Een gesprek over de verschillende #cyberaanvallen van even geleden waarvan de opname nu als podcast op YouTube en Spotify beschikbaar is.
Met dank aan Stefaan De Cuyper en de rest van het V-ict-or team.
Jan Guldentops is al 25 jaar met cybersecurity bezig. Maar ondanks de technologische vooruitgang blijft het soms sukkelen met digitale veiligheid. In zijn nieuwjaarsbrief geeft hij zes adviezen voor 2022.
(Dit stuk verscheen eerder al op de site van Datanews )
2021 is het 25ste jaar dat ik actief ben in cybersecurity. Als een accidental security expert, bracht ik in 1996 een aantal zware securityproblemen aan het licht in de eerste Belgische online internetbank Beroepskrediet. Van de ene dag op de andere word je dan security-expert, ethical hacker en denkt iedereen dat je alles weet over informatieveiligheid.
Een kwarteeuw is zeer lang en je zou verwachten dat al die problemen die we toen signaleerden, vandaag de dag grotendeels opgelost zouden zijn. Niks is minder waar: het jaar 2021 was weer een geweldig jaar voor de cybersecurity-industrie. De pandemie liet ons nog veel meer inzetten op de digitale economie met een obligaat thuiswerken. Dit werd nog versterkt door een triade aan zero day securityproblemen met een hoog-risico en een angstaanjagende naam van haffnium tot log4j. En ook IOT (je weet wel alle spullen met een draad die we tegenwoordig aan het netwerk hangen) kreeg een paar security-problemen te verwerken.
En ja 2021 was een goed jaar voor security exploits. NIST registeerde gemiddeld meer dan 50 CVE’s (Common Vulnerabilities and Exposures) of bugs elke dag. Opvallend:
Deze bugs (en oudere varianten van de jaren ervoor) werden uitvoerig gebruikt om binnen te dringen bij bedrijven en organisaties, data te stellen of met ransomware plat te leggen. Slachtoffers in ons land: Ziekenhuizen, Mediamarkt, Defensie…
En ja de cybersecurity-industrie profiteert hiervan. Volgens statista groeide de cybersecurity industrie in 2021 met 12%. Volgens de helderzienden van Gartner zal die markt volgend jaar 170 miljard waard zijn. De cybercriminelen, de entrepreneurs die kozen voor de dark side hebben er ook een goed jaar opzitten. Omdat niemand vertelt hoeveel ze betaald hebben aan de afpersers, is hier een cijfer opplakken nog meer voodoo dan Gartner-voorspellingen. Hierbij worden ze geholpen door cyberrisico-verzekering die tot voorkort losgeld terugstortten binnen hun verzekering en bedrijven die er prat op gaan voor u als dienstverlening met de afpersers te onderhandelen.
Hoewel deze industrie enorm gegroeid is, zijn er dingen die in 25 jaar niet veranderd zijn. De voornaamste verkoops- en marketingtechniek is angst of zoals we dat in de industrie FUD (Fear, Uncertainty, Danger) noemen. En die wordt gevoed met weinig constructieve apocalyptische slogans als “er is een cyberramp in de maak” of vage “in 2022 krijgen we nog meer cyberaanvallen” meestal ondersteund met een statistiek die naar de hemel wijst maar waar men makkelijkheidshalve de legende en soms zelfs de cijfers bij vergeten is. Je hebt leugens, grote leugens en statistieken. In de pers weet men ook dat angst en miserie verkoopt.
Wat ook altijd opvalt is hoe de stroom aan niks-zeggende terminologie en hippe oplossingen die al deze problemen moeten oplossen, wel geworden is. De hele bullshit-bingo aan termen en oplossingen die je zogezegd absoluut nodig hebt voor je veiligheid maar waar zelfs de industrie zelf niet 100% zeker van is wat ze betekenen. Het verkoopt blijkbaar lekker met vage termen als Artificial intelligence, Next Generation en Zero Trust.
