Kleine nuance is dat jij zelf verantwoordelijk bent voor het sluiten van je deuren en ramen. Als iemand anders er door naar binnen gaat omdat jij de ramen niet dicht hebt gedaan (bewust of niet), dan ligt dat in zekere zin aan je eigen falen.
In dit geval heb jij jouw persoonsgegevens aan een andere partij toevertrouwd. En die partij is de controle over die gegevens verloren (!). Of die andere partij daarin nalatig is geweest of niet, is vervolgens de vraag en dat zal uitgezocht moeten worden.
Maar jouw persoonsgegevens liggen nu wel metaforisch op straat. En dit zijn gegevens waarmee jij vaak geidentificeerd wordt. Als ik bijvoorbeeld een partij bel waar ik een dienst oid afneem dan wordt mijn identiteit vaak door de medewerker aan de telefoon geverifieerd door mij te vragen om mijn postcode+huisnummer en mijn geboortedatum. Die gegevens heeft een hacker en wie weet ik nog meer nu dus van alle getroffen personen.
Met die gegevens kunnen ze zeer veel irritante dingen doen als ze dat zouden willen. Ook zijn de gegevens te gebruiken om bijvoorbeeld gericht email accounts te gaan hacken om vervolgens accounts (Facebook, Twitter, Apple, allerlei websites) over te nemen en/of vrolijk mee te lezen. Je weet nu immers al een stuk meer over je doelwit. Met deze informatie is ooit een Apple account gehacked en daar heeft de getroffen persoon (Mat Honan) aardig onder geleden (lees:
http://www.wired.com/gadg...amazon-mat-honan-hacking/ ).
Dergelijke informatie in de handen van de verkeerde persoon is echt niet grappig.
De suggestie van "Dreeke fixed" om persoongegevens dan ook versleuteld op te gaan slaan vind ik dan ook geen slechte. Hoe effectief het is hangt wel af van de gebruikte methode en hoe er mee gewerkt moet worden. Het bedenken van een oplossing is een mooie uitdaging voor security experts.
Zelf ben ik er nu over aan het nadenken en ik zit aan asymmetrische encryptie met keys te denken. Per medewerker/werkstation een key waarmee een record lokaal ontsleuteld kan worden, waardoor alles dus versleuteld in de opslagserver staat en ook versleuteld over het (interne) netwerk gaat. Combineer dat met een restrictie hoeveel records per keer mogen worden opgevraagd op een dag of per key om eventuele schade te beperken mocht er een key uitlekken (want dat gebeurd zeker).
En dan is wellicht zelfs mogelijk om te traceren wiens key is gelekt... enfin...
Wat summier en of het haalbaar is is nog maar de vraag. Maar het lijkt mij duidelijk dat op het gebied van beveiliging binnen het bedrijfsleven nog grote stappen gezet kunnen en moeten worden.