Je uitgangspunt lijkt dat de beveiliging van het systeem bijzonder zou zijn zodat je een bewering kan doen.
Alleen gaat dat niet zomaar op. Kijk maar hoe makkelijk er fitnesstracker werden gebruikt en men pas na verloop van tijd beseft dat contracters het er niet zomaar veiliger op maken.
Dat hoort er in mijn ogen bij. Als zelfs het leger dit probleem niet tijdig heeft voorzien dan zullen andere organisaties die minder met veiligheid bezig zijn het waarschijnlijk ook niet voorzien.
Het ging dus al niet zomaar op dat je vooral moet kijken of er gehacked is. En aangezien niet duidelijk is of dit systeem werkelijk geheel van defensie is of dat ze contracters hebben kunnen we eerder stellen dat als je als bedrijf voldoende moet aantonen dat belangrijke gegevens, zoals persoonlijke gegevens, werkelijk goed beschermd zijn.
Niet mee eens. Het leger is en blijft verantwoordelijk. Als ze een slechte leverancier hebben gekozen dan is dat een fout van het leger, blijbkaar hebben ze een leverancier gekozen die niet voldoende heeft aangetoond dat de gegevens veilig zijn.
In praktijk zie ik vrijwel nooit overtuigend bewijs dat gegevens goed zijn beveiligd. Meestal blijft het bij beloftes, procedures en voorschriften. Veiligheid aantonen is nog veel lastiger dan beveiligen zelf. Er is de laatste tijd veel aandacht voor veiligheidscontroles maar ik zie vooral veel aandacht voor wíe er verantwoordelijk is, niet voor hoe veilig/riskant het in praktijk nu echt is.
Wat ook niet zomaar al jaren een wettelijke plicht is. Ongeacht of het een (salaris)systeem van een klein bedrijfje is of een heel groot bedrijf of organisatie.
De plicht is er inderdaad, de uitvoering valt echter nogal tegen. De interpretatie van de wet laat heel veel ruimte omdat er in zeer algemen termen gesproken wordt (dat is normaal bij wetten).
Voorbeeld:
Aritkel 32 van de AVG:
Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
Je kan eindeloos twisten over wat de "stand van de techniek" precies is, wat "passende maatregelen"
zijn, hoe waarschijlnlijk of ernstig risico's zijn of wat acceptabele uitvoeringskosten zijn, en dat doen we ook. Dat is geen klacht over de wet, zo werken wetten, maar het betekent wel dat we pas bij de rechter zullen ontdekken hoe de wet in praktijk moet worden toegepast. Dat is wel een heel traag en onzeker proces zonder vaststaande uitkomst en het zal nog heel wat jaren duren voor het beeld duidelijker wordt.