Mocht uitkomen wie mij niet heeft gewaarschuwd en ik lijd schade hierdoor, dan zal ik ze aansprakelijk stellen voor de schade!

Als zogenoemde bijzondere persoonsgegevens werden buitgemaakt, bijvoorbeeld data over seksuele voorkeur of geloof, werden klanten in 62 procent van de gevallen niet geïnformeerd. Dat terwijl het in zo'n geval wettelijk verplicht is, waarschuwt de Autoriteit Persoonsgegevens. Als kopieën van paspoorten of creditcardgegevens werden gestolen, werden klanten vaker geïnformeerd, maar nog altijd gebeurde dat bij circa 40 procent van de gevallen niet.

https://nos.nl/artikel/2516190-privacywaakhond-bedrijven-melden-ernstige-cyberaanvallen-te-vaak-niet

Effe eerst een leukie van jaren geleden. Ik had een paar servers. Ge-colocate. Dus ging er wat stuk, dan moest ik zelf naar het datacenter racen. Met afspraak. En met antistatische sokken aan. Met geluk kon ik dan ergens een monitor en een keyboard lenen. Terwijl er in de hoek een hele vergasinstallatie stond met halon gas. Voor als er brand uit zou breken. Er gaat iets kapot. Ik denk een koelvin of zo op de processor. Heel de nacht niet geslapen maar ik mocht al vroeg op het datacenter bij de amsix backbone komen. Met antistatische sokken. En dat ik begreep dat als de vergasinstallatie afging ik moest hollen naar de deur. De rest mijn probleem. Want dat heb je als je een gecolocate server hebt.

Het lukte allemaal, geboot en alles werkte weer. Halleluja voor voorlopig maar wel de hele dag monitoren van thuis af of het niet nog een keer kon gebeuren.

Affijn ik ben thuis, krijg ik een email van een boze gebruiker. Waarom hij geen email had gekregen dat mijn server uit de lucht was. Op zich was dat simpel, want de mailserver draaide onder die kapotte koelvin. Dus dat had al helemaal niet gekund tot de boel weer in de lucht was. Maar nog erger, alles was destijds al zo anoniem dat ik weliswaar een email adres voor ondersteuning had, maar helemaal nergens in een database email adressen van gebruikers. Omdat mijn principe toen al was, data die je niet nodig hebt wil je niet hebben, stel je voor dat het gepikt wordt. Wat je niet moet weten moet je niet willen weten.

Het was evenwel niet gemakkelijk antwoorden. Eerst zakt je broek af van zo een klacht, maar dan rustig door monitoren want je hebt nog duizenden andere gebruikers die blijkbaar heel blij waren dat alles weer in de lucht was, dat kon ik gelijk zien in mijn webalizer. Maar die ene is net zo belangrijk. Probeer dat dan maar eens in maximaal twee begrijpelijke zinnen uit te leggen. In je antistatische sokken van het KPN datacenter met vergasinstallatie.

Wat ik eigenlijk probeer te duiden, met teveel zinnen, je moet gewoon nooit data vastleggen die je niet nodig hebt. Dat zou de AP ook heel veel nodeloos werk schelen. Die ene die dan boos wordt, als je koelvin weer werkt, die krijg je dat ook nog wel uitgelegd in twee zinnen.

Het allerbelangrijkst op internet is vertrouwen. En eerlijk zijn dat er wel eens wat kapot kan gaan. Dan komen je gebruikers tien jaar later nog terug.

Moet je eerst kunnen aantonen, dat je werkelijk schade hebt ondervonden.

En welke boetes heeft de AP nu opgelegd aan deze bedrijven?
Want als je dat niet doet, dan melden ze het de volgende keer weer niet.

Bij de hack van Nebu, dat software levert voor markt- en klantonderzoek, zijn de gegevens van zo'n 2,5 miljoen Nederlanders gelekt, volgens de Autoriteit Persoonsgegevens. Eerder werd gedacht dat klantgegevens van 2 miljoen mensen waren gelekt. Nu schat de AP dat aantal dus nog een kwart hoger in: 2,5 miljoen mensen. Onder meer de Nederlandse Spoorwegen, VodafoneZiggo, zorgverzekeraar CZ en Heineken lieten klanten destijds weten dat er een datalek had plaatsgevonden. De AP heeft in erop aangedrongen dat de gedupeerden alsnog op de hoogte brengen.

https://www.rtl.nl/nieuws/tech/artikel/5444240/een-hack-data-van-25-miljoen-mensen-op-straat-nebu

Waarom zouden bedrijven hun slachtoffers inlichten, wetende dat de autoriteit-zonder-autoriteit-persoonsgegevens in 99% van de gevallen sowieso nergens werk van maakt, en in de resterende 1% niet verder durft te gaan dan driewerf "foei!" en een aai over de bol? De reputatieschade van wél melden loopt al gauw in de miljoenen, kosten die je makkelijk kunt uitsparen terwijl de kans dat je slachtoffers daar ooit achter komen nagenoeg nul is. En dan heb je al die organisaties die gewoon helemaal niks melden - dus ook niet bij die ""autoriteit"" - nog niet eens in beeld.

Omdat niet iedereen een gewetenloze opportunist is die alleen maar op de pakkans let. Ook niet onder ondernemers en managers. En onder de opportunisten zijn er die snugger genoeg zijn om te snappen dat ze een goede indruk op hun klanten maken als ze dit netjes en voortvarend afhandelen en mensen heel goed op de hoogte stellen en houden.

Ja zoals als ooit een telefoongids bedacht. Nu voor de AP een reden om heel nederland te informeren dat een telefoongids de aanleiding voor oplichting zou zijn. Ze zijn voor security ver van het padje af.

Ze hebben bij de AP duidelijk niet door hoe belangrijk de juiste identificatie authenticatie voor de er bij horende persoon is.
Het blijft zo met die onkunde dweilen met de kraan open. Je moet niet gaan klagen dat er deuren bestaan, je moet kijken hoe de deuren voor de juiste persoon toegang geven. Een slot en sleutel is een praktische invulling maar daar zijn veel betere opties bij als het risico dat rechtvaardigt. Nu geven ze kwaadwillenden alle ruimte omdat sloten een privacyinbreuk zouden zijn .