Wat maar niet door wil dringen is dat data veilig opslaan moeilijk is, heel moeilijk. Als je verplicht dat data moet worden opgeslagen, dan weet je ook zeker dat dit in een aantal gevallen niet veilig zal gebeuren. Het is een kwestie van tijd voor er ergens een lek ontstaat.
Is het dan flauw om te stellen dat zulke verplichtingen de root cause zijn van de ellende, en dat je als wetgever laks of zelfs nalatig bent als je niet de afweging maakt dat elke zulke verplichting tot lekken en dus schade voor burgers zal opleveren?
Dat je dat dus moet afwegen tegen het vaak theoretische gewin van "terrorismebestrijding" of "witwassen tegengaan", wier effectiviteit in ieder geval voor deze burger niet te bespeuren valt.
Dat hoort er bij, daar hoor je rekening mee te houden. Het is per geval niet waarschijnlijk, maar je moet er wel rekening mee houden dat het gebeurt.
Ik denk dat je ervanuit moet gaan dat hoe digitaler, hoe groter de kans is per gegeven dat er gelekt gaat worden en dat je dus met zekerheid kan stellen dat er voor iemand wel iets gelekt gaat worden, het is gezien de voortschrijdende "digitale transformatie" slechts een kwestie van tijd. Sterker, dit is geen koffiedik kijken: Er is al veel gelekt, en het wordt niet minder.
Ik kwam laatst zelfs weer mensen tegen die dachten, "ach, identiteitsfraude, wie moet mij nou hebben?" Nou, dat hoeft dus niet gericht. Net als dat een inbreker niet precies jouw woning wil leeghalen, gewoon een waar flink wat te halen valt en er weinig risico bestaat gesnapt te worden, ongeacht wiens woning dat is. En de schade die hij veroorzaakt, aan je woning of aan je persoon, zal zo iemand helemaal worst wezen.
Net zoals we bij het bouwen van huizen er rekening mee houden dat er soms brand ontstaat. Risico's helemaal uitsluiten kan niet en dat hoeft ook niet. Soms is blussen beter dan voorkomen.
Huizen kun je herbouwen. Hoewel de schade regelmatig ook wel vrij onomkeerbaar blijkt. (*kuch* bijzondere collecties bouwkunde Delft *kuch*)
Misbruikte identiteiten wisselen is veel lastiger. Je moet er ongeveer een terugkerende jihadist in Zweden voor zijn om er een te krijgen. Voor de rest moet je maar leren om vriendelijk te blijven tegen al die deurwaarders die op telefoonabonnementen komen innen die je niet zelf hebt afgesloten. Jarenlang. En met verstrekkende gevolgen, via het BKR bijvoorbeeld.
Hetzelfde geldt voor datalekken. Een zeker risico moeten we maar accepteren.
Je kan wel kiezen wat je dan lekt. Onversleuteld kopietje paspoort is een stuk schadelijker dan een versleuteld attest -- een soortement van bewijs van goedkeuring, alleen nuttig voor dit ene doeleinde. De opgeslagen data kan veel minder schadelijk.
En er kan ook best minder aan bewijs gevraagd worden, zeker gezien de huidige papierberg maar nauwlijks doet wat ze geacht wordt te doen. Dan kun je net zo goed toegeven dat je leuke ideetjes van bestrijding door dataophopen gewoon niet werken en ophouden met ophopen. Je kan zelfs zeggen dat de schijn van veiligheid wensen op te houden op zichzelf schadelijk kan worden.
De wereld vergaat echt niet van één datalek.
Er worden elke dag wel mensen verkouden, en zelfs van een influenzaepidemie vergaat de wereld niet. Toch doen mensen hun best om niet verkouden te worden. We doen zelfs ons best epidemieën in te dammen.
Maar van de andere kant moeten we leren dat ieder stuk informatie dat wordt opgeslagen een zeker risico met zich meebrengt. Dat moet je meenemen bij je afweging welke informatie er bewaard wordt en door wie.
En waarom, met welk doel. Werkt dit wel? Kan het niet anders? Allemaal vragen waar veel vaker veel betere antwoorden op nodig zijn.
Zoveel zeer gevoelige data van divers pluimage van tientallen verschillende makelaars die allemaal op hetzelfde systeem staan voelt niet goed. Dat voelt als vragen om problemen. Mogelijk hebben de makelaars geen keuze en zijn ze wettelijk verplicht dit alles bij te houden, maar dan lijkt me dat de wet te veel van ze vraagt.
Dan wordt het tijd de wetsknutselaars aan hun haren te trekken. Wellicht ook dat we ons realiseren dat ze wel lekker hun ding doen maar niet weten wat ze eisen, en dat er dus veel duidelijker gemaakt moet worden dat er kosten en risicos, vaak verbazend hoge kosten en ondenkbeeldige risicos, kleven aan het ophopen van data.