Door Anoniem:Heb je voorbeelden die verder gaan dan berichten in de media over specifieke gevalletjes? De ombudsman zal er interesse in hebben om het voor het eerst zo breed te onderzoeken.
Dat is een kwestie van correctiefactoren:
1. In een situatie waarin de belanghebbende partij om zaken uit de media te houden rijk en machtig is, is het redelijk om de gevallen met een correctiefactor te vermenigvuldigen.
2. Op dat punt uitgekomen blijkt de Wet van Heinrich (https://en.wikipedia.org/wiki/Herbert_William_Heinrich) ook in informatiebeveiliging en gegevensbescherming te gelden: De verhouding tussen grote incidenten, kleine incidenten en near misses is 1:29:300.
De reden is dat de situatie veroorzaakt worden door foutieve praktijken. Dat zal nu bij dit onderzoek aan het licht komen. Wacht maar af. Geduld.
Als ik aan het koppelen van databases denk, schiet bij mij altijd Sgt. Oddball te binnen: "You see, man, we like to feel we can get out of trouble, quicker than we got into it." (https://m.imdb.com/title/tt0065938/quotes?ref_=m_tt_trv_qu).
De knelpunten zitten in replicatie. Als ik een Active Directory opzet, is de replicatie onpartijdig. Wordt een account geblokkeerd, dan repliceert dat. Blijkt het onterecht en draai je het terug, dan repliceert het weer. Het hoogste Update Sequence Number (dus de laatste aanpassing) wint. Wat dat is... Maakt niet uit.
In deze systemen geldt de menselijke dwaling: "Voor alle zekerheid." Dus niet het hoogste update sequence number wint, maar het statement dat iemand op de lijst moet blijven staan. Dit is scherp aan het licht gekomen bij de bekende zaken. Tientallen pogingen over meerdere jaren om iemands naam te zuiveren zijn mislukt omdat de juiste informatie dat het vals alarm was keer op keer overschreven werd door replicaties van de oudere informatie van het vals alarm.
Dat is trouwens een typerend kenmerk van digitale systemen. Het is meestal moeilijker om een fout te maken, maar als dat gebeurt is het gemakkelijker om die uit de klauwen te laten lopen.
De voorwaarden voor koppeling zijn in wezen een kwestie van fail safe (Oddball). Eigenlijk staan ze in bepaalde vormen al in de GDPR:
- Recht op correctie.
- Recht om vergeten te worden.
- De aanstichter van het valse alarm (en dus niet het slachtoffer) is er aansprakelijk voor dat alle replica's ad infinitum de correctie overnemen.
- En uiteraard ter motivatie van snelheid en efficiëntie: De stok achter de deur. Maximaal 20 miljoen of 4% van de jaarinkomsten, afhankelijk van wat hoger is.