Incidenten waarbij persoonsgegevens in de openbaarheid komen lijken in Nederland op een veel minder grote schaal voor te komen dan in het buitenland. Is de informatiebeveiliging in ons land dan van een veel hoger niveau dan daarbuiten? De oorzaak hiervan blijkt te liggen in een meldplicht die organisaties in de VS en in Groot Brittannië hebben als een dergelijk incident is opgetreden ook zonder dat het nog in de publiciteit is gekomen. In Nederland hebben de burgers ook het recht om te weten hoe er wordt omgesprongen met hun persoonsgegevens.
Struinend over het Internet, op zoek naar cases waarin privacy gevoelige gegevens op ‘straat' zijn beland, valt een ding gelijk op. De meeste sprekende voorvallen vinden plaats in het buitenland en dan met namen in de VS en in Groot Brittannië. Zou het met de beveiliging van persoons- en bedrijfsgegevens in die landen dan zoveel beroerder gesteld zijn dan bij ons in Nederland? Of zou het komen omdat die landen nu eenmaal veel groter zijn en er daardoor automatisch ook veel meer instellingen en bedrijven zijn waardoor de statistische kans op incidenten ook veel groter is? De waarheid blijkt ergens heel anders in verscholen te liggen. In de VS en op de Britse eilanden geldt een meldplicht voor bedrijven en instellingen als de kans bestaat dat er gegevens, die te herleiden zijn naar personen, onbedoeld beschikbaar zijn gekomen voor derden.
Dit betekent dus dat als er een medewerker van bijvoorbeeld een ziekenhuis zijn werkbestanden, die hij op een DVD had gebrand om thuis verder aan te werken, ergens op weg naar huis in de trein is verloren, dit gemeld moet worden bij de autoriteiten. Nog een voorbeeld: een bank is een back-up tape kwijtgeraakt en niemand weet waar die is gebleven. Het kan zijn dat deze tape zo goed is opgeborgen dat hij ook door de beheerders niet terug is te vinden, maar het kan ook zijn dat hij door iemand mee naar buiten is genomen. In zo'n geval bestaat de mogelijkheid dat deze persoonsgegevens terecht zijn gekomen bij kwaadwillenden. Het hoeft nog niet eens zo te zijn maar er bestaat een gerede kans.
Ook dan moet dit incident gemeld worden bij de autoriteiten. In Nederland is dit ondenkbaar. Het beleid hier ten lande is er op gericht om vooral niets aan de grote klok te hangen totdat de betreffende DVD is afgeleverd bij het journaille en er op die wijze publiciteit aan is gegeven. Dan pas komen autoriteiten en het betreffende bedrijf in actie om met beschuldigende vingers te wijzen en om de branden te blussen.
In hoeveel gevallen zijn de gegevens niet bij een journalist afgeleverd maar zijn ze wel in verkeerde handen terecht gekomen? Wie zal het zeggen, maar de burger heeft wel het recht om dit te weten. Het grootste voordeel van een meldplicht van incidenten waarbij de kans bestaat dat er persoonsgegevens of andere privacy gevoelig materiaal bij derden terecht is gekomen zit juist in de publiciteit die het krijgt.
Door de kans op publicatie worden bedrijven en instellingen gedwongen om hun security processen en maatregelen nog beter af te stemmen en na te leven. Imagoschade is voor de meeste bedrijven nog kwalijker dan directe financiële schade. Imagoschade blijft namelijk veel langer na sudderen en kan ‘tot in den eeuwigheid' op het Internet terug gevonden worden en nadelige gevolgen veroorzaken voor de business. Dit is anders bij een eenmalige afschrijving van schade.
De ‘Nederlandse ziekte' waarbij er eerst iets moet gebeuren voordat we actie ondernemen kan hierdoor preventief genezen worden. Opzetten en implementeren van een effectieve security architectuur, beleid, procedures en maatregelen tezamen met regelmatige toetsingen en audits helpen de kwaliteit van organisaties en de bescherming van ‘onze' persoonsgegevens op een hoger niveau te krijgen. Wij als burgers van Nederland hebben er recht op te weten hoe er omgesprongen wordt met onze gegevens en hebben dus ook recht op een meldplicht op dit gebied.
Geheel mee eens, ik zou echter nog een stapje verder willen gaan. Elk bedrijf of overheidsorganisatie zou moeten voldoen aan een aantal minimum beveiligingseisen als men privacy gevoelige informatie bewaart. De beveiliging zou steeksproefgewijs gecontroleerd moeten worden. De Nederlandse bank beschermt de burger zodat banken geen rare dingen kunnen doen en onze spaarcenten een redelijk niveau van bescherming hebben. Een dergelijke bescherming zou er ook moeten zijn voor wat betreft het niveau van IT beveiliging als het gaat om kritische zaken. Mijn identiteitsgegevens horen daarbij, maar ook de vitale infrastructuur zoals de industrie, luchthavens, transport/vervoer, etc. Een zwak niveau van beveiliging kan net als bij de identiteitsgegevens een forse inbreuk maken op ons leven. Dus wat mijbetreft regelen, controleren, en incidenten melden.