Hoe mijn hart bloed

  1. 23 jun 2014
  2. 0 reacties

de pous

Zelden bedacht iemand zo’n treffende naam voor een technische omissie, als die al überhaupt worden bedacht. Heartbleed: een softwarefout van jewelste. De beveiligingssoftware OpenSSL bevatte twee jaar lang een zeer ernstige bug, waardoor zelfs versleutelde data, zoals wachtwoorden, creditkaartnummers en account-gegevens, door hackers konden worden verkregen. En zonder een spoor na te laten. De cruciale ‘kwetsbaarheid’ maakte twee derde van het immense World Wide Web kwetsbaar en toont opnieuw aan dat Internet met digitale touwtjes aan elkaar hangt. Maar en passant ook dat programmeren bij voorkeur als een strak-geleid en hiërarchisch proces moet plaatsvinden. Vertrouwen op vrijwilligers met hun peer review is geen structurele aanpak. Laat dat voor eens en altijd duidelijk zijn. 

Het was de Delftse promovendus Ruben van Wendel de Joode die in september 2005 stelde dat - het gebrek aan - maakbaarheid van een open source-softwaregemeenschap een probleem vormt. Vrijwilligers die samen aan een project werken, leunen in theorie sterk op peer review: de programmeurs beoordelen elkaars werk. Een vorm van zelfregulering. Voorstanders van open source software roemen de modus operandi. De kwaliteit zou er door stijgen. Maar criticasters wijzen telkens op het feit dat computerprogramma’s van enige omvang altijd onderhoud nodig hebben en vaak ook een routekaart voor de toekomst. Deze processen vereisen sturing en beheer (en natuurlijk voldoende handjes die programmeren en onverkort zorgvuldig testen). De vraag luidt: wie doet wat? Everybody’s job is not anybody’s job, zo blijkt overduidelijk uit de OpenSSL-bug.

Het oorspronkelijke open source-gedachtegoed (free software) gaat uit van tweerichtingsverkeer: leveranciers worden klant en klanten leverancier. Daar is in de praktijk weinig van terechtgekomen. Nu klinkt de roep luider dat bedrijven die het meest van open source, zoals OpenSSL, hebben geprofiteerd (Google, Facebook, c.s.) meer moeten bijdragen. Dat gebeurt sinds kort in ieder geval financieel.

Indien organisaties de software niet bijwerken en de getroffen beveiligingscertificaten niet intrekken, kunnen zij in overtreding van artikel 13 van de Wet bescherming persoonsgegevens (Wbp) zijn, aldus waarschuwt onze toezichthouder, het College bescherming persoonsgegevens. Voor wie het na al die jaren - om precies te zijn: sinds 1 september 2001 - nog niet weet, dit centrale wetsartikel ziet toe op de verplichting tot het nemen van ‘passende technische en organisatorische maatregelen’ om persoonsgegevens te beveiligen tegen ‘verlies of tegen enige vorm van onrechtmatige verwerking’. Ook het wijzigen van inloggegevens kan hiertoe behoren.

Dat brengt ons automatisch naar de relatie tussen datalek en wettelijke meldplicht, waaraan de regering werkt. Na forse kritiek van de Raad van State op het wetsontwerp, wordt nu voorgesteld om de omschrijving van de reikwijdte van de meldplicht in het eerste lid van het nieuwe artikel 34a Wbp aan te passen en om vervolgens door aanpassing van het zesde lid van dit artikel de reikwijdte van de meldplicht sterk in te perken.

Wat betekent dit? Kort gezegd, alleen inbreuken waarvan de ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens volstrekt evident zijn, moeten straks worden gemeld aan de toezichthouder. Daarbij blijven dus andersoortige datalekken in beginsel onder de radar. Een inbreuk met ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens, moet daarnaast ook aan de betrokkene (u en ik) worden gemeld, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

Zijn we verheugd over deze geclausuleerde - afgezwakte - meldplicht? Het betekent in ieder geval dat de verantwoordelijke (de partij die de persoonsgegevens verwerkt, zoals bank of cloud service provider) in voorkomende gevallen twee criteria moet beoordelen. Zijn de ernstige gevolgen van een datalek volstrekt evident en heeft de inbreuk waarschijnlijk ongunstige gevolgen voor het individu.

Volgens de regering beogen de wijzigingen een beter evenwicht tussen enerzijds de belangen die zijn gediend met een goede bescherming van persoonsgegevens en anderzijds de administratieve lasten en nalevingskosten die met de introductie van wettelijke meldingsverplichtingen gepaard gaan. Wij stellen dat de wijzigingen tot veel discussie zullen leiden.

door Mr. V.A. de Pous