Veiliggeit
Eventjes gesproken over online veiligheid. In een wereld waar we waken voor onze privacy, maar alles blijven delen op social media, chats en online surfgedrag.
Probleem #
'Ik wil niet dat mijn gegevens in te zien zijn door bedrijf x of instantie y'
Klopt, dat wil ik ook niet. De gegevens die benodigd zijn voor het bedrijf of instantie zou ik alleen willen delen. Tenminste, zo zou het moeten werken.
Even als voorbeeld: tijdens deze bizarre tijden is het mogelijk om op afspraak te shoppen. Om een 'shopafpraak' te maken moet ik mijn volledige naam, een e-mailadres en telefoonnummer achterlaten. Ik denk dat 9 van 10 mensen dit gewoon invullen en er geen niets om geven. 'Ze weten toch alles van mij al!'. Nou dat hoop ik oprecht niet, dat jouw volledige naam, profiel foto op een vals paspoort staat en je vervolgens misbruikt wordt voor (online) identiteitsfraude. Of dat jouw veelgebruikte e-mail adres in een lijst met recent gelekte gegevens staat en accounts elders gehacked worden met alle gevolgen van dien.
Een datalek kan helaas dus wel gebeuren. Het is heel erg vervelend als data 'lekt', maar data die ergens opgeslagen wordt (bij bedrijven of datacenters) is nooit echt 100% veilig. Bijvoorbeeld bij Allekabels1, Booking[.com]2 of bij een systeem voor autobedrijven3
1. Nu.nl - Miljoenen gegevens van Allekabels.nl-klanten zouden rondgaan op internet
2. Nu.nl - Booking.com krijgt boete van 475.000 euro voor het te laat melden van datalek
3. Nu.nl - Mogelijk miljoenen Nederlanders getroffen door datalek bij autobedrijven
Even terug naar het 'shopafpraak' voorbeeld. Deze retailer vraagt om mijn volledige naam, e-mailadres en telefoonnummer. Als we kijken naar de lijst van recente datalekken zou het zomaar kunnen zijn dat ik voor Allekabels of Booking[.com] hetzelfde e-mailadres heb gebruikt. Dat is vrij normaal dat we dat doen, ook makkelijk. Anders moet ik voor iedere website een ander of nieuw e-mailadres aanmaken.
Het probleem zit 'm er in, dat nu jij een e-mailadres hebt gedeeld en telefoonnummer. Vrij veel gebruikte unieke kenmerken die je kan koppelen aan een volledige naam, dus een persoon. Met andere woorden, als de retailer niet zorgvuldig met jouw gegevens omgaat dan is het mogelijk om veel meer informatie over jou te vinden door recente datalekken. Daar ben jij wellicht niet mee bezig, maar heel veel anderen wel. Die willen geld afhandig maken (Phishing/Bankfraude), je (profiel) gegevens misbruiken of tijdelijk je identiteit aannemen om bijvoorbeeld spullen te bestellen en jouw gegevens te gebruiken met achteraf betalen4.
4. Thuiswinkel.org - Fabels en feiten over achteraf betalen
Voorwaarden, gegevensverwerking etc #
Algemene voorwaarden en disclaimers zijn van die lange teksten die we eigenlijk te weinig lezen en ook niet echt uitnodigen om te lezen. Net als Cookie meldingen accepteren we algemene voorwaarden heel snel zonder te lezen. Soms staan daar interessante passages in, die weldegelijk van toepassing zijn op jouw gegevens.
... kan gebruikmaken van diensten van derden om jouw gegevens te verwerken zoals beschreven in dit privacybeleid. Wanneer derden jouw gegevens verwerken ten behoeve van ... en als verwerker worden aangemerkt, heeft ... met die derden een verwerkersovereenkomst gesloten. Voorbeelden van dergelijke verwerkers zijn IT-dienstverleners, leveranciers en marketingdienstverleners.
Even focussen op '[...] en marketingdienstverleners'. Enkele gegevens die deze retailer zegt te verwerken voor marketingdoeleinden zijn: Aanhef, voor- en achternaam, E-mailadres, Aankoopgegevens en –historie, Gegevens over je gedrag op de website en in de app. Dat is waardevol voor derden voor mogelijke marketing doeleinden en eventueel persoonlijk relevante aanbiedingen te versturen in mailings.
Bij het aanmaken van een account of inschrijven voor een nieuwsbrief kun je ervoor kiezen niet akkoord te gaan hiermee, dan worden deze gegevens niet gedeeld met derden. Echter, veel mensen gaan meteen akkoord en dan worden je naam, e-mailadres etc gedeeld met andere partijen dan alleen de retailer waar je aan het winkelen bent.
Soms worden er meer gegevens opgevraagd zoals een geboortedatum, bijvoorbeeld in het lek van RDC (systeem voor autobedrijven) of bij sommige webshops om je leeftijd te verifiëren. Het is bij het delen van dat soort informatie juist goed om te controleren welke van die gegevens daadwerkelijk gebruikt worden en wellicht gedeeld worden. Een eenmalige leeftijdsverificatie zou idealiter alleen via iDIN (bankverificatie) moeten lopen.
Mogelijke oplossingen #
Wees bewust met wat je deelt en waar. Uiteraard moeten en nemen bedrijven verantwoordelijkheid voor het verwerken en delen van jouw gegevens. Het begint wel bij jezelf, zorg ervoor dat je niet je gegevens overal achteloos invoert.
Neem even de tijd om te beoordelen of;
- de verbinding beveiligd is
- de afzender/bron legitiem is
- er geen sprake is van scam
- je niet teveel data deelt met die partij
Gebruik niet voor elke website, e-mail of andere logins hetzelfde wachtwoord. Gebruik een wachtwoord manager om je wachtwoorden te beheren. Op Apple is dit Keychain, op Android kun je standaard gebruik maken van Google wachtwoorden beheer. Een van de beste zijn 1Password en Dashlane. Je zult er tegenaan lopen dat je moet betalen om meer wachtwoorden of veilige sleutels te bewaren, doe dat vooral! Voor de prijs van 1 biertje/wijntje per maand heb je een degelijke oplossing die je in veel gevallen ook unieke wachtwoorden laat genereren, verlopen en je informeert als een site een datalek heeft gehad.
Tenslotte, als je gebruik maakt van Facebook of Google login op websites. Zorg ervoor dat je ervoor waakt welke sites, spellen of instanties toegang hebben tot welke gegevens. Maak op Facebook en Google gebruik van Tweefactorauthenticatie.
N.B. Ik ben geen expert, maar deel hier mijn eigen objectieve en persoonlijke visie/mening.