Februari lijkt de maand van de datalekken; zo was digitale burgerrechtenorganisatie Bits of Freedom deze maand al acht maal genoodzaakt melding maken van een lek in haar zwartboek datalekken. Laatste spraakmakende voorvallen betroffen de Postcode Loterij en de NRC.
Postcode Loterij
Frequente deelnemers aan de loterij kregen onlangs een gelukscode opgestuurd die ze konden invullen op gelukscodes.nl en als ze daarbij een gokje waagden door niet de eigen maar een willekeurige gelukscode in te vullen, of simpelweg een typefout maakten, dan kregen ze de voor het gemak reeds vooraf ingevulde adresgegevens van de deelnemer aan wie de gelukscode was toegekend te zien.
Een lek als dit is vervelend, schadelijk, en behoort gewoon te worden voorkomen, maar aan haar reactie te zien, denkt de Postcode Loterij daar kennelijk heel anders over (reactie uit Nu.nl):
"Vorige week belden heel veel mensen ons omdat ze hun gelukscode niet konden invullen", zegt een woordvoerder. "Daarom werd de site aangepast."
"We wisten dat het zo mogelijk was om gegevens van anderen te zien, maar iedereen vult in principe toch zijn eigen code in? Wij hebben verder geen klachten gehad. En de meeste gegevens zijn ook te vinden in de telefoongids."
Wat mij betreft leest deze reactie als 'ach we wisten wel dat onze oplossing in feite alle beveiliging overboord zette, maar liever dat dan dat iets niet werkt' en dat stuit mij bijzonder tegen de borst. Er is hiermee niet alleen sprake van inbreuk, maar in feite gewoon van opzet.
En behalve van kwade opzet, geeft de reactie ook blijk van de nodige simpele domheid. Dat bepaalde gegevens ook ergens anders (in het telefoonboek) te vinden zijn, is volgens de Wbp namelijk van geen enkele invloed op de verwerkingen van de Postcode Loterij zelf, ook al zou het daadwerkelijk dezelfde gegevens gegevens betreffen (quod non). Ook ontslaat het haar geenszins van de plicht om de persoonsgegevens adequaat te beveiligen.
Onbedoeld kan het lek van de Postcode Loterij zich echter nog nuttig bewijzen, aangezien het nu ook in de politiek opvalt dat de sancties voor opzettelijke inbreuk in de Wbp nogal aan de magere kant zijn. Afgezien van het opzettelijk niet aanmelden van een aanmeldingsplichtig gegevensbestand, is opzettelijke inbreuk door Nederlandse bedrijven op de verplichtingen uit de Wbp op dit moment namelijk niet strafbaar.
Althans, als je de storm aan negatieve berichten over de Postcode Loterij niet als straf beschouwt, want na dit voorval geef ik de petitie die een eind wil maken aan de Postcode Loterij als zodanig al wat meer kans. Ik denk eigenlijk dat ik die zelf anders niet zou zijn tegengekomen en nu ik dat wel ben, moet ik bekennen dat ik de manier waarop de Postcode Loterij mensen probeert over te halen c.q. manipuleren om mee te doen – 'stel dat u de enige in de straat bent die niet wint' – toch ook wel erg onsympathiek vind.
