Onlangs was de aflevering ‘De verzuimpolitie II’ van Zembla op tv. Het programma liet zien hoe gegevens van meer dan driehonderdduizend medewerkers van verschillende bedrijven in het computerprogramma Humannet van it-bedrijf VCD maandenlang vrij toegankelijk waren. Hoe kan het dat met de huidige beveiligingsmogelijkheden systemen met gevoelige data nog steeds wagenwijd openstaan? Het lijkt erop dat hoster en eindklant elkaar de zwarte piet toespelen.

In de Zembla-aflevering gaf VCD aan dat er geen hack heeft plaatsgevonden, maar dat men op oneigenlijke wijze een gebruikersnaam en wachtwoord heeft kunnen bemachtigen en zich daarmee toegang verschaft heeft. Het maakt uiteindelijk niet uit of men via een hack toegang heeft gekregen, of door het vinden, raden, stelen of hacken van een wachtwoord. Het feit blijft dat de zwakste schakel, de mens, met een ouderwets mechanisme toegang krijgt tot deze systemen.

Ik denk niet dat dit probleem bij de gebruiker mag worden neergelegd. Want wie heeft nu eigenlijk echt de verantwoordelijkheid dat gegevens goed beschermd zijn? Is dat de hoster of de eindklant (hier dus de zorginstelling)?

Ik ben van mening dat goede beveiliging een gezamenlijke inspanning moet zijn van deze twee partijen, ongeacht bij wie de wettelijke verantwoordelijkheid ligt. En mocht de zorginstelling er niet voor kiezen om te investeren in beveiliging, dan zou die partij bijvoorbeeld een contract moeten ondertekenen dat ze ervan op de hoogte is, dat de gegevens die zijn ondergebracht in het datacenter van de hoster, risico lopen. Op die manier is in ieder geval duidelijk waar de verantwoordelijkheid ligt. 

Alles bij de bron; computable