Column


Column Jerry van Rekom

Hoezo privacy?

Als je tegenwoordig over straat gaat weet je niet door wie of door wat je in de gaten wordt gehouden. Geeft je dat nu een veilig of onveilig gevoel? En hoe zit het dan met je privacy? Zijn we helemaal doorgeslagen, is het een noodzakelijk ‘kwaad’ en moeten we daar maar mee leren leven of draagt het inderdaad bij aan een beter en veiliger leven?

Datalekken
Deze vragen houden me al een tijdje bezig. Niet alleen privé, maar vooral ook beroepsmatig. Zeker door de invoering van de meldplicht datalekken per 1 januari en de verscherping van de privacywet word je er bijna dagelijks mee geconfronteerd.

In de zorg zou informatiebeveiliging al een tijdje gemeengoed moeten zijn, maar nog maar weinig zorgorganisaties (zeker in de gehandicapten- en ouderenzorg) zijn NEN751X of ISO2700X gecertificeerd. En dan komt die wet over het verplicht melden van datalekken daar nog eens bovenop. Veel adviesorganen zien er echter wel brood in en bieden sinds begin dit jaar hun deskundigen als warme broodjes aan. Net alsof datalekken sinds 1 januari 2016 meer voorkomen dan daarvoor.

Boetes
Boetes moeten organisaties bang maken en ervoor zorgen dat er minder gegevens op straat komen te liggen. Naast de financiële gevolgen kunnen ze tot forse imagoschade leiden. Is dit nu wel allemaal zo nodig? De fervente informatiebeveiliger antwoordt natuurlijk volmondig ja, maar hoe denkt een verpleegkundige of een begeleider van cliënten daar nu over?

Is die de afgelopen jaren al niet meer dan voldoende bewust geworden/gemaakt van het feit dat er veilig met cliëntgegevens moet worden omgegaan? Zijn al die certificeringstrajecten, zoals HKZ en NEN7510, dan voor niets geweest? Nee, dat zeker niet, maar ik kan me voorstellen dat men in de zorg wel een beetje moe wordt van het feit dat daar weer een schepje bovenop wordt gedaan.

Post van de buren
En dan die discussies over wat nu eigenlijk een datalek is. De één maakt het nog gekker dan de ander. Natuurlijk is het slordig als er een cliëntendossier via de interne post bij een verkeerde zorgafdeling wordt bezorgd. Maar is dat nu een datalek? De postbode stopt bij mij ook weleens post van de buren in de bus. Dan breng ik dat keurig ongeopend naar de buren. Heeft de postbode dan voor een datalek gezorgd?

Of het volgende. Tegenwoordig is beveiligd printen bij veel organisaties doorgevoerd. Dat houdt in dat als je een printopdracht geeft de afdruk bij de printer er pas uitkomt als je naar de printer gaat, je je daar aanmeldt via een code of pasje en dan aangeeft wat je geprint wilt hebben. Boze tongen beweren nu dat als je dan je printje laat liggen waarop wellicht persoonlijke gegevens staan er een mogelijk datalek is.

In de war
In plaats van nu te denken dat degene die dat gedaan heeft best weleens in de war zou kunnen zijn (want waarom loop je naar een printer, geef je de daadwerkelijke printopdracht en loop je weg zonder de afdruk mee te nemen) en jouw hulp kan gebruiken, wordt diegene beticht van het veroorzaken van een datalek?! En zo zijn er nog legio voorbeelden waarvan je je kunt voorstellen dat het wel erg overdreven is.

Maar aan de andere kant zijn er ook schrijnende voorbeelden, die de nieuwe wet zeker billijken. Zo zijn er nog allerlei applicaties die niet voldoen aan NEN751X. Ook databases met wachtwoorden zonder encryptie komen nog maar al te vaak voor. En wat te denken van organisaties die nog werken met groepsaccounts, waardoor het lastig te achterhalen is wie wat heeft gedaan? Nee, op dat terrein is er nog heel veel te winnen. Daarom is de aandacht voor de nieuwe wetgeving zeker op zijn plaats, als alles maar in de juiste proporties en in de juiste context plaatsvindt.

En wordt het door deze wetten nu allemaal veiliger en is je privacy gewaarborgd? Zolang je niet ‘veilig over straat’ kunt zonder door een of meerdere camera’s bespied te worden, is privacy maar zeer betrekkelijk en misschien wel bedenkelijk…


Lees meer over