Maandag 05/12/2022

Opinie

Niet alleen NSA houdt u in de gaten

null Beeld AP
Beeld AP

Bart Preneel is als expert computer-beveiliging verbonden aan de KU Leuven (COSIC en iMinds).

Bart Preneel

Het jaar is nog maar net begonnen en we worden geconfronteerd met de harde realiteit van cyberonveiligheid: persoonlijke gegevens worden op het internet te grabbel gegooid. Wat is er gebeurd? De hacker 'Rex Mundi' heeft bij organisaties heel wat gevoelige gegevens gestolen zoals wachtwoorden en medische data. Toen de bedrijven weigerden om losgeld te betalen, plaatste hij de gegevens online.

We moeten dus niet alleen bezorgd zijn over de NSA en andere veiligheidsdiensten die ons voortdurend in de gaten houden op het internet. Ook criminelen hebben begrepen dat geld en waardevolle gegevens online zitten. Zij breken in bij eindgebruikers en bij de bedrijven en proberen zo geld te verdienen.

null Beeld rv
Beeld rv

Het is geen nieuw fenomeen. In België was er in 2013 het datalek bij NMBS Europa, waarbij gegevens van 700.000 klanten beschikbaar waren op het internet, blijkbaar zonder enige bescherming. Op internationale schaal is dit maar klein bier. In 2014 hebben hackers bij Adobe de gegevens van 152 miljoen klanten gestolen. Bij eBay waren het er 145 miljoen. In november 2014 werden gevoelige emails gestolen bij Sony Pictures Entertainment en op het internet gelekt. Het is ook niet de eerste keer dat medische gegevens gehackt worden: in augustus 2014 maakten hackers de data buit van 4,5 miljoen patiënten van Community Health Services in de VS. Maar cijfers blijven afstandelijk en droog, tot je zelf moet vaststellen dat je persoonlijk leven op straat ligt.

De burger verwacht terecht bescherming van de overheid. De privacywet verplicht alle organisaties om databases met persoonsgegevens te registeren en om deze gegevens op een passende manier te beschermen. Bij een incident riskeert een bedrijf een boete. Voor heel ernstige gevallen, zoals het NMBS-datalek, wordt het dossier overgemaakt aan het parket.

De privacycommissie ziet toe op de naleving van deze wet. Maar de boetes die ze kan opleggen zijn heel beperkt en er zijn onvoldoende middelen om proactief te controleren of persoonsgegevens daadwerkelijk goed beschermd worden. Grote internationale bedrijven kiezen hun vestigingsplaats in Ierland, zodat ze vallen onder de Ierse privacycommissie, die bekend staat als erg soepel. Onder de Safe Harbor-regels exporteren bedrijven gegevens uit de EU, waar de controle veel lakser is; de Europese Commissie heeft toegegeven dat deze regels niet werken. Spelers zoals Apple, Facebook en Google profileren in detail hun gebruikers - men kan dit ook spionage noemen - en verdienen op deze manier vele miljarden met de verkoop van gerichte advertenties.

De huidige IT-systemen brengen dus belangrijke risico's mee voor persoonsgegevens, maar er is geen sterke drijfveer om te investeren in de bescherming van deze gegevens. De bedrijven maken de winsten en de gebruikers betalen de prijs bij elke hack. De markt faalt.

Een strengere bescherming van persoonsgegevens is nodig. Een die ervoor zorgt dat bedrijven veel minder gegevens gaan verzamelen en de gegevens in hun databases veel beter gaan beschermen. Op Europees niveau wordt er de jongste jaren gewerkt aan een nieuwe regelgeving. Een van de centrale elementen is hogere boetes, tussen de 2 en de 5 procent van de globale omzet.

De industrie heeft dan ook massaal geïnvesteerd: niet in beveiliging, maar in lobbying - denk aan de 158 privacy-onvriendelijke amendementen die werden ingediend door Louis Michel in het Europese Parlement. Op dit moment twijfelen heel wat privacy-activisten sterk of de nieuwe regelgeving haar doel zal bereiken.
Overigens zijn er in de privacywetgeving grote uitzonderingen voorzien voor politie- en veiligheidsdiensten. En we weten uit de Snowden-documenten dat NSA en GCHQ heel wat gegevens krijgen van bedrijven, vrijwillig of onder dwang. In die zin hebben de overheden van een aantal landen (zoals de VS en het VK) er alle belang bij dat bedrijven zo veel mogelijk gegevens verzamelen over hun klanten. In een democratie vraagt een dergelijk conflict of interest een open debat, maar jammer genoeg vallen de nationale veiligheidsdiensten niet onder de Europese bevoegdheden. Dit verhoogt het risico dat de burger aan het kortste eind zal trekken.

Voor een betere privacybescherming zal het niet volstaan om strengere wetten te hebben. Er moet meer worden geïnvesteerd in het afdwingen van wetten en in een betere cyberbeveiliging, zowel bij de overheid als bij de bedrijven. Het wordt tijd dat onze overheid hier werk van maakt. Een lichtpunt is dat België voor het eerst een staatssecretaris heeft die expliciet bevoegd is voor privacy.

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234