Digitale informatie is steeds meer de kern van onze samenleving. We communiceren nog sneller, zijn in een groeiend aantal digitale bronnen vertegenwoordigd met onze gegevens en hele bedrijfssectoren maken hun bestaansrecht van gegevensuitwisseling en –verwerking. In totaal zal het internet meer van jou weten dan jijzelf had kunnen verzinnen. Zo vallen de gerichte reclamefolders, op basis van jouw surf- en koopgedrag, op de deurmat en heeft jouw leasemaatschappij op tijd een onderhoudsbeurt ingepland. Niets ten nadele aan alle business cases waar jijzelf profijt bij hebt, maar de informatie gedreven wereld gaat (natuurlijk) veel verder.
Illegale business cases zijn erg lucratief. Binnen Europa probeert de meldplicht Datalekken de mate van illegale gegevensuitwisseling tegen te gaan. Toch missen we een adequate aanpak van criminele handel in persoonsgegevens. Identiteitsfraude is een wezenlijke dreiging en goede, volledige verzamelingen van persoonsgegevens zijn veel geld waard op het darkweb. Hiertoe richten criminelen zich met name op de zorgorganisaties sector als waardevolle bron van persoonsgegevens.
Legale winst
Jouw persoonsgegevens hebben waarde. Hoe hoog die waarde uitvalt hangt af van de bijzonderheid van jouw gegevens en de winst die het een afnemende partij kan opleveren. Een makkelijk voorbeeld is een bedrijf dat advertentiecookies analyseert. Zodra jij zoekt op strandvakanties zorgen zij dat de advertentieruimte op iedere website die jij bezoekt aansluit op die zoekopdracht. De aanbieders van de strandvakanties betalen het bedrijf voor de plaatsing en daarmee verhoogde kans dat zij een vakantie aan jou kunnen verkopen.
Illegale uitwisselingen
Waar we enkele jaren geleden nog massaal kritiek lazen op het winstmodel achter cookies, lijkt deze werkwijze toch al meer geaccepteerd. Met de meldplicht datalekken is een andere focus gekomen in de handel in persoonsgegevens: de angst voor de illegale handel. Persoonsgegevens mogen alleen gebruikt worden door de partijen waar wij deze aan geven en dan wel alleen voor de doelen waar wij toestemming voor hebben gegeven.
Nu zijn er genoeg betrouwbare organisaties, binnen Nederland en wereldwijd, die kansen zien in de persoonsgegevens die wij, in goed vertrouwen, hebben gedeeld. Facebook blijft zijn privacy statement herschrijven om daarin maximale ruimte tot winst te creëren. En DUO gebruikt de reisgegevens van studenten bij Translink om studiebeurs-fraudeurs op te speuren en aan te pakken. Al deze partijen vallen volgend jaar onder de nieuwe privacy wetgeving en zullen gecontroleerd worden op rechtmatige verwerking van persoonsgegevens. Maar daarmee wordt niet de meest lucratieve handel aangepakt.
Criminele handel
Iedereen kent de angst voor creditcardfraude: een reeks cijfers in handen van criminelen die zo snel mogelijk de limiet van jouw kaart opzoeken en je met de kosten laten zitten. Daarom blokkeren creditcardmaatschappijen alle verdachte transacties en is een kaart bij diefstal razendsnel te blokkeren. Daarmee is de schadelijk aanzienlijk beperkt.
Maar wat nu als niet je creditcard, maar jouw identiteit is gekopieerd? Je krijgt ineens rekeningen van leningen en creditcards die je nooit had aangevraagd, politie roept je op tot verhoor als verdachte, jouw online gegevens bij mijnoverheid.nl zijn ineens gewijzigd. Kortom, iemand is met jouw identiteit aan de haal gegaan. Er is geen regulerende instantie die een persoon kan blokkeren, resetten en je vervolgens een nieuwe “ik” gaat toesturen. Kortom, een identiteit die eenmaal gestolen is, blijft geldig en daarmee waardevast. Deze waarde vastheid heeft de geldende tarieven in criminele handel afgelopen jaar aardig op de kop gezet. Een complete set persoonsgegevens is naar schatting vijf keer zoveel waard als creditcardgegevens.
Dus waar komen ze aan jouw persoonsgegevens?
Nu hebben we gezien wie achter persoonsgegevens aanjagen: Iedereen is bezig om gegevens te verhandelen. Het onderscheid daarbij ligt tussen legale en illegale uitwisselingen en in het bijzonder de criminele handel die identiteitsfraude voor ogen heeft.
Dan nu de cliffhanger: waar tussen alle versnipperde gegevens bij alle organisaties en websites gaan criminelen een complete set van jouw persoonsgegevens achterhalen? Waar vinden ze voldoende om een hele identiteit over te nemen: Volledige naam, BSN, geboortedatum, …?
Een van de populairste bronnen is momenteel helaas bij de zorgverleners van Nederland: hun medische dossiers zijn betrouwbaar en volledig in alle persoonsgegevens die criminelen najagen. Dan is er nog de bijkomende kans op medische informatie die vertrouwelijk genoeg is om de persoon te kunnen afpersen (Soa’s, mentale problematiek, trauma’s, etc.).
Het helpt om als ‘good guy’ te snappen wat de drijfveren zijn van criminelen. Zolang het winstmodel te mooi is, zal gejaagd blijven worden op de medische dossiers. Voor zorgverleners staat één zaak centraal: goede zorg aan de mens verlenen. Door te snappen dat deze mens ook kwetsbaar is door zijn gegevens, is de business case voor informatieveiligheid in de zorg ijzersterk.