Nu de oorlog zich uitbreidt, zou je bijna vergeten dat de Odido-hackers hun dreigement hebben waargemaakt. De in februari gestolen data zijn gepubliceerd.
Sinds zondag hebben kwaadwillenden toegang tot gegevens van naar schatting 6,5 miljoen personen en 600.000 bedrijven: telefoonnummers, bankrekeningnummers, paspoort en rijbewijsgegevens, verblijfspapieren, maar ook namen, huisadressen en e mailadressen.
De Odido-ramp is vele malen groter dan het veel te laat gemelde datalek bij Bevolkingsonderzoek Nederland. Daar werden vorig jaar gegevens van meer dan 900.000 vrouwen buitgemaakt, inclusief BSN’s en medische informatie.
Terwijl veel in het collectieve geheugen wegzakt, wordt in het geval van Odido gediscussieerd over de vraag of het bedrijf er goed aan heeft gedaan niet in te gaan op de eisen van de hackers. Het telecombedrijf heeft in ieder geval vastgehouden aan het standpunt dat aan criminelen geen losgeld betaald moet worden.
Daarmee is de verantwoordelijkheid nog niet afgedaan. Bedrijven die op grote schaal data verzamelen voor commercieel gewin dragen een extra plicht die gegevens te beschermen – én ze te verwijderen zodra ze niet meer nodig zijn. Als het klopt dat ook gegevens van voormalige klanten zijn gestolen, lijken er extra fouten te zijn gemaakt.
Een keurmerk voor organisaties die dataminimalisatie nastreven
Er bestaat geen algemene wettelijke plicht die bedrijven verplicht persoonsgegevens automatisch te verwijderen. Wel zijn er regels over hoe lang gegevens mogen worden bewaard. Wellicht is het tijd voor een aanvulling, zoals een keurmerk voor organisaties die dataminimalisatie nastreven.
Honderd procent veiligheid is een illusie. Dat neemt niet weg dat organisaties die gegevens bewaren ondubbelzinnig excuses moeten aanbieden wanneer het misgaat. Een datalek veroorzaakt naast overlast en schade immers ook angst, vooral bij mensen met beperkte digitale vaardigheden. Excuses kunnen helpen bij het herstel van vertrouwen in het digitale systeem als geheel.
Onverlet zullen ook consumenten hun gedrag moeten aanpassen. Het is vaker gezegd, maar blijkbaar onvoldoende gehoord: we geven te makkelijk onze gegevens weg – voor een korting, voor een online account dat we één keer gebruiken, of uit angst voor een teleurgestelde blik van het meisje bij de kassa.
Het woord ‘nee’ is één letter langer dan het woord ‘ja’, maar kan een wereld van verschil betekenen. Geen overlast, geen rompslomp en bovendien veel overzichtelijker en veiliger.
