Geef hier uw wachtwoord af

Paniek op internet dit weekend, toen het leek alsof alle e-mailaccounts van KPN onveilig waren. Uit voorzorg sloot het bedrijf er twee miljoen tijdelijk af. Een unicum in Nederland. Daarmee handelde het bedrijf snel en verantwoordelijk. Dat moest ook wel. Want vorige week woensdag had een onbekende ingebroken bij één KPN-server met klantgegevens. Er zouden geen adressen of wachtwoorden zijn gestolen. Maar zekerheid daarover was er niet.

Mogelijk is KPN dit weekend misleid door een hacker die een database van een slecht beveiligde webwinkel kaapte, en daaruit de namen van KPN-klanten publiceerde. Daarna had KPN vermoedelijk weinig keus meer. Welke schade de klanten leden, is onbekend. In zekere zin biedt een tijdelijke e-mail-black-out ook inzicht in de afhankelijkheid van de digitale infrastructuur. Als één provider tijdelijk twee miljoen accounts blokkeert, wijken gebruikers dan uit naar andere berichtendiensten, naar alternatieve e-mailaccounts of naar telefonie? Wellicht viel het ongemak mee. Een dagje zonder e-mail is voor velen helemaal geen straf.

Dat KPN hier een tik van krijgt, is wel duidelijk. Het bedrijf had ten minste één onbeveiligde server, met vermoedelijk verouderde software, online staan. Zoiets mag niet voorkomen. Het voormalige nutsbedrijf is zijn historische reputatie van degelijkheid nu kwijt.

Maar webwinkels hebben ook een probleem. In oktober vorig jaar braken hackers in op de klantendatabase van cheaptickets.nl. Zowel de staatssecretaris als de minister van Justitie was daar klant, zo vertelde een van hen in de Tweede Kamer. De namen van de KPN-klanten bleken gestolen van babydump.nl. In ieder geval lijken de goedkope webwinkels slecht in het beveiligen van hun klantenbestanden. Toch zijn ze daartoe op grond van de Wet bescherming persoonsgegevens verplicht.

De handhaving door het gelijknamige, krap bemande College bescherming persoonsgegevens (CBP) schiet tekort. De politiek geeft toezicht een lage prioriteit. Dit kabinet is van plan de boetebevoegdheid van het CBP uit te breiden. Ook komt er een meldplicht voor instellingen die zijn gehackt. Maar is dat genoeg?

Computerveiligheid is politiek verdeeld over drie bewindslieden. Na het debacle met DigiNotar had meer verwacht kunnen worden. Zelfregulering stelt ook weinig voor. Het keurmerk van Thuiswinkel.org houdt winkels met onveilige databases niet buiten de deur. De burger is dus op zichzelf aangewezen. Bij iedere registratie op een website een ander wachtwoord opgeven is een eerste en effectieve stap. Wordt daar ingebroken, dan staat er maar één raampje open. En niet allemaal tegelijk.