Ook verschenen op Echthelder.nl

Begin deze week stuitte ik op een ernstig lek in een online formulier voor visa aanvragen. Door het veranderen van enkele regels code, bleek het mogelijk te zijn om alle visum aanvragen sinds begin 2007 voor Indonesië te downloaden in PDF formaat. Omdat deze aanvragen onder andere paspoortinformatie, NAW gegevens, nationaliteit, aankomst / vertrek data en reden van verblijf bevatten, vormde dit lek een ernstig privacy probleem. Na een korte inventarisatie kwam ik er achter dat zo'n 25.000 aanvragen op eenvoudige wijze konden worden gedownload. Uiteraard heb ik direct de desbetreffende ambassade op de hoogte gesteld om deze in de gelegenheid te stellen dit lek te dichten.

Naast dat dit lek door kwaadwillende personen kan worden uitgebuit, met alle gevolgen van dien, kan dit voorval ook de volgende vraag oproepen. Wat als een zoekmachine deze gegevens indexeert? Google is in staat PDF documenten te verwerken en is druk bezig met het ontwikkelen van een algoritme om data achter online formulieren te indexeren. Wanneer deze 25.000 visum aanvragen waren geïndexeerd door Google, dan waren de gevolgen niet te overzien. Google slaat deze gegevens namelijk op in haar eigen datacenters. Na het dichten van het lek zouden deze gegevens namelijk nog steeds opvraagbaar zijn via de Google cache.

Een vergelijkbaar lek heeft zich bij CZ zorgverzekeraar voorgedaan. Eind vorig jaar kwam zorgverzekeraar CZ in het nieuws omdat deze website een lek bevatte waardoor van zo'n 55.000 potentiële klanten gegevens als sofinummer en bankgegevens inzichtelijk waren. Hierdoor veranderde de website in "een startpagina voor identiteitsfraude" aldus Chris Verhoef, Hoogleraar informatica aan de VU.

Naar verwachting zullen dit soort lekken een steeds groter risico gaan vormen voor de privacy van mensen. Social networking websites kunnen hier een groot aandeel in hebben aangezien onwetende gebruikers hun gegevens vaak met meer mensen (de hele wereld) delen dan ze denken. Daarnaast zijn er zoekmachines in opkomst die zich zullen specialiseren op persoonsgegevens. Deze zoekmachines zullen het internet afstruinen op zoek naar persoonsgegevens om deze te indexeren. Het is de vraag hoe ver zoekmachines (wettelijk) mogen gaan bij het opslaan van persoonsgegevens...