In de wachtkamer

Afbeelding via Pixabay

In de best wel volle trein kwam ik naast een man te zitten die op zijn laptop zat te werken. Een vluchtige blik op het apparaat en de openstaande programma’s identificeerde hem als collega.

Op een gegeven moment zat hij in een telefoongesprek. Ik luisterde niet actief mee, maar ik hoorde natuurlijk wel iets. En wat ik hoorde, stemde mij zeer tevreden. Om te beginnen sprak hij zachtjes, en in korte zinnen. Het was eigenlijk vooral luisteren en af en toe kort reageren. Ik hoorde hem geen informatie geven. Keurig, collega!

Hoe anders is de ervaring van een collega, die in de wachtkamer van de tandarts zat. Nou ja, wachtkamer: in een hoekje van de receptie stonden wat stoelen. Achter de balie zaten twee assistentes. De ene, Toos*, zat met enige wanhoop in de ogen door computerschermen heen te klikken en zei uiteindelijk: “Ik kan de gegevens van mevrouw Dekker niet vinden in TND.” Haar collega Cindy vroeg naar de geboortedatum van mevrouw Dekker. “Aha,” zei Cindy, “ze is van 1999 en daarom staat ze nog niet in TND. Wat is haar telefoonnummer, dan bel ik haar wel even.” Toos las het telefoonnummer op en Cindy ging bellen.

“Goedemorgen mevrouw Dekker, met Cindy, assistente van tandarts Kroon. Ik heb even wat gegevens van u nodig om uw behandeling in ons systeem op te nemen. Wat zijn uw voorletters? ABG? Mooi. En uw BSN? Ja natuurlijk, ik wacht wel even. (…) Ah, daar bent u weer. Ja, ik schrijf mee. 1-1-2-7 5-5 9-5-0? Dank u wel. En als laatste heb ik nog uw adres nodig. De Beugel 5? 8462 DR? Mooi zo, dan heb ik alles compleet. Zullen we maar meteen de eerste afspraak voor uw wortelkanaalbehandeling maken? Kunt u vrijdag om 9 uur? Prima. Als ik dan nog uw e-mailadres mag, dan stuur ik u een bevestiging. marlies@dekker.com? Prima, dan zien we u overmorgen. Prettige dag nog!”

Onze collega kon zijn oren haast niet geloven. Hij had nu een compleet setje persoonsgegevens van iemand en hij wist wanneer mevrouw Dekker niet thuis zou zijn. Door de informatie over haar behandeling wist hij bovendien dat ze wel even een poosje weg zou blijven.

“Ha, handig, met deze informatie kan ik identiteitsfraude plegen.” Of: “Mooi, dan leg ik mijn inbrekersgereedschap alvast klaar.” Ik geef toe dat de kans, dat de onbedoeld gedeelde informatie toevallig terechtkomt in de oren van een cyber- of fysieke crimineel niet zo heel groot is. Maar dan nog: iedereen voelt aan z’n water dat wat hier gebeurde gewoon niet hoort. Als dat allemaal hoort, dan weet je dat ze ook zo omgaan met jouw gegevens. Daar zou jij je ook niet lekker bij voelen. En stel je eens voor dat onze wachtende collega een kennis van mevrouw Dekker was. Komt hij haar een week later tegen: “Hé Marlies, hoe gaat het met je kies?” Dat zou toch raar zijn?

Maar er is natuurlijk ook een juridisch probleem. De nietsvermoedende, goedbedoelende tandartsassistentes hebben niet alleen persoonsgegevens, maar zelfs medische gegevens gelekt. Onder de AVG (de Europese Algemene Verordening Gegevensbescherming) hebben die de status van bijzondere persoonsgegevens, waar nog strengere regels voor gelden dan voor gewone persoonsgegevens.

Toos en Cindy deden gewoon hun werk. Zij kunnen er ook niks aan doen dat tandarts Kroon een afgescheiden wachtkamer zonde van het geld vond. Het telefoongesprek elders voeren kon ook niet, want dan kon Cindy de gegevens niet in het systeem zetten. Datalekken zijn in deze situatie dan ook voorgeprogrammeerd. Zeker als mensen zich niet bewust zijn van wat er gebeurt. Een datalek zit in een klein hoekje.

Ik wil ook nog even kijken wat er aan de andere kant van de lijn gebeurde. Wat als het helemaal niet de tandartsassistente was die mevrouw Dekker belde, maar iemand die eropuit was om persoonsgegevens te verzamelen? De kans is natuurlijk klein dat zo iemand net belt als je met kiespijn rondloopt. Maar als je die omstandigheid weglaat, dan wordt het een ander verhaal. Als iemand die je niet kent om gegevens vraagt, zeg dan dat je terugbelt. Bel dan naar het algemene nummer van het bedrijf en vraag naar de persoon die jou zojuist belde. Als dat niet kan, vraag dan of ze inderdaad gegevens nodig hadden. Zo voorkom je dat je zelf je eigen gegevens lekt.

*) Uiteraard zijn alle persoons- en systeemgegevens aan mijn fantasie ontsproten.

 

En in de grote boze buitenwereld …

• kun je medische informatie natuurlijk ook gewoon op de rommelmarkt kopen.
• heeft de zorg te maken met cyberdreigingen. Welke dat zijn, staat in hun dreigingsbeeld.
• is het beveiligen van medische gegevens ook elders op de wereld problematisch.
• is ‘hybride oorlogsvoering’ een eufemisme.
• waarschuwt Europol voor kindermisbruik via online communities.
• springen slimme verkeerslichten op groen dankzij jouw telefoon.
• worden Signal-gebruikers aangevallen via valse QR-codes.
• aarzelt de overheid steeds meer als het om public cloud gaat.