Te veel open deuren op het web

Op het internet wordt privacy vaak opgeofferd aan gebruiksgemak, meent Laurens Mommers.

`Turkse vrouw opgespoord via internet', stond op 26 maart boven een bericht in deze krant. De vrouw, die op 12 maart door haar echtgenoot werd doodgeschoten, zou via het postbusnummer in haar klantgegevens bij zorgverzekeraar Agis getraceerd zijn door haar echtgenoot. Kennelijk was het mogelijk om via de website van het bedrijf met behulp van het verzekeringsnummer en geboortedatum adresgegevens op te vragen.

Het is nog onduidelijk of Agis daadwerkelijk onzorgvuldig met klantgegevens is omgesprongen. Desondanks legt het bericht een algemener probleem bloot: privacylekken door matig doordacht gebruik van internettechnologie.

Zo publiceerde de Dienst Stadstoezicht van Amsterdam wachtlijstgegevens voor parkeervergunningen praktisch onbeveiligd op internet. Pas toen via de website geenstijl.nl de wachtlijstgegevens integraal op internet werden gepubliceerd, schortte de gemeente deze dienst op.

Ook de naam- en adresgegevens van klanten van Nuon waren via de website van het bedrijf toegankelijk met een persoonsgebonden nummer. Dit nummer kon echter gemakkelijk gemanipuleerd worden, zodat ook de gegevens van andere huishoudens zichtbaar werden en fictieve meterstanden konden worden doorgegeven. Inmiddels moet behalve het persoonsgebonden nummer ook het eigen huisnummer worden ingevuld.

Deze voorbeelden zijn niet wereldschokkend, maar tonen aan dat privacy vaak lijdt onder gebruiksgemak. Het gebruiksgemak van een internetdienst hangt onder meer af van de moeite die men moet doen om zich te identificeren. Snel opvragen en wijzigen van eigen gegevens bespaart de consument het versturen van brieven of het wachten aan de telefoon. De komst van internet maakt de introductie van dergelijke diensten gemakkelijk en aantrekkelijk. Voor de dienstverlener liggen vaak aanzienlijke kostenbesparingen in het verschiet.

Helaas ligt gebruiksgemak vaak verrassend dicht bij gemakzucht. Bij de inrichting van internetdiensten zouden bedrijven en overheden rekening moeten houden met de mogelijkheden voor oneigenlijk gebruik. Te vaak wordt alleen gekeken naar de gewenste functies van de dienst, in plaats van te anticiperen op misbruik. Zo is de toepassing van alleen een (relatief kort) identificatienummer uit den boze: het is dan mogelijk om systematisch nummers uit te proberen, en op die manier privacygevoelige gegevens te achterhalen.

Daarnaast is een goede algemene beveiliging van de website natuurlijk onontbeerlijk, en dient de communicatie tussen gebruiker en website bij voorkeur gecodeerd te verlopen, zodat `aftappen' van die communicatie geen zin heeft. Uiteraard was het altijd al mogelijk om bijvoorbeeld via de telefoon te proberen gegevens te achterhalen. Toch maakt internet de drempel voor misbruik een stuk lager, wegens de relatieve anonimiteit en de mogelijkheid systematisch toegangscodes uit te proberen.

Grondige beveiliging mag misschien wat overdreven lijken voor een dienst waarmee iemand z'n polisgegevens of plaats op een wachtlijst kan controleren, maar de mogelijkheid van misbruik van gegevens is door het drama in Koog aan de Zaan duidelijk naar voren gebracht.

De primaire verantwoordelijkheid voor de beveiliging van iemands persoonlijke gegevens ligt bij de instantie die deze in beheer heeft. Ondertussen spelen burgers zelf ook nog een belangrijke rol: zij zouden hun gegevens niet virtueel moeten laten `rondslingeren', zodat die bijvoorbeeld via een zoekmachine als Google teruggevonden kunnen worden, en zij moeten zorgvuldig omgaan met wachtwoorden.

Maar bovenal moeten bedrijven en overheden de beveiliging van internetdiensten serieuzer gaan nemen dan nu vaak gebeurt. Een minimumvereiste is het gebruik van combinaties van gebruikersnaam en wachtwoord, waarbij het wachtwoord werkelijk geheim moet zijn, en niet een vrij eenvoudig te achterhalen gegeven als een geboortedatum of huisnummer.

Dr. Laurens Mommers is universitair docent bij eLaw@Leiden, centrum voor recht in de informatiemaatschappij van de Universiteit Leiden, en daarnaast werkzaam bij Legal Intelligence te Papendrecht, waar hij onder meer verantwoordelijk is voor het privacybeleid.