NSA erg? Kijk eens naar Albert Heijn!

Dinsdag deed deze krant verslag van de verdwijnpoging van redacteur Thomas Rueb. De belangrijkste conclusie, volgens Wouter Teepe: bedrijven moeten gegevens beter beveiligen.

Het is een leuk experiment: iemand laten proberen ‘onder de radar’ te blijven, en het publiek oproepen hem op te sporen. Iedere nrc.next-lezer werd uitgenodigd een beetje de spion uit te hangen en Thomas Rueb te vinden. Toegegeven: dat kan een kick geven.

Dinsdag stond het spannende verslag van Ruebs verdwijnpoging in deze krant. Maar wat leert ons dit experiment nou? Welke conclusies kun je eraan verbinden? De krant stelt dat dit experiment inzicht geeft in de mate waarin mensen traceerbaar zijn in deze digitale tijd.

Enerzijds laten mensen sinds de invoering van papieren administraties al genoeg sporen achter, zodat iemand opsporen ‘slechts’ een kwestie van het verzamelen en combineren van deze sporen is. In eerste instantie zorgt de digitalisering er alleen voor dat gegevens die binnen een organisatie verzameld zijn, binnen die organisatie ook makkelijk doorzoekbaar zijn.

Anderzijds is het combineren van zulke bronnen onmogelijk zonder toegang tot deze bronnen. Het is een politieke dan wel maatschappelijke vraag voor organisaties om te kiezen met wie ze hun interne gegevens delen. Op deze vraag geeft het experiment van nrc.next een glashelder antwoord.

Of we traceerbaar zijn, is een no-brainer (ja, we zijn traceerbaar.) De relevantere vraag is wie hieraan medeplichtig is door – uit desinteresse of onbenul – laks om te gaan met gevoelige gegevens die iemand of een organisatie beheert.

Maximaal mogelijke straf

Het enkele feit dat iemand de deur van een bepaald Albert Heijn-filiaal passeert, is wellicht niet zo spannend. Het feit dat Albert Heijn de next-redacteuren die naar Thomas Rueb op zoek waren heeft geholpen hem te traceren, is ronduit stuitend.

Albert Heijn deelde voor een ‘experiment’ haar gegevens met een krant, op basis van niets meer dan een leuk verhaal. De enige gepaste reactie van het College Bescherming Persoonsgegevens is het uitdelen van de maximaal mogelijke straf.

Wat dat betreft heeft de Nederlandse politie zich een stuk verantwoordelijker getoond door haar trukendoos niet te laten lenen voor dergelijke strapatsen. Naast deze (al dan niet gespeelde) vroomheid heeft de politie (net als de AIVD en de MIVD) er natuurlijk een operationeel belang bij niet te laten weten in welke suikerpotten van bedrijfsinformatie zij haar handen steekt.

Hoe gemakkelijk delen bedrijven en personen in Nederland, al dan niet vrijwillig of onder enige pressie, hun gegevens met de overheid? Daarin valt helaas moeilijk inzicht te krijgen. Het laatste echte onderzoek hiernaar, door de commissie-Bosma (‘Data voor Daadkracht’, 2007), is vooral een klaagzang over de AIVD, die hierover geen openheid geeft. De ervaringen van nrc.next beloven niet veel goeds. Als Albert Heijn representatief is voor andere bedrijven, zal een inlichtingendienst slechts beleefd hoeven te vragen om de gegevens van klanten in te mogen zien.

Uiteraard zijn sommige inlichtingen- en veiligheidsdiensten niet te beroerd de stap van ‘beleefd vragen’ over te slaan en zomaar in te breken in bedrijfssystemen. De zaak-Belgacom, waar de Britse dienst GCHQ heeft ingebroken, is het meest recente bekende voorbeeld daarvan.

Waar het om gaat is dat het bedrijfsleven een forse verantwoordelijkheid heeft voor het beschermen van de gegevens die zij beheert. Dan gaat het niet alleen om het ‘nee’ verkopen als er om gegevens gevraagd wordt. Het gaat er ook om het op zijn minst technisch lastiger te maken in te breken in informatiesystemen.

Hand uit de suikerpot

En dan is het dus niet handig om bedrijfsinformatiesystemen te ‘outsourcen’. Dat gaat altijd gepaard met vrome beloften dat de beheerder van de gegevens hierin niet zal spieken, maar sinds de onthullingen van Snowden weten we hoe houdbaar die beloften zijn. Zeker als de feitelijke verwerking, of het moederbedrijf van de verwerker, in een (ver) buitenland zit.

Het is verleidelijk de boze vinger naar de vele overheden te wijzen die allemaal gegevens verzamelen. Mogelijk is dat ook terecht. Dit ontslaat het bedrijfsleven echter niet van de juridische, maatschappelijke én morele plicht haar gegevens goed te beveiligen en alleen op gepaste wijze met derden te delen.

Een maatschappij met respect voor privacy begint bij de wijze waarop bedrijven met hun gegevens omgaan.