Volgens mij is de toestand ernstig maar niet hopeloos. De afgelopen maand heb ik in mijn hoofd eens opgelijst waar niet over gepraat wordt maar wat belangrijke aspecten zijn om de digitale werking van je organisatie te garanderen.
We moeten stoppen met paniekvoetbal te spelen telkens als er een nieuwe security-probleem bovenkomt. Als kiekens zonder kop proberen de uitslaande brand te blussen met moeite wetend wat er allemaal in het magazijn is opgeslagen dat kan ontploffen.
Wat bedoel ik hiermee?
Zie de werkelijkheid onder ogen: informatieveiligheid gaat voor uw organisatie even belangrijk zijn als fysieke veiligheid op de werkvloer, de boekhouding correct voeren, belastingen op tijd betalen en al die andere noodzakelijke aspecten om correct een bedrijf of vzw te runnen. Iemand zei ooit dat er 2 zekerheden in het leven zijn: Death and taxes. Misschien moet je mentaal daar ook maar cybersecurity bijzetten.
Net zoals er een goede kans bestaat dat uw gebouw in de fik vliegt of er fysiek ingebroken wordt, is er een zeer grote waarschijnlijkheid dat uw organisatie vroeg eerder dan laat te maken krijgt met een securityprobleem. De manier om dit aan te pakken is u voorbereiden: inventariseer wat belangrijk is qua digitale infrastructuur voor de organisatie en hoe die er fysiek uitziet, lijst de risico’s op en maak een plan om deze risico’s te vermijden. En maak hier een permanent proces van dat u regelmatig opnieuw bekijkt en aanpast aan wijzigingen, gebeurtenissen en de nieuwe werkelijkheid die deze meebrengen. Volg ook problemen op en leer eruit. Zet een soort security-organisatie op met een verantwoordelijke medewerker die op zijn beurt met regelmaat rapporteert aan de directie en de stakeholders van het bedrijf.
De Vlaamse regering heeft hier ook het belang van ingezien en samen met VLAIO een gesubsidieerd verbetertraject op poten gezet met 9 bedrijven, waaronder het mijne BA N.V., die bedrijven helpen dit op te zetten met de nodige financiële hulp.
De vraag is echter niet of je een securityprobleem gaat hebben maar wanneer. Een goede security-organisatie en de nodige bijhorende maatregelen gaan niet voorkomen dat je een securityprobleem zoals een inbraak, een ransomware, phishingaanval of een niet gepatchte bug hebt met de nodige gevolgen van dien. Wat het wel gaat doen is het risico beperken en als zo’n probleem opduikt, de schade beperken zonder dat hiervoor extra security-producten of services gekocht moeten worden.
Samengevat: pak cybersecurity structureel aan, wees een brandpreventie-adviseur en geen pompier.
De afgelopen 2 jaar zijn er massaal veel berichten over bedrijven die wekenlang platliggen omdat een cryptolocker al hun gegevens heeft versleuteld. Heel vaak betalen deze bedrijven dan ook het losgeld om terug te kunnen opstarten en leggen ze hun lot in de handen van de criminelen.
De olifant in de kamer waar niemand over spreekt, is dat deze bedrijven geen of toch geen werkend Business continuity plan hebben. Wanneer je dit voorbereid hebt, goed opgezet en getest hebt, ga je nog altijd last hebben van een cryptolocker en misschien ga je 1 à 2 dagen en veel bloed, zweet en tranen van de IT-staff nodig hebben om alles terug de lucht in te krijgen maar je hebt iets om op terug te vallen.
Haffnium was begin van dit jaar een bug waarbij het voor buitenstaanders mogelijk werd om een exchange mailserver over te nemen. Een gevaarlijke bug die gelukkig wel op tijd gemeld werd aan Microsoft en waar updates voor waren voor hij publiek bekend gemaakt werd.
Als uw organisatie een structurele manier van updates heeft (bijvoorbeeld wekelijks een update) zou het risico relatief beperkt gebleven zijn. Bedrijven die maanden na het bekend worden van deze bug en de nodige patches nog niet geüpdatet zijn, roepen de problemen over zichzelf uit.
