Het blijft sukkelen met de bescherming van persoonsgegevens
Al jaren wordt ervoor gewaarschuwd dat de informatie in grotere databases op internet op een dag gestolen gaat worden en dat misbruik zal volgen. Omdat de klant en de administratie van gegevens de belangrijkste waarde voor een bedrijf vertegenwoordigen, is er geen andere optie dan alle gegevens zo goed mogelijk te beveiligen. Op internet komt criminaliteit immers net zoveel voor als in het fysieke leven.
Zoals de vaste lezer inmiddels weet, heeft dit gegeven nog niet tot massale verbetering van beveiliging bij het bedrijfsleven geleid. In mei van dit jaar kreeg ik nog veel bijval toen ik webwinkel Replace Direct hard op de vingers tikte voor het niet informeren van hun klanten die op dat moment slachtoffer werden van identiteitsdiefstal na een hack. De gegevens werden actief misbruikt door oplichters.
Lesje geleerd
Maar het bedrijf trok lering uit de gebeurtenissen en ondernam stilletjes actie. Het pakte de problemen op de website aan en besloot meteen een stap verder te gaan. Er werd gewerkt aan het PCI-compliant zijn. Dat is een Amerikaanse standaard waaraan bedrijven moeten voldoen om überhaupt creditcards te mogen accepteren. Een forse investering in het verbeteren van de beveiliging is daarvoor noodzakelijk. Inmiddels is Replace Direct voor een audit geslaagd en daarmee een betrouwbare zakenpartner geworden waar in ieder geval het minimale gebeurt om tegen hacken bestand te zijn.
Accord.nl (een relatief kleine keten van uitzendbureaus) werd gehacked waarbij de hacker probeerde de organisatie af te persen. “Geef me €10.000 of ik plaats jullie klantendatabase online,” was de eis. Maar de keten ging niet op de eis in en daarop kwamen de gegevens online. Hoe vervelend ook, dit is wél een goed besluit van ze.
De leverancier zou de website wel eventjes fixen, maar al snel bleek deze opnieuw lek. Ik confronteerde Accord ermee en bracht het naar buiten, waarna wederom verbeteringen werden doorgevoerd. Maar niet veel later tipte een hacker me over een nieuw lek. Ditmaal confronteerde ik wel, maar schreef er niet over.
De directie van Accord beloofde beterschap en hield woord: het zegde het vertrouwen in de leverancier op en liet een compleet nieuwe website bouwen. De nieuwe website kost het bedrijf ruim €35.000 met daar bovenop nog maandelijkse kosten voor het bewaken van de website. Accord.nl vroeg me een hacker de nieuwe site te laten checken en inderdaad bleken de gevonden problemen verdwenen. Ook detecteerde de nieuwe leverancier de aanvallen van de test. Het opruimen van de problemen was een forse investering voor een relatief klein bedrijf, maar wel de moeite waard.
Bestuurders moeten zich meer verdiepen
De Wet bescherming persoonsgegevens (Wbp) is eenvoudig: wie gegevens verwerkt moet deze ‘volgens de stand der techniek beveiligen’. Veel bedrijven vertrouwen erop dat websitebouwers dit weten en daar dus ook naar zullen handelen. Maar de praktijk blijkt vaak weerbarstiger. Het is echter een plicht te zorgen voor voldoende bescherming van gegevens en bestuurders moeten zich daarin verdiepen. Sinds het rapport van de Onderzoeksraad voor Veiligheid over Diginotar weten we dat het ook in de bestuurskamers van overheden niet beter gesteld is. Bedrijfsleven en overheden laten grote steken vallen.
Accord en Replace Direct hebben uiteindelijk serieuze stappen gezet om te zorgen dat ze nu wel aan de Wbp voldoen. De vraag is nu of andere bestuurders zich laten inspireren door deze voorbeelden, of dat ze ervoor kiezen de problematiek alsnog als non-issue af te doen. Maar beveiliging is gewoon een taak voor bestuurders. Laat u – net als ik – inspireren door Accord en Replace Direct en grijp in voor het te laat is!
