Digitale veiligheid moet aandacht op scholen krijgen

Regelmatig blijken grote hacks een eenvoudig te voorkomen oorzaak te hebben. Het gevolg is dat gevoelige gegevens van de klant, burger of zakelijk partner in foute handen komen. Volgens de Cyber Security Raad schiet de kennis ernstig tekort. Het lesprogramma moet daarom om. Eind oktober bracht ik het verhaal van een USB-stick die door de HEMA uit de handel was genomen. De oorzaak was een reeks beveiligingsproblemen. Zo deugde de software op de stick niet. Ook de clouddienst waar mensen een backup konden achterlaten zat vol fouten.

Het geheel was een tombola van nogal breed bekende programmeer- en configuratiefouten. Wie kwaad in de zin had, kon niet alleen documenten stelen maar ook andere diensten van de leverancier van de clouddienst misbruiken. De HEMA had zelf niet genoeg onderzoek naar hun partner gedaan en stoppen met het product was de enige zinnige optie.

Betere opleiding

Bij het ontwikkelen van software gaat nog altijd veel mis. De Cyber Security Raad, een adviesorgaan van de overheid, constateert dat een oplossing ligt in het beter opleiden van mensen. In een rapport maandag (PDF) pleit zij voor een beter aanbod van lessen. Dat begint wat hen betreft al op heel jonge leeftijd. Zo gaan jongeren bewuster met technologie om.

Ook moeten de vakopleidingen beter zodat beveiliging meer aandacht krijgt. Ook zal er een tekort aan beveiligingsexperts. Om in de toekomst mee te blijven doen in de vaart der volkeren moeten opleidingen anders. Bedrijfsleven en ICT’ers zouden ook een rol moeten krijgen, stelt de Raad.

Tekort

De Cyber Security Raad waarschuwt dat we een tekort aan beveiligingsexperts gaan krijgen. Zelfs als we beveiligingsproblemen te lijf willen gaan dan ontbreekt het binnenkort aan expertise. Volgens het adviesorgaan is de problematiek dan ook urgent.

“Als Nederland niet genoeg investeert in cybersecurity, kunnen bedrijfsleven, overheid en burgers kwetsbaar worden voor onder andere bedrijfsspionage, het stelen van privacygevoelige gegevens, identiteitsfraude, productieverstoring of imagoschade”, waarschuwt de Cyber Security Raad. “De digitale toekomst van Nederland moet veilig worden gesteld. Dat kan door te zorgen voor voldoende cybersecurity professionals en door de Nederlandse jeugd voor te bereiden op de digitale toekomst.”

Verkeerde loket

In totaal zijn er zes aanbevelingen. Ze liggen zo voor de hand dat je zou denken dat het een open deur intrappen is. Maar het probleem is wel dat het rapport veel werk zou betekenen als de adviezen worden opgevolgd. Opleidingen moeten anders en ook docenten moeten worden opgeleid. Werk aan de winkel voor het Ministerie van Onderwijs, Cultuur en Wetenschappen, een departement dat op het digitale dossier niet bepaald uitblinkt.

Maar bij de uitreiking schittert staatssecretaris Sander Dekker door afwezigheid. Zijn collega van Veiligheid en Justitie, Klaas Dijkhoff, neemt het in ontvangst. Dat is het verkeerde loket, want het gaat echt om opleiding. Dat is weinig geruststellend. De digitale samenleving is realiteit. Wat kan urgenter zijn dan volgende generaties daarvoor weerbaar maken?

Hallo? Vind jij het goed als ik Spotify gebruik?

Om gebruik te kunnen (blijven) maken van Spotify moet u toestemming aan al uw contacten in uw smartphone vragen. Eén weigering en u bent klant af. Dat is het gevolg van de nieuwe privacyvoorwaarden van het bedrijf. Mocht ik in uw contactenlijst staan dan zeg ik ‘nee’.

Dat is het gevolg van de nieuwe privacyvoorwaarden, die het bedrijf heeft uitgedokterd en gelden voor zowel betalende als gratis gebruikers. In de kern mogen contactgegevens, locatie, snelheid, afbeeldingen en meer zaken van uw mobiele telefoon door het bedrijf in de gaten worden gehouden. En niet alles is te verklaren vanuit het aanbieden van een muziekluisterdienst.

Onduidelijk

Er is veel wrevel ontstaan over de verandering in de voorwaarden. Die reactie is niet zo vreemd, omdat de verandering duidelijk maakt dat Spotify veel informatie verzamelt die weinig meer te maken hebben met het laten horen van muziek. Zo worden contacten verzameld, locaties, zaken rond sensoren in de telefoon bijgehouden en kunnen gegevens worden doorgegeven aan derde partijen.

Het probleem zit er vooral in dat niet duidelijk is wat er met de informatie gebeurt. Onze wetgeving gaat er vanuit dat wij van dit soort zaken wel op de hoogte zijn, weten waarom gegevens worden verwerkt en dat niet meer persoonlijke data wordt verzameld dan noodzakelijk is voor het leveren van de dienst. Zonder dit soort helderheid is het lastig toestemming geven of je dit wel wilt en Spotify schakelt die bescherming uit.

Sterker nog Spotify maakt heel duidelijk dat de wettelijke bescherming misschien helemaal niet geldt (in artikel 3.4):

“Your personal information may therefore be subject to privacy laws that are different from those in your country of residence.”

Ofwel: zou het instemmen met deze voorwaarden betekenen dat de Europese