Een lezer vroeg me:
De verhuurder van mijn woning heeft mij laatst gewaarschuwd voor een datalek. Er had een cyberaanval plaatsgevonden op het bedrijf waar mijn verhuurder huurdergegevens registreert. Uit forensisch onderzoek is gebleken dat bij de cyberaanval data zoals persoonsgegevens zijn gekopieerd of onttrokken. Het gaat mogelijk om naam, e-mailadres, telefoonnummer, adresgegevens en bankrekeningnummer. Ik vraag mij af wat ik als slachtoffer hier tegen kan doen?Het juridisch juiste maar praktisch heel frustrerende antwoord is dat je zorgvuldig bijhoudt welke schade je lijdt door dit datalek, en vervolgens de verhuurder daar aansprakelijk voor stelt.
Ik formuleer het met opzet zo omdat het voor mij een nogal schrijnend punt is dat er zo veel plekken zijn waar persoonsgegevens grootschalig worden opgeslagen (vaak zonder echte noodzaak) en vervolgens vanwege slechte beveiliging komen bloot te liggen. Waarna het slachtoffer weinig anders kan doen dan afwachten tot daar misbruik van wordt gemaakt.
Natuurlijk staat de wet je ook toe om preventieve maatregelen te nemen, als die redelijk zijn om de schade te voorkomen. Maar dat is een beetje lastig hier. Een nieuwe bankrekening nemen is nogal wat, en tegen welk concreet gevaar is dat een preventieve maatregel? Een nieuw e-mailadres voorkomt spam of gerichte phishing van criminelen die alleen het oude kennen. Maar welke financiële schade kun je daar aan koppelen?
Tegelijk moet ik daar tegenover zetten dat er heel vaak niet daadwerkelijk zich meetbare schade voordoet. Ook daarom is het lastig om kwantitatieve uitspraken te doen over wat de schade moet kosten, of welke concrete maatregelen je kunt nemen.
Een cyberverzekering nemen is bijvoorbeeld een veel geopperde mogelijkheid, hoewel je dat natuurlijk moet doen vóór de datadiefstal. Een monitoringdienst die dagelijks het dark web afsurft of je daar verhandeld wordt, het kan maar voelt een tikje overdreven. Vandaar dat ik steeds uitkom bij “afwachten maar” en ongericht “goed opletten”.
Arnoud
Hoe bewijs je dat schade veroorzaakt wordt door een specifiek datalek, en dan met name als er in het verleden ook al gegevens van je gelekt zijn? (iets wat steeds meer mensen zal gaan treffen)
Goed punt. Heb ik geen antwoord op, behalve “zoek iets dat specifiek van dit datalek is”.
Met deze logica heeft een cyberverzekering ook geen zin meer. Die komen dan met “Bewijs maar dat je schade komt van een lek nadat je bij ons verzekerd bent.”
Om maatschappelijk te kunnen functioneren kun je gegevens als naam, adres, telefoonnummer , e-mailadres en bankrekeningnummer niet vertrouwelijk houden. Je kunt van deze dan ook niet aantonen dat ze op een bepaald moment gelekt zijn. Als je de hele lijst hebt van het gelekte van alle huurders hebt, kun je aantonen dat dit uit een bepaalde bron afkomstig is. De paradox is, dat als het gelekte zich tot deze vijf gegevens beperkt, je niet kunt spreken van een lek van “jouw” gegevens, want “jouw” gegevens zijn al alom bekend. Je kunt alleen maar spreken van een lek van de huurderslijst. Een beetje zoals je iemand niet kunt aanspreken op het schenden van een NDA wanneer die informatie die die van jou verkregen heeft naar buiten brengt en blijkt dat die informatie ook al op andere plekken te vinden was.
Wel als je een eigen domein hebt en naamvanhetbedrijf@eigendomein.nl gebruikt. Dat is ook heel duidelijk terug te zien op haveibeenpwned Zo kan ik zien dat het bij Adobe, Coursera, Dropbox, LastFm, Linkedin, Thingiverse en nog een aantal is mis gegaan. Maar schade? Geen flauw idee.
Of voor Gmail- en Outlook.com-adressen: gebruikersnaam+naamvanhetbedrijf@gmail.com. Gmail en Outlook gebruiken de + en wat daarna komt niet, zodat alles gewoon in je normale gebruikersnaam@gmail.com-box terechtkomt, maar zo heb je wel een mooie manier om unieke datalekken te identificeren.
Als ik gelekte data kwaadwillig zou gebruiken, zou ik alles achter het plusje weglaten. Met andere woorden: met het plusje kan ik misschien het lek traceren, maar wat koop ik daarvoor als het mij niet tegen misbruik van de gelekte data beschermt? Zelf volg ik @franc zijn strategie, maar ik heb dan ook een eigen domein en ben een doorgewinterde IT-er. Voor de meeste mensen is dat te ingewikkeld. Daarnaast gebruik ik voorzichtigheidshalve TrashMail adressen wanneer een e-mailadres maar een paar keer of een paar dagen bruikbaar hoeft te zijn. Overigens ben ik om veiligheidsredenen van mening dat een loginnaam altijd een aantal random letters/cijfers moet bevatten en nooit het e-mailadres van de klant/gebruiker mag zijn.
Een gerelateerde vraag: Wat kun je doen als consument wanneer een organisatie jouw gegevens op een website beschikbaar maakt, natuurlijk “goed beveiligd” met gebruikersnaam en wachtwoord. (Waar iedereen die je bankrekeningnummer en adres kent de “wachtwoord vergeten” procedure succesvol kan afronden.)
Ik krijg het niet via de telefonische helpdesk gedaan om mijn gegevens van die site verwijderd te houden.
Bits of Freedom ontwikkelde in 2018 een tool, My Data Done Right, die jou in staat stelt om met de Avg in de hand bij bedrijven en instellingen alle informatie op te vragen die zij over jou hebben.