Dit is een ernstig probleem in log4j, de logsoftware die door meeste java-software wordt gebruikt. En helaas is een belangrijk deel van alle software die on premisse, op je pc of door allerlei cloud-oplossingen gebruikt wordt geschreven in JAVA.
Het probleem is eigenlijk dat, als je van buitenaf de juiste logboodschap naar het systeem kan sturen, dit systeem een connectie kan opzetten naar buiten, daar allerlei code kan downloaden en die uitvoeren met alle gevolgen van dien.
Alleen waarom moet een aan het internet verbonden server dns, ldap of andere connecties naar het hele internet kunnen opzetten? De beste firewall-strategie is een zogenaamde whitelist of deny all policy waarbij je enkel het inkomend en uitgaand verkeer toelaat dat expliciet noodzakelijk is. Verkeer dat niet noodzakelijk is, blokkeer je en sla je op in een logfile of beter nog je stuurt het door naar een SIEM-oplossing die je er attent op gaat maken dat er iets raars gebeurt.
Samengevat: De bug of breach kan je niet (altijd) vermijden, de schade die hij aanricht kan je wel beperken.
Vaak gehoord: “dit moet je met IT bespreken daar heb ik geen verstand van. “
Dit is mijns inziens heel sterk de kern van het probleem: als leidinggevende moet je de risico’s rond cyberveiligheid en de oplossingen zelf in grote lijnen begrijpen. Dit is de enige manier waarop je deze risico’s kan gaan beperken door o.a. de juiste organisationele en technische beslissingen te nemen. Dit wil niet zeggen dat je je niet mag door een interne medewerker of een externe partij laten adviseren maar je moet altijd voldoende begrip en de vinger aan de pols hebben om dit inhoudelijk te kunnen volgen. Tenslotte begrijp jij meestal beter dan hen wat belangrijk is voor de organisatie en… draag jij de eindverantwoordelijkheid als het mis gaat.
De gouden vuistregel die ik zelf altijd gebruik: Als een IT’er of consultant het mij niet kan uitleggen zodat ik de grote lijnen begrijp, dan begrijpt hij of zij het meestal zelf niet helemaal. Dure complexe termen zijn meestal een vorm van ofwel jobprotectie of een smoke and mirrors om onkunde en andere gaten in het verhaal te verbergen.
Gebruik ook de belangrijkste veiligheidsoplossing die er is: het gezond verstand. Denk na over wat belangrijk is en hoe het moet beveiligd worden. Vaak zijn oplossingen ook nodeloos complex.
Security en privacy is immers te belangrijk om aan IT’ers, advocaten of self-proclaimed experten en consultants over te laten.
Samengevat: wees als leidinggevende altijd nauw betrokken bij informatieveiligheid en zorg dat jij de grote lijnen uitzet.
Wat me opvalt is hoe tribaal IT eigenlijk is. Men zit in een kamp met één leverancier (bijvoorbeeld: Microsoft ) of gemeenschap (Open source, linux) en men vertrouwt deze blindelings en gaat alle potentiële problemen minimaliseren. Om een bijbelse vergelijking te maken: men ziet de splinter in het oog van de rest van de wereld maar de balk in het eigen oog niet.
Dit geldt zeker voor cloudoplossingen. We hebben altijd het gevoel dat een cloud-oplossingen op magische manier beter, sneller, goedkoper en veiliger is dan een andere oplossing. Maar cloud-oplossing zijn aan dezelfde problemen onderhevig dan oplossingen die bij u in de serverruimte staan. Alleen heeft u er minder controle over ( dus afspraken zijn nog belangrijker!).
Wees dus kritisch en geloof niet blind dat een oplossing veilig is. Als je iets aankoopt, vraag naar referenties en kijk ook eens de lijst van recente bugs bij NIST na. Zo zijn er een aantal vpn-oplossingen die de afgelopen 2 jaar al 4 zware bugs gehad hebben die bovendien heel traag op deze problemen reageren. Zo’n partij kan je dan beter links laten liggen.
