Niet alleen Odido, ook overheid moet data strenger bewaken - Renske Leijten
'Noodpakket gaat niet helpen tegen stalkers die via Odido weten waar je woont'
Tweewekelijks Renske Leijten lezen? Laat hier uw mailadres achter:
Het is een tumultueuze tijd en het nieuws over willekeurig welk onderwerp dendert over ons heen. De installatie van het kabinet Jetten en de politieke zuster- en broedertwisten lijken alweer een eeuwigheid geleden. Het nieuws over de aanvallen op Iran en de gevolgen daarvan nemen de headlines over. Er zijn extra talkshows en op ieder mediaplatform zijn live-blogs. Er is oneindig veel te vinden aan meningen, desinformatie, feiten, ooggetuigen, persconferenties. Het is lastig navigeren, want vreugde om het verdrijven van een nietsontziend religieus staatshoofd, gaat hand in hand met onzekerheid over de onvoorspelbare gevolgen.
Op het gevaar van navelstaren te worden beticht, wil ik toch het licht schijnen op een andere kwestie. Ook met onvoorspelbare gevolgen. Een kwestie onder onze neus, wellicht in het elektronisch apparaat dat u gebruikt om deze column te lezen. Een onderwerp dat ook een live-blog verdient, maar niet snel zal krijgen.
Odido was in de afgelopen weken ook een groot nieuwsevent. Het nieuws dat de privé- en financiële gegevens van ruim zes miljoen (!!!) mensen zijn gestolen, sloeg in als een bom. Wat was er buit gemaakt? Kon Odido zijn klanten niet beter informeren? Wat is identiteitsfraude precies en hoe voorkom je dat nadat persoonsgegevens tot aan burgerservicenummer en paspoort zijn buit gemaakt?
Om de media ‘warm’ te houden, benaderden de hackers hen om te laten zien hoeveel er was buit gemaakt. Journalisten vertelden hoe schadelijk de informatie voor het dagelijks leven van mensen kan zijn. Odido was niet alleen slordig met de informatie van klanten, maar ook die van oud-klanten. Het bedrijf was tevens uitermate vrijgevig met oordelen over klanten hun humeuren, betalingsdiscipline of zelfs of ze bedreigd worden.
Odido lokt mensen via digitale vitrines haar winkel in en had tegelijkertijd de kluisdeur naar de klantgegevens onbewaakt open staan. Het is onvergeeflijk.
Mensen die dachten aan Odido een dienstverlener te hebben die hen zou helpen aan een nieuw geheim nummer, hadden even buiten de mogelijkheid gedacht dat beveiliging tegen inbrekers voor Odido zelf minder prioriteit heeft. Odido lokt mensen via digitale vitrines haar winkel in en had tegelijkertijd de kluisdeur naar de klantgegevens onbewaakt open staan. Het is onvergeeflijk. Ook is onvergeeflijk dat alle gegevens allemaal zijn gepubliceerd en met een beetje handigheid iemands identiteit makkelijk na te bootsen is. De gevolgen zijn ongewis.
In mijn omgeving was de inbraak bij Odido het gesprek van de dag, het werd opnieuw duidelijk hoe belangrijk het is dat persoonlijke gegevens goed beveiligd moeten worden opgeslagen. Het is ook meer dan helder dat het beter is dat mínder gegevens van mensen genoteerd en bewaard kunnen worden. Wat dacht je van een goede strategie om niet alle gegevens bij elkaar op te slaan. Of te versleutelen, zodat zaken niet aan elkaar gekoppeld kunnen worden. Ik noem maar een paar van de vele, vele opties.
Gelukkig worden klanten van Odido nu opgeroepen om goed om te gaan met hun digitale veiligheid, want als dan een beetje internetkenner alles van je kan vinden, dan kan je maar beter het advies krijgen om je huis te barricaderen.
Als Odido voor u geen ogen opent, denk dan eens over een maandenlange inbraak in justitie- en andere overheidssystemen. Bij onder andere de Raad voor de Rechtspraak, het gevangeniswezen (DJI), notabene de Autoriteit Persoonsgegevens, college te beoordeling van geneesmiddelen en ‘een gemeente’ is via een versie van een beveiligingsprogramma een achterdeur of een voordeur opengezet om lekker mee te kijken. Het lek dat eind januari werd ontdekt en gedicht, bestond al sinds augustus 2025!
