Je bent hier: Home » Samenwerken & Organiseren » Uit een lekkende kraan is het slecht water drinken

Uit een lekkende kraan is het slecht water drinken

Uit een lekkende kraan is het slecht water drinken

De IT-sector doet voorkomen alsof IT als water uit de kraan of zo uit de muur komt; je stopt je stekker in het stopcontact en klaar is Kees. Dat verbaast me. Zeker nu sinds 1 januari aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens is toegevoegd. Want helaas blijkt het maar al te vaak om troebel en vervuild water te gaan.

IT-oplossingen in de cloud, ze lijken zo aantrekkelijk. Je hebt geen systeembeheerder en IT-manager meer nodig en kunt dus flink op personeelkosten besparen. Besef echter wel dat je met dergelijke oplossingen je lot in handen legt van IT-dienstverleners die de beveiliging van jouw gegevens niet altijd als prioriteit zien en op dat vlak soms ook geen idee hebben waarmee ze bezig zijn. Als eigenaar van de persoonsgegevens blijf jij intussen wel verantwoordelijk voor de bescherming van de veiligheid van die gegevens…

Gegevens worden doorgesluisd naar obscure adressen

Bij het testen van internettoepassingen stuitten wij de afgelopen weken op vreemde praktijken. In diverse applicaties bij verschillende klanten detecteerden we codes die persoongegevens van bezoekers doorsturen naar obscure adressen in Rusland, Japan en China. De makers en aanbieders van de software hadden geen idee hoe deze codes in hun toepassingen terecht zijn gekomen en de argeloze bezoekers merkten niets van het doorsluizen van hun gegevens. We maken het vaak mee, softwareleveranciers die gebruikmaken van onveilige cloudfaciliteiten. Ik schat dat hierdoor twintig procent van de Nederlandse markt met datalekken te maken heeft. In de eerste twee maanden van dit jaar zijn bij de Autoriteit Persoonsgegevens zevenhonderd meldingen van datalekken gedaan. Vermoedelijk is dat slechts het topje van de ijsberg.

Wat vandaag veilig is, is morgen onveilig

Een datalek moet onmiddellijk gemeld worden bij de Autoriteit Persoonsgegevens. Als het lek schadelijke gevolgen kan hebben voor de geregistreerden moeten deze hiervan binnen 72 uur in kennis worden gesteld. Wie zich niet aan de meldplicht datalekken houdt of nalatig is in het beschermen van de persoonsgegevens van zijn klanten of bezoekers kan een boete tot € 820.000 of tien procent van de jaaromzet opgelegd krijgen. Voordat ik een nieuwe viltstift op de markt mag brengen, moet dit product op giftigheid en van alles en nog wat gekeurd zijn. Maar een stuk software mag je zo op de markt gooien, daar kraait geen haan naar. Controleren van dergelijke internettoepassingen is essentieel. Zonder onafhankelijke toetsing zal je nooit weten of je toepassing veilig is of niet. En dat moet periodiek gebeuren, want wat vandaag veilig is, is morgen onveilig. Dus ook al komt het water uit de kraan, ik zou toch voorzichtig zijn voordat je een slok neemt.

email

Over de auteur

IT-auditor en -adviseur

Geïntrigeerd door de invloed van techniek op mens en maatschappij. Werk als grootste hobby. Sleutelen aan oldtimers (voor de liefhebbers: een Triumph uit 1971 en een Austin-Healey 3000 uit 1966). Voeden ouders de kinderen op, of is het andersom?

Aantal berichten : 31

Leave a Comment

© 2017 Mazars Nederland meer info

Scroll naar de top