FF 5 miljard euro ophoesten

De 5 miljard euro vraag

Databeveiliging was altijd een abstract begrip dat alleen techneuten begrepen, en juristen over spraken. Je zou zeggen dat na de recente hack waarbij gevoelige data van een half miljoen mensen gestolen is, waaronder volledige naam, adres en BSN, dat dit zou veranderen. Dat lijkt nog niet echt te gebeuren.  

Laten we het probleem concreet maken. Wie deze data in handen heeft van een persoon kan zich voordoen als die persoon. Hoe groot is dat probleem? Veel organisaties vragen niet verder dan naam, adres, en geboortedatum. Officiële instanties vragen daarnaast ook naar (een deel van) het BSN voor ze tevreden zijn dat jij het bent. Hiermee kunnen criminelen abonnementen en leningen worden aangegaan op naam en kosten van de persoon. Het gevolg is dus dat deze persoon in de schulden kan zitten zonder het te weten, totdat de deurwaarder op de stoep staat…

Als de bank niet al te grondig controleert, kan er ook een bankrekening worden aangevraagd, en dan is het hek helemaal van de dam.

En dit is nog voordat er phishing acties op de persoon of hun omgeving worden gedaan met gebruik van de medische data die ook in de database stonden waardoor deze persoon op het verkeerde been wordt gezet en de schade alleen maar kan vermenigvuldigen. 

En je kan er als slachtoffer niets aan doen om dit te fixen. Je kan niet zomaar je naam en adres veranderen, en een BSN kan niet opnieuw worden uitgegeven. Je kan als persoon niks doen aan dat het gestolen is, maar ook niks om je te verdedigen tegen de schade die hieruit voortvloeit. 

De potentiële schade per persoon kan gemakkelijk tienduizend euro zijn en kan daarna nog oplopen. Het is dus niet onredelijk om per persoon minstens die tienduizend euro te eisen en met dat geld onder andere een bureau in de arm te nemen, die de rest van het leven van die persoon probeert in de gaten te houden wanneer deze data wordt misbruikt voor schulden, leningen etc etc. 

Vermenigvuldig een half miljoen slachtoffers met tienduizend euro aan schadevergoeding en je komt op een schadepost van vijf miljard euro! Hiermee wordt de schade van een hack door slechte beveiliging ineens concreet. Het lijkt monopolygeld, tot jouw organisatie het moet betalen!

En dit is precies waarom die techneuten zo pissig werden dat hun aanvragen voor geld voor betere beveiliging steeds werden afgewezen. Ze probeerden je organisatie te behoeden voor deze kostenpost maar konden je daar niet van overtuigen! Zaken die voor hen zo klaar waren als een klontje, klonk voor management als chinees. 

Managers die luchtig opmerkten dat ze dit risico wel wilden aangaan, wisten niet wat ze zeiden. Want hoe kan de data in je database nu voor miljarden of zelfs maar miljoenen aan risico’s veroorzaken, en daarnaast wat is nou de kans dat het ons gebeurt (in de tijd dat we hier zitten)?!

Ik hoop dat deze vijf miljard inderdaad wordt toegekend als schadevergoeding, ook als afschrikking van de rest van andere informatieverwerkers. Totdat dat gebeurt zullen de meeste directies nog steeds niet onder de indruk zijn. 

Overigens het zou me niks verbazen als die miljarden door datzelfde kabinet betaald moeten worden dat de rem heeft gezet op de wetgeving over betere computer security. 

Voorkomen is dus veel goedkoper dan te moeten vergoeden wat niet te genezen is…