Samengevat: Geen enkele oplossing is veilig en je gaat permanent moeten updaten en de veiligheidsnormen van dit product te volgen.
Geen enkele structuur of organisatie is helemaal veilig dus Plan for the worst, zorg dat de basis beveiliging zo goed mogelijk in orde is en vooral dat de procedures klaar liggen als er problemen opduiken.
Hiervoor heb je een goede operationele beveiligings infrastructuur nodig :
Zorg ook voor minimale uitgaande rechten: het gebouwbeheersysteem dat de airco aanstuurt moet niet met de hele wereld kunnen verbinden en je webserver ook niet.
Samengevat: security is hard, permanent werk in een verbeteringstraject waar je continue mee bezig moet zijn.
Test de veiligheid van je omgeving op vaste tijdstippen. En dit testen kan op verschillende manieren die allemaal even belangrijk zijVLAIn.
Allereerst heb je de checklist, lijstjes van vragen waar je op kan beantwoorden. Pas hier op voor papieren tijgers: elk bedrijf wordt vandaag de dag platgeslagen met ISO27k-achtige vragenlijsten waarbij juridische en taalkundige kennis belangrijker is dan technische veiligheidskennis. Vaak is de vraag te weinig genuanceerd, snapt de invuller de vraag met moeite door het jargon en de juridische spitsvondigheid waarin hij is opgesteld of wordt er gewoon gelogen uit bestwil. “Everybody lies” zegt één van mijn favoriete TV-figuren in bijna elke aflevering van “House”.
Aan de andere kant heb je de uitgebreide audits die veel gespecialiseerde bedrijven o.a. het mijne aanbieden om je bedrijf binnenste buiten te keren. Probleem is dat dit mensenwerk is en een serieus prijskaartje. Dit betekent dat je dit niet elke maand gaat doen. En helaas is elke audit maar een momentopname en kan er 10 minuten later al een andere securitybug inzitten.
Daarom is het ons inziens ook belangrijk dat je regelmatig (bijvoorbeeld maandelijks) jezelf door middel van een aantal vulnerability tools (Nessus, qualsys of gewoon een open source KALI met alle tools die erinzitten) test en controleert of alles nog in orde is.
Wij bieden trouwens een gratis, passieve internetvulnerability test aan via deze link.
Samengevat: test op regelmatige basis zo vaak mogelijk de veiligheid van je omgeving.
Eén van de dingen die mij nog altijd het meest verbazen als ik over alle cyberrampen van het afgelopen jaar lees, is hoe weinig bedrijven, sluitende backups laat staan een echt Business Continuity Plan hebben.
Bepaal eerst wat je wil bereiken qua beschikbaarheid. Niet alles is even belangrijk en wat belangrijk is hangt af van de specfieke vereisten van uw bedrijf. Maak per dienst een worst case Recovery Time objective (RTO of hoe lang mag de dienst maximaal onbeschikbaar zijn in tijd) en Recovery Point Objective (RPO of hoeveel data in tijd mag de dienst maximaal kwijt zijn). Vaak wordt ook retentie vergeten: hoe lang wil je wenselijk en om juridsiche redenen kunnen terugkeren in je backups? Hoe vlot kan je de data recuperen ?
Bepaal ook wat je daar budgetair aan kan besteden. Het is een standaard verhaal dat een directie zegt dat een dienst niet mag platleggen maar dat er geen budget voor voorzien wordt en elke investering er één teveel is. If you pay peanuts, you get monkeys.
Bekijk het per concrete dienst, niet per technisch element zoals netwerk, server, internetconnectie of een ander IT-spul. Om een dienst beschikbaar te hebben, heb je immers meerdere dingen nodig – wat heb je eraan dat je je server in 10 minuten terug de lucht in kan krijgen als je geen netwerk er meer naartoe hebt ?
Maak een technische inventaris van alles wat je nodig hebt om die dienst te kunnen garanderen en probeer niks te vergeten. IT is een complex verhaal van netwerken, cloud, servers, authenticatie, enz geworden. Elke schakel die ontbreekt of foutgaat, kan de hele recovery-inspanning nutteloos maken. Een keten is maar zo sterk als zijn zwakste schakel.
Op basis van vereisten, budget en inventaris kan je dan een plan opmaken. Wees hier realistisch en hou vooral ook rekening met de dode hoeken in je plan waar je niet aan gedacht hebt. Zorg ook dat alle risico’s geëvolueerd worden en er deze aangepakt worden. Dingen die vaak vergeten worden: alles staat op één locatie (backups gaan het bedrijf niet uit of worden niet ergens anders naartoe gestuurd.) met alle gevolgen van dien, stroom, configuraties van infrastructuur als switches wordt niet gebackuped, backupservers zijn slecht beveiligd (en worden bv ook versleuteld door de cryptolocker), etc.
Last but not least: test! Volg je systemen en backups dagelijks op, pak het aan als er iets foutgaat. Test je business plan af en toe. Recover je backups af en toe. De wet van Shrödinger voor backups leert ons immers dat je pas weet dat een backup in orde is, als je hem volledig succesvol gerecovered hebt.
Samengevat: maak een realistisch Business Continuity Plan met duidelijke, realistische doelstellingen per dienst, een budget en dat je ook op vaste tijdstippen test op zijn werking.
Vandaag las ik nog in een artikel hoe de universiteit van Kyoto 77TB aan onderzoeksdata is kwijtgeraakt bij een Hpe SAN update. Het lijkt onbegrijpelijk maar mijn ervaring in het werkterrein laat me al vermoeden hoe het is foutgegaan: Universiteit: we kopen bij een grote naam, dus de backups en Business Continuity zullen wel in orde zijn. Hpe: backups zijn verantwoordlijkheid voor de klant.
Het is een veelvoorkomende fout: “Assumption is the mother of all fuck ups”. Veel belangrijke elementen worden intrinsiek afgesproken en niet uitgesproken. Daarom is het belangrijk om goede afspraken te maken met je leverancier, partners, IT-dienst en medewerkers. Durf uit te spreken wat je verwacht en zet het ook op papier. En eerlijkgezegd ik vind het belangrijker dat iedereen snapt wat er in dat contract staat en aanvaardt wat er verwacht wordt dan dat het onleesbaar is maar juridisch klopt.
Er worden ook veel papieren tijgers opgesteld : contracten waar dingen in staan waar alle partijen op voorhand weten dat ze niet haalbaar zijn maar er voor de goeie vorm ingezet worden. Een goed voorbeeld zijn SLA’s waar met een percentage gegooid wordt dat niet voor iedereen duidelijk is. Bijvoorbeeld 99% beschikbaarheid op jaarbasis, betekent dat het systeem 3 dagen na elkaar mag platliggen. Er zitten vaak ook geen tanden aan: als een bedrijf de SLA niet haalt moet het dit voelen door middel van bijvoorbeeld een boete. Aan de andere kant heb je ook bedrijven die 10€ / maand betalen en een schadevergoeding van 10.000€ vragen bij elke onbeschikbaarheid.
Samengevat: Maak goeie duidelijke, realistische afspraken die alle partijen begrijpen. In tijden van nood zal je hier heel dankbaar voor zijn.
De toestand is ernstig maar niet hopeloos. In een digitale wereld kan je niet anders dan aandacht besteden aan de degelijkheid en de veiligheid van de infrastructuur en diensten die eronder zitten.
Dus pak de informatieveiligheid van je organisatie permanent structureel aan en probeer er een verbetertraject van te maken waar iedereen van de gewone werknemer tot de directie nauw betrokken is.
Gebruik vooral de superkracht gezond verstand om dit te doen: denk na, veronderstel niks maar spreek het af en wees realistisch. Iedereen zal vroeg of laat een securityprobleem hebben, het is vooral belangrijk hoe je dan reageert en of je voldoende in huis hebt om de schade te beperken.
De veiligheid van je organisatie op orde zetten en houden is hard werken net als de boekhouding van een bedrijf laten kloppen, een degelijk human resource beleid te voeren of duurzaam te ondernemen.
Bij BA en zijn partners hebben we een sterk team om uw organisatie te helpen met het verbeteren van zijn veiligheid.
In de eerste plaats kan je hier een gratis passieve audit van je omgeving aanvragen. Wij controleren dan de basis veiligheid van je organisatie en geven je een eerste analyse. Dit is een ideaal startpunt om te beginnen!
VLAIO selecteerde BA samen met 9 andere bedrijven als partij om Vlaamse KMO’s te begeleiden bij security-verbeteringstrajecten, waarbij we uw organisatie niet alleen auditeren maar met praktische raad en daad helpen om de IT veiligheid van uw KMO op punt te zetten. En als uw bedrijf aan de vereisten voldoet, subsidieert VLAIO 45% van het traject. Geïnteresseerd? Neem contact op met sales@ba.be of 016/29 80 45
versie 0.1 – 26 juni 2018 – Jan Guldentops ( j@ba.be )
Tot voor kort stelden gemeenten bij de verkiezingen zogenaamde kiezerslijsten ( Lijsten met de persoonsgegevens van alle stemgerechtigden voor die verkiezing) ter beschikking van kandidaat-politici en politieke partijen. Maar mag dit nog in strenge privacy-tijden ? Wat is de wettelijke basis hiervoor en waarmee moet er rekening gehouden worden ?
Het korte antwoord is Ja, gemeenten moeten kandidaat-politici en bijhorende partijen de kiezerslijsten ter beschikking stellen.
Er is een duidelijke wettelijke basis dat de lijsten gebruikt mogen worden voor verkiezingspropaganda -euhm- doeleinden in de aanloop naar de verkiezing. In feite is het een uitzondering op het principe dat gegevens uit het bevolkings- en vreemdelingenregister niet aan derde partijen ter beschikking worden gesteld.
De gemeente <Gemeente> stelt aan <naam + voornaam> als kandidaat van de lokale verkiezingen, de kieslijsten van de gemeente <Gemeente> electronisch ter beschikking.
Deze kieslijst bevat de voorna(a)men, achternaam, geboortedatum, geslacht en hoofdverblijfplaats van elke kiesgerechtigde van de gemeente.
<naam+voornaam> heeft kennis genomen van de plichten die hij of zij heeft volgens de desbetreffende wetgevingen en belooft deze ook naleven:
- de kieswet (Vlaams Lokaal en Provinciaal Kiesdecreet van 8 juli 2011): “De personen die een kiezerslijst ter beschikking hebben, mogen die lijst alleen voor verkiezingsdoeleinden gebruiken en alleen in de periode die valt tussen de datum van de terbeschikkingstelling van de lijst en de datum van de verkiezing.”;
- de Europese privacywetgeving (GDPR) ;
Voor ontvangst / akkoord,
Naam, voornaam
Gelezen en goedgekeurd,
Originele publicatie in Datanews: https://datanews.knack.be/ict/nmbs-lekt-persoonsgegevens-komt-het-privacybesef-van-nmbs-te-laat/article-opinion-276649.html
De trein is altijd een beetje reizen, altijd een beetje avontuur. Wie geregeld de trein neemt, weet wat hij of zij van onze nationale spoorwegen mag verwachten. Onze nationale trots maakt er een erezaak van om structureel te laat met te weinig capaciteit te werken. Als er niet voor de zoveelste onduidelijke reden gestaakt wordt en we helemaal niet op de trein kunnen rekenen. Het ergste vind ik persoonlijk hoe er in de communicatie naar de reizigers hierover creatief wordt omgegaan met de werkelijkheid.
De trein is altijd een beetje reizen, altijd een beetje avontuur. Wie geregeld de trein neemt, weet wat hij of zij van onze nationale spoorwegen mag verwachten. Onze nationale trots maakt er een erezaak van om structureel te laat met te weinig capaciteit te werken. Als er niet voor de zoveelste onduidelijke reden gestaakt wordt en we helemaal niet op de trein kunnen rekenen. Het ergste vind ik persoonlijk hoe er in de communicatie naar de reizigers hierover creatief wordt omgegaan met de werkelijkheid.
Net als je dacht dat het niet erger kon, slaagt de NMBS erin om de gegevens van bijna anderhalf miljoen klanten weken ( vermoedelijk zelfs maanden) op het internet te laten rondslingeren. Iedereen die een beetje met google overweg kon, had een mooie lijst in de vorm van een CSV-database in handen. Met andere woorden: private gegevens als uw adres, geboortedatum of e-mailadres worden te grabbel gegooid. Een aantal spammers/scammers gaan heel blij zijn met het materiaal dat ze hier in een paar muisklikken in handen krijgen.
En de spoorwegen? Die vinden dit een non-event, zelfs niet waardig om een persbericht over op te stellen of bij een persconferentie tekst en uitleg te geven. Zwarte piet van dienst, woordvoerder Bart Crols geraakt niet verder dan platitudes als “We verontschuldigen ons nadrukkelijk voor dit incident bij onze klanten” en “De privacy van onze klanten is voor ons een prioriteit.” Straks doet ie nog een Dignefje en zegt hij dat het de schuld van de reizigers is.
De regels van het fatsoen en de wet zeggen dat spoorwegen op zijn minst de personen wiens gegevens ze gelekt hebben hiervan op de hoogte brengen. De NMBS zwijgt tegen de slachtoffers in dit verhaal in alle talen. Gelukkig is er het privé-initiatief van Frederic Jacobs die op http://sncb.fredericjacobs.com een kleine simpele webapplicatie opgezet heeft waarmee je kan checken of jouw gegevens in de gelekte info zit. Een nobel initiatief dat eigenlijk doet wat de NMBS zou moeten doen. Je kan er gif op innemen dat op de juridische dienst de messen al geslepen worden om tegen deze boodschapper klacht neer te leggen bij de rechtbank.
Klokkenluiders krijgen het altijd zwaar te verduren. Bedrijven met boter op hun hoofd schieten altijd met scherp op de boodschapper in plaats van te doen wat ze moeten doen: de schade vaststellen, de gaten dichten en de betrokken instanties en de slachtoffers op de hoogte brengen.
Want laat er geen twijfel over bestaan: dit is een zware fout waarbij persoonsgegevens gelekt worden. Een fout die met mijn beperkte juridische kennis zelfs geldboetes tussen de 100 en 100.000 € per inbreuk voor de verantwoordelijken met zich mee zou kunnen brengen. Het toont ook aan op welke lakse manier er bij de NMBS met persoonsgegevens wordt omgegaan en hoe er bij problemen geen enkel structuur of plan klaarligt om de schade te beperken.
Maar laten we eerlijk zijn: de NMBS is niet het enige bedrijf dat laks omspringt met de persoonsgegevens van hun klanten. Ik wil de bedrijven niet te eten geven die laks omspringen met hun data en de persoonsgegevens van hun klanten. Weinig mensen kennen, laat staan dat ze stilstaan bij de regelgeving rond het gebruik en opslaan van persoonsgegevens.
De juridische en financiële consequenties van het verlies van dit soort gegevens kan echter groot zijn. We lopen in België hier sterk achter op het Verenigd Koninkrijk waar recent bijvoorbeeld een aantal gemeentebesturen zware boetes kregen voor het slordig omspringen met persoonlijke data van hun bewoners.
Daarom zou ik in al mijn naiëf idealisme een oproep willen doen aan de NMBS, de politiek verantwoordelijken en justitie. Laten we er voor zorgen dat er aan deze zware fout consequenties verbonden zijn voor de verantwoordelijken en dat voor één keer het niet alleen de reiziger is die de prijs betaalt. Misschien kan deze episode dan een stichtend verhaal zijn waar anderen uit kunnen leren zorgvuldig om te springen met uw en mijn persoonlijke gegevens. Privacy is tenslotte een mensenrecht.