“De AVG-kaart wordt veel te vaak gespeeld om dingen maar niet te hoeven
doen”, schreef ik een paar weken geleden in de Security (b)log – tussen haakjes
nog wel, bij wijze van zijdelingse observatie. Omdat ik dat op zich wel een
aardig zinnetje vond, plaatste ik het op Twitter. Die tweet bereikte dankzij de
hashtag #AVG duizenden mensen, wat voor mijn doen erg veel is. Hij oogstte ook
bescheiden bijval (onder andere van juristen) en een paar reacties. Eén van die
reacties luidde: “Wij willen voorbeelden!” Nou, dat kan. Wel met de voetnoot
dat ik geen jurist ben, maar wel een goed ontwikkeld gevoel heb voor wat
redelijk is en wat niet. En ik heb geleerd dat het recht geen exacte wetenschap
is maar juist vaak op onderbuikgevoel drijft. Dan durf ik ook wel mijn eigen
onderbuik in de strijd te gooien.
Voorbeeld één. In het kader van business
continuity management werd periodiek een lijst opgevraagd van alle
medewerkers van een datacenter. De bedoeling van deze lijst was tweeledig. Als
er zich een calamiteit zou voordoen, dan zou het handig kunnen zijn als managers
hun medewerkers thuis konden bereiken, desnoods op een privénummer. Bij een
calamiteit wil je immers zo snel mogelijk terugkeren naar een normale situatie
en dan is het alle hens aan dek. De andere reden was dat er ook calamiteiten
kunnen plaatsvinden waarbij slachtoffers vallen; de lijst zou dan helpen bij
het inlichten van de familie.
Sinds de invoering van de AVG krijgt BCM deze lijst niet meer, want dat
zou strijdig zijn met de AVG. Laten we eens kijken naar het belang van zo’n
lijst. Stel, je bent een organisatie die volledig afhankelijk is van z’n ICT,
en die ICT is door een calamiteit zwaar gehavend. Dan is het voor die
organisatie van levensbelang dat de meest kritische componenten van de ICT weer
zo snel mogelijk in de lucht zijn. En daar heb je je mensen bij nodig.
Calamiteiten hebben vaak de onhebbelijkheid om zich op onmogelijke momenten –
bij nacht en ontij bijvoorbeeld – voor te doen, dus wanneer je mensen thuis zitten.
Het lijkt me kortom geen onredelijk verlangen om een contactlijst paraat te
hebben. Uiteraard onder de voorwaarde dat die alleen bij calamiteiten mag
worden gebruikt.
Het tweede voorbeeld dank ik aan mijn tv/internetprovider, die mijn
mailaccount weer eens had geblokkeerd nadat ik een mailtje had verzonden
terwijl mijn VPN aan stond. Hun systemen zien daardoor mijn fysieke locatie
nogal verspringen en dat vinden ze verdacht. Daar ging ik over chatten met de
provider. In hun script staat dan dat de klant webmail moet gebruiken in plaats
van een mailprogramma. Dat zou dergelijke problemen voorkomen. Omdat ik toch
graag wilde dat ze eens zouden kijken of ze hun systemen niet slimmer kunnen
inrichten, vroeg ik om mijn klacht door te spelen naar de desbetreffende
afdeling. Dat kon helaas niet, typte de provider, “want dit is gewoon hoe het
verloopt i.v.m. privacy etc.” Ik vroeg wat privacy hiermee te maken had en
kreeg als antwoord: “Alles, maar dit is een automatisch proces. Privacy voor de
landen etc. dit is moeilijk uit te leggen. Meer een soort bescherming voor jou,
jij ziet dit niet zo wat ik wel begrijp.” Is jouw klomp inmiddels ook gebroken, beste
lezer?
Een derde voorbeeld hoorde ik onlangs op de One Conference in Den Haag. Als de politie onderzoek doet naar
cyberaanvallen, dan levert dat veel informatie op waar ook de slachtoffers van
die cyberaanvallen baat bij kunnen hebben. De politie deelt die informatie
echter niet met hen, omdat er ook informatie over andere partijen in staat, en
dan wordt het een privacy-dingetje hè. Ik denk dat het de aangiftebereidheid
alleen maar ten goede zou komen als bedrijven als wederdienst iets bruikbaars (actionable information) terug zouden krijgen.
Zou het veel moeite kosten om desnoods bepaalde gegevens te verwijderen?
Een mij onbekende NOS-verslaggever reageerde op mijn tweet met de vraag:
“Aardappelen vlees groente?” Ik dacht even dat hij mij in de maling nam, maar
voor de zekerheid heb ik toch maar uitgelegd dat het over de Algemene
Verordening Gegevensbescherming ging, waarop hij reageerde met: “Oh ;)”. Mijn
leerpunt hieruit: ga er nooit van uit dat iedereen snapt wat voor jou gesneden
koek is, zelfs niet als iemand in een beroepsgroep zit waar je dat soort kennis
wel zou verwachten (maar voor hetzelfde geld verslaat die man alleen maar
schaakwedstrijden of zo).
En in de grote boze buitenwereld …
... kun je de AVG ook gebruiken om bedrijven te pesten.
... mogen Britse opsporingsdiensten voortaan bij ernstige misdrijven gegevens
opvragen bij Amerikaanse technologiebedrijven.
... kunnen alle iPhone-versies gejailbreakt worden.
... doet de politie een proef met een chatbot om onder andere ransomware
en helpdeskfraude te melden. Deze virtuele agent heet Wout.
... kunnen Google, de Amerikaanse opsporingsdiensten en de beheerder in
je eigen organisatie bestanden inzien die je in G Suite maakt.
... doet de Autoriteit Persoonsgegevens onderzoek naar smart cities.
https://tweakers.net/nieuws/158278/autoriteit-persoonsgegevens-doet-onderzoek-naar-smart-cities.html
... is het vaak geen toeval dat scam-mailtjes taalfouten bevatten.
... krijgt Australië ‘s werelds eerste ombudsman voor problemen met
social media.
... kun je gezichtsherkenning tegengaan door een ander gezicht op dat
van jou te projecteren. Zou dit echt zijn?
... heeft deze collega-blogger zich tot doel gesteld om gedurende deze
cybersecurity awareness-maand iedere dag een blog voor het grote publiek te
publiceren.
... zou je kunnen beredeneren dat géén beveiliging (heel) soms beter is
dan slechte beveiliging.
... is ransomware dit jaar volgens Europol de grootste cyberdreiging.
... mogen Australische ambtenaren geen biometrische authenticatie gebruiken
op hun iPhone.
Geen opmerkingen:
Een reactie posten