Mogelijk is dus al die tijd meegekeken bij onze overheidsdiensten. De gegevens – inclusief werk- en woonadressen – van cipiers en ander gevangenispersoneel is buit gemaakt. Vast krijgen zij nu ook het goede advies om goed alert te zijn op hun data, maar het is natuurlijk de omgekeerde wereld. Het feit dat zij nu thuis kunnen worden opgezocht door vrienden of vriendinnen van de celbewoners van hun werk, is te voorzien. Zij – en hun families – zijn in een uiterst onveilige situatie gebracht. En nu? In de twee Kamerbrieven, op 6 februari en 27 februari beschrijven de staatssecretarissen van Justitie en Binnenlandse Zaken wel wat er is gebeurd, maar niet wat er nu wordt gedaan voor het personeel dat groot risico loopt.
Een noodpakket gaat niet helpen tegen een stalker die via de Odido-inbraak weer weet waar je woont
Digitale inbraak gebeurt aan de lopende band. Bij bedrijven, bij overheden, bij personen. De buitgemaakte informatie is goud waard en kan in de reële wereld grote gevolgen hebben. Al dik tien jaar geleden waarschuwde FBI de Nederlandse overheid dat criminele jacht maken op medische gegevens. De digitale wereld en de echte wereld zijn niet meer te onderscheiden als het gaat om de buitgemaakte gegevens. Het is geen kwestie van de stekker eruit trekken als de handlangers van criminelen op de stoep staan van DJI-personeel. Een noodpakket gaat niet helpen tegen een stalker die via de Odido-inbraak weer weet waar je woont.
Terwijl de kennis over het belang van digitale veiligheid zou moeten toenemen bij de overheid, zijn de voorbeelden van lankmoedige omgang met onze persoonsgegevens legio. Dat het doen van bevolkingsonderzoek bij vrouwen (uitstrijkjes) bij diagnostische centra gebeurt die de gegevens niet voldoende beveiligen. Dat de Belastingdienst het hele BTW-aangiftesysteem in handen van een Amerikaans bedrijf heeft gelegd, waardoor de gegevens in te zien zijn door de Amerikaanse staat. Tegelijkertijd is er een staatssecretaris voor digitale economie en soevereiniteit, die blijkbaar niet betrokken is bij deze inbraken bij de Rijksoverheid (want ze ondertekende de hierboven gelinkte brieven niet mee).
Het moet echt afgelopen zijn dat het kabinet de verdeling van de verantwoordelijkheid over veilig en strategisch digitaal beleid verdeelt over drie ministeries en drie bewindspersonen. Een nieuw ministerie zonder enig mandaat is enkel cosmetisch, maar één verantwoordelijke is wel belangrijk. De versnippering is vast logisch op papier uit te leggen, maar de praktijk is dat de overheid voor aap staat. En de persoonsgegevens van personeel op straat komen te liggen met grote gevolgen voor hun én onze veiligheid. Dus aan de slag, staatssecretaris Willemijn Aerdts: trek de verantwoordelijkheid volledig naar je toe!
U kunt uw notificaties voor de verschillende auteurs, podcasts en rubrieken van Nijmans Nieuwsbriefje beheren via uw accountpagina. U kunt de missie van NN om vrije stemmen te laten klinken, hier ondersteunen.
 | A guest post by
|
Vergeet niet wat Arthur Gotlieb bloot heet gelegd over de omgang met medische gegevens bij de NZA. Maar ook dat bijvoorbeeld weer 1700 agenten konden neuzen in het dossier van Lisa.
Het is schrijnend dat een klein bedrijfje waar ingebroken wordt en dat netjes bij de instanties meld als eerste antwoord krijgt dat ze een vette boete tegemoet kunnen zien.
Een inbraak, niet door nalatigheid of menselijke fouten zoals bij Odido, maar omdat er software gebruikt wordt die toch niet zo waterdicht blijkt te zijn als ik beloofd door de maker.
Ook dat is de omgekeerde wereld. Alsof de politie een prent uit komt schrijven op het moment dat inbrekers bij jou thuis een deur geforceerd hebben en je mooie TV gejat hebben.
Met bovenstaande in het achterhoofd zullen bedrijven terughoudend zijn om dit soort zaken te melden.
Zou het niet handiger zijn om eerst eens te kijken hoe hackers aan die data zijn gekomen??
In het geval van Odido is het uiteraard duidelijk... die hebben fout op fout gestapeld en hebben hun zaakjes niet onder controle. Dat die een douw krijgen lijkt me niet meer dan terecht..