Binnenkort wordt het lekken van data strafbaar, dat wil zeggen de straffen worden hoger. Het mocht natuurlijk al niet, maar in de praktijk was er weinig aan te doen. Als eerzame burger was je feitelijk machteloos tegenover de laksheid, onkunde of ronduit onwil van grote bedrijven om je gegevens beter te beschermen. De duimschroeven worden nu aangedraaid en er is mij verteld dat er al bedrijven in Engeland bezweken zijn onder de torenhoge boetes die ze hebben gekregen na een datalek.
Een belangrijke achterliggende oorzaak van datalekken is dat we op een 21ste eeuw-manier data delen met Jan en alleman, vaak om goede redenen, maar dat we daar op een ouderwetse manier mee omgaan. De it’er van de oude stempel denkt nog altijd dat data veilig is als die in zijn databunker staat, compleet met dubbele betonnen muren en ophaalbrug. Gevaar van buiten? Sluit de firewall!
Dit gaat helemaal voorbij aan het feit dat de meeste belangrijke data al van buiten komen, en uit zakelijke overwegingen ook weer naar buiten moeten. Vroeger was er een rem op de hoeveelheid data omdat geheugen duur was. Nu kost een Terabyte minder dan honderd euro en hoeven we niet meer zo op de kleintjes te letten. Of wel? De eerste maatregel die je moet nemen is om heel zuinig te blijven zijn met de data die je bewaart. Data die je niet hebt kun je niet lekken.
In een eerdere column voor Computable beschreef ik al hoe ik van de Italiaanse justitie een bekeuring kreeg die voor iemand anders bedoeld was. De autoverhuurmaatschappij hield mijn rijbewijsgegevens te lang vast, waardoor ze konden worden misbruikt.
Het bezit van data heeft dus niet alleen waarde, maar vormt ook een risico. Wat er aan te doen is, is niet helemaal simpel, maar elke stap is er een. Om te beginnen stoppen met ondoordacht datagraaien. Vervolgens een beetje meer nadenken over ‘who needs to know’ en dat vertalen in hanteerbare toegangsrechten en verwijderbeleid.
Ja, en je applicaties en infrastructuur moeten natuurlijk ook voldoende kwaliteit hebben. Moet dat in huis gebeuren of bij een cloudleverancier? Bij beide heb je kanjers en kneuzen, dus je belangrijkste vaardigheid is om te kunnen beoordelen of gedaan wordt wat gedaan moet worden.
Peter van Eijk, trainer en consultant bij Digital Infrastructures
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 8, oktober 2015.
Helemaal eens. Simpele dingen waar we maar niet vanaf kunnen komen: bv Websites die bij inschrijving je geboortedatum willen weten (als ik het idee heb dat ze het nergens voor nodig hebben geeft ik altijd 1-1-1900, en als dat niet gaat 1-1-1970). Zo heb ik ook een dummy emailadres..
Er zou een instantie moeten komen die maatregelen kan nemen als niet relevante gegevens worden gevraagd, en die instantie zou eenvoudig bereikbaar moeten zijn voor klagers.
Alleen boetes werken. Een winst/verlies-rekening kent geen ethiek. Een inbreuk op privacy is geen kostenpost zonder boete.
En ze moeten hoog zijn. Het openbaar maken van gegevens kent geen terugweg. Eenmaal openbaar is altijd openbaar.
Helemaal mee eens, maar hoe bewijs je dat je data gelekt is, of dat er onzorgvuldig mee is omgegaan? En wat doe je als het om een Italiaans verhuur bedrijf gaat?