Met andere woorden, bij een datalek is het alleen weer het probleem voor de consument en niet voor de bedrijven zelf.

Ja, maar als de dijken aan de lopende band her en der zouden doorbreken met telkens een andere precieze oorzaak zouden we wel degelijk concluderen dat ze niet degelijk genoeg zijn en dat dat probleem structureel is.

Een datalek is inderdaad niet automatisch een overtreding van de AVG. Een van de bijzonderheden van de AVG is wel dat niet uitgewerkt staat hoe je die beveiliging precies moet doen, omdat de wetgevers door schade en schande hadden geleerd dat je dan wetten maakt die al achterhaald zijn als ze van kracht worden. Juist door termen als "passende maatregelen" en "adequate beveiliging" te gebruiken kan je in de praktijk de norm mee laten veranderen met hoe de situatie zich ontwikkelt. Wat gisteren een passende maatregel was hoeft dat vandaag niet meer te zijn.

Je kan misschien niet van elk afzonderlijk datalek concluderen dat het een overtreding van de AVG is, maar je kan als er wel erg veel data gelekt wordt wel concluderen dat ofwel de geldende normen zwaar onvoldoende worden toegepast, ofwel dat die normen achterhaald zijn en aan het dreigingsniveau moeten worden aangepast. In het eerste geval zijn die normen misschien wel te moeilijk in de praktijk, in het tweede geval vereist het dreigingsniveau dat die normen nog zwaarder worden — en dan misschien wel te moeilijk worden in de praktijk.

Maar niet benoemen dat er een serieus probleem is doet dat probleem niet verdwijnen.

Wat in mijn ogen maakt dat het een groot structureel probleem is bestaat uit meerdere dingen, en ik ben vast niet volledig:

Om te beginnen moeten de verdedigers alle lekken dichten om niet kwetsbaar te zijn terwijl de aanvallers maar één lek nodig hebben om ergens binnen te kunnen komen. De verdedigers zijn serieus in het nadeel. Heeft de wereld wel genoeg voldoende capabele mensen? Ik vermoed dat dat tegenvalt.

We hebben alles van achter gesloten deuren eerst aan het internet gehangen, zodat er inmiddels meer dan 5 miljard internetgebruikers onzichtbaar op een paar stappen van je voordeur staan, inclusief alle criminelen en alle criminelen die veel briljanter zijn dan jijzelf. Geweldige basis voor het beveiligen van gevoelige data, nietwaar?

Vervolgens hebben we ook nog eens steeds meer in de "cloud" gehangen zodat je zelfs (jouw deel van) het beheer niet via een toegang die veilig achter je gesloten deuren zit kan doen maar alleen via connecties waar die 5 miljard weer onzichtbaar een paar stappen van verwijderd zijn.

De hele desktop-metafoor zoals die in de jaren '90 populair is geworden, samen met de "kantoorautomatisering" die in die tijd opgang deed, en waarop sindsdien is voortgebouwd, heeft een insteek van IT en automatisering op de rit gezet die veel te veel gericht is op dat de gebruiker maximaal gefaciliteerd moet worden, inclusief in wat die allemaal voor steken laat vallen, en veel te weinig op het beveiligen daarvan. Dat menig documenttypes zo nodig macro's aan boord moeten hebben doet het ooit veel scherper gemaakte onderscheid tussen programma's die data verwerken en data die door die programma's verwerkt wordt bijvoorbeeld verwateren. Dat de uitvoerbaarheid van een bestand, als programma of script, in Windows nog altijd afhangt van de extensie, en niet van iets dat een externe partij die een bestand opstuurt helemaal niet kan instellen, is ook zoiets. Mijn punt zijn niet die specifieke punten, dat zijn maar voorbeelden, het gaat om de aannames die aan dat soort dingen ten grondslag liggen. Maximaal gemak, gericht op onnadenkend dingen met grote consequenties kunnen doen, en de manier waarop dat maar als norm blijft worden gepusht, dat is vragen om problemen.

Toen met Windows 95 destijds de computers met grafische interfaces massaal de huiskamers inrolden werkte ik zelf in een mainframe-omgeving. Daar valt ook net nodige op aan te merken, maar dat waren wel systemen waarop je echt domweg helemaal niets mocht als het niet expliciet was toegestaan. En dat in tijden dat je nog helemaal niet zo makkelijk via een voor iedereen toegankelijk netwerk ergens binnen kon dringen. We zitten echt niet meer op het lekke niveau van Windows 95 natuurlijk, maar dat heeft voor desktop-systemen wel de toon gezet en dat heeft nog steeds invloed. Ik weet dat zo'n strenge mainframe-achtige benadering echt niet meer makkelijk geaccepteerd zou worden, maar ik vrees wel dat we hem nodig hebben als we niet willen blijven dweilen met een kraan die verder open lijkt te staan dan veel organisaties weten op te dweilen.

Eerder vandaag berichtte trouwens deze site dat NCSC eergisteren waarschuwde dat je in de cloud met één verkeerd gezet vinkje dingen voor de wereld open kan zetten die vertrouwelijk gehouden moeten worden. Is dat wat we tegenwoordig defence in depth noemen? Eén lullig vinkje? Ongelukken horen helemaal niet in zulke kleine hoekjes te zitten, gevaarlijke dingen horen aanzienlijk moeilijker te zijn om fout te doen. Dat is een mooi hedendaags voorbeeld van hoe schadelijk die mentaliteit van "maak alles zo makkelijk mogelijk" is, zonder stil te staan bij de vraag of dat wel zo'n goed idee is. Het verkoopt natuurlijk als een tierelier als alles meteen lijkt te werken. Dat wil niet zeggen dat dat de maatstaf moet zijn.

Ik zou de huidige toestand bij nader inzien trouwens inderdaad geen structureel probleem noemen, dat is te mild. Het is een systemisch probleem.

In normaal Nederlands: De data van anderen op straat gooien is normaal. Slachtoffers zoeken het maar uit.

Iemand die nog ff zoveel mogelijk data van de minister kan 'lekken'? Ohnee, dat is dan wel wel strafbaar...

Een datalek is onmiddellijk een overtreding van de AVG, dat klopt, maar het is in de toekomst wel een overtreding van de komende CBW...