mislukking zou uitlopen, is het uiteraard geheel aan de makers (en partners) van Annapa om te bepalen in welke mate Annapa beveiligd moet zijn. Wat mij echter wel aan het hart gaat – mede vanwege het feit dat ons bedrijf in dezelfde markt opereert – is dat Annapa naar mijn mening grote schade toebrengt of kan toebrengen aan het vertrouwen van gebruikers van het ASP-model (c.q. de applicaties die volgens dit model worden aangeboden). Persoonlijk wil ik mijn agenda niet delen met derden en mijn administratie al helemaal niet. Uiteraard ben ik er niet op uit om Annapa enige schade te berokkenen, maar omdat ze niet op hun eigen feedback-optie reageren, probeer ik via dit forum (Computable Online, red.) de bouwers nogmaals te overtuigen van de problematiek rond Annapa.
Sander van Haaff,
internet technology consultant
Concurrenten-actie
“Wij betreuren de gemaakte fouten,” zegt G.Schepel. “Maar het was beter geweest ons direct op de hoogte te brengen, in plaats van naar de media te gaan”, aldus de reactie van
G. Schepel.
Allereerst moet ik mij verontschuldigen voor de gemaakte fout; dit had absoluut niet mogen gebeuren. We betreuren het voorval ten zeerste; een update geschiedde niet volgens onze richtlijnen, waardoor de pagina’s niet waren gecodeerd. Het is de ergste nachtmerrie van een ASP! Uiteraard hebben we deze fout direct hersteld. Zover we hebben kunnen nagaan, heeft dit lek geen nadelige gevolgen gehad voor onze gebruikers en hun gegevens. Beveiliging en privacy hebben onze hoogste prioriteit, en dit voorval heeft ons doen realiseren dat we daar altijd verbeteringen in kunnen aanbrengen.
Ik vind het uitstekend dat er in de media aandacht wordt besteed wordt aan een dergelijk probleem, zelfs als wij daardoor een tegenslag moeten incasseren. Het gaat uiteindelijk om de privacy van de gebruiker. Toch moet het van mijn hart dat de wijze waarop dit lek onder de aandacht van de media is gebracht, riekt naar de actie van een concurrent. Ieder ander had ons ogenblikkelijk op de hoogte gebracht van dit probleem om de schade te beperken – dat zou ik zelf ook gedaan hebben.
De schrijver van het ingezonden stuk beweegt zich blijkbaar op dezelfde markt als Annapa.com, en zal het dus volledig met me eens zijn dat een dergelijke media-actie alle toekomstige ASP-activiteiten in Nederland in discrediet zou kunnen brengen.
Bij een aantal opmerkingen van de schrijver zet ik overigens grote vraagtekens; ik twijfel dan ook aan zijn goede bedoelingen. Wij zijn zeer zorgvuldig geweest in het bepalen van onze ASP-strategie. Met opzet hebben wij bij de introductie gekozen voor een simpel ASP-model omdat we ons realiseerden dat we als een van de eerste ASP’s de gebruiker moesten laten wennen aan het idee dat hij bepaalde (persoonlijke) informatie opslaat in webapplicaties zoals de (kantoor- of persoonlijke) agenda. Daarom hebben we de drempel zo laag mogelijk gehouden door bij registratie, buiten een (verzonnen) naam, geen verdere persoonlijke informatie aan de gebruiker te vragen; een e-mailadres en branchegegevens zijn optioneel. Dit staat in grote tegenstelling tot de werkwijze van bijvoorbeeld de gratis webmailproviders die je werkelijk het hemd van je lijf vragen. Desondanks hebben zij miljoenen gebruikers die dagelijks onvoorstelbare hoeveelheden persoonlijke en zakelijke informatie over het Web versturen. De meeste gebruikers van dergelijke diensten realiseren zich wellicht niet wat er met hun gegevens gebeurt; ‘spam’ (ongevraagde e-mails) en andere vormen van ‘direct marketing’ zijn aan de orde van de dag.
Intra Sites heeft mede daarom bewust een uniek bedrijfsmodel rond Annapa.com ontwikkeld. Hierdoor hebben wij de informatie van een gebruiker gewoonweg niet nodig voor onze inkomsten, en vragen we deze informatie dus ook niet. Meer privacy is dus eigenlijk niet mogelijk!
Ondanks al deze inspanningen betreuren wij het feit dat we een steek hebben laten vallen. Het zou immers erg vervelend zijn geweest als derden door zo’n stomme fout van ons alsnog misbruik zouden hebben kunnen maken van gebruikersgegevens.
De enorme belangstelling voor http://www.annapa.com toont ons dat er ook in Nederland behoefte is aan ASP-initiatieven. De schrijver van het ingezonden artikel hoeft zich wat dat aangaat dus geen zorgen te maken.
G. Schepel,
ceo Intra Sites
