Stel u bent zorgverlener en u krijgt een patiënt met een aandoening die u nog niet eerder zag. Om meer informatie te verzamelen bezoekt u enkele websites en informatie over medicatie. Dit komt in het profiel dat Google van u samenstelt. U zult dan ook niet verbaasd moeten zijn dat u plots op de aandoening gerichte advertenties tegenkomt. Erger is nog dat een patiënt wellicht ook gerichte advertenties gaat ontvangen. Door het uitwisselen van berichten met een patiënt kan deze persoon namelijk aan u gekoppeld worden. Dat is niet ethisch, maar niet illegaal.

Er zijn allerlei legale bedrijven die veel informatie over ons verzamelen, naast Google, Facebook en de bedrijven die een cookie bij u plaatsen waarvoor u altijd toestemming geeft omdat anders de website het niet goed doet. Deze bedrijven koppelen de verzamelde informatie aan alles wat ze op internet over u kunnen vinden, stellen zo een stevig profiel samen en verkopen dat profiel aan adverteerders. Daarom blijft u koelkastreclame op de nieuwssites zien als u één keer naar een koelkast gezocht heeft. Dit is vervelend, maar deze handel in profielen mag.

Datalekken

Wanneer u het nieuws volgt, zal opvallen dat ongeveer iedere dag melding gemaakt wordt van datalekken. Bij de Autoriteit Persoonsgegevens werden in de eerste helft van 2019 al 11.906 meldingen gedaan van datalekken.

Zo zijn bij verzekeraar Allianz de gegevens van 2,3 miljoen mensen gelekt, bij het Schipholklachtenloket gegevens van 60.000 mensen en bij een prostitutieforum gegevens van 250.000 mensen. De deelnemers van de Van Dam tot Dam Loop moesten er ook aan geloven: hun e-mailadressen waren gelekt. De gegevens van 20 miljoen Equatorianen en 20 miljoen Russen lagen ook al op straat.

Ik ben ook gelekt. Ik ben geen Rus of Equatoriaan, maar ik heb een verzekering bij Allianz lopen en ik klaag wel eens bij Schiphol over laagvliegende vliegtuigen.

Dark web

Gelekte informatie wordt verzameld door criminelen via hacks en handige trucs, zoals phishing. Dit wordt niet altijd gemeld als datalek en we weten niet hoe omvangrijk dit illegale circuit is. Deze informatie is op het dark web, de illegale websites waar letterlijk alles verhandeld kan worden, beschikbaar voor de handige profielenhandelaar die hiermee zijn profielen flink kan oppoetsen.

Legale en illegale profilering

We kunnen er zeker van zijn dat we allemaal ergens in een niet helemaal prettig profiel zijn opgenomen en wellicht al verkocht aan bijvoorbeeld een spammer. Dat lijkt onschuldig, maar al die legale en illegale profilering telt bij elkaar op en dit kan heel gevaarlijk zijn.

Denk aan de combinatie van een kopie van uw rijbewijs, gelekt door de verhuurder van aanhangers en het nummer van uw bankrekening, via Marktplaats aan een vreemde gegeven. Of uw adres, gelekt door het klachtenloket van Schiphol, in combinatie met een kopie van uw paspoort, gemaakt in dat hotel waar u één nachtje was. Ze zijn samen met een vervalste handtekening voldoende om op uw naam en kosten een chique telefoonabonnement af te sluiten.

Chantage

Wanneer uw medische gegevens zijn gelekt samen met uw bezoek aan een website met sekswerkers, dan bent u ineens heel kwetsbaar voor chantage. Zeker als u in de politiek actief of zelf dokter bent. Er zijn voorbeelden uit de praktijk.

NEN 7510 implementeren

Tegen legaal profileren kunnen we ons niet werkelijk verdedigen zolang we van allerlei gratis diensten gebruik blijven maken voor privacygevoelige zaken. Door dat te doen geven we toestemming aan de bedrijven onze informatie te gebruiken.

Tegen illegaal profileren via lekken kunnen we ons alleen maar beschermen door onze informatiebeveiliging zo goed mogelijk te krijgen. Dat vereist menskracht, kunde en geld. Het is nog steeds heel onverstandig dat op z’n beloop te laten. De NEN 7510 implementeren is wel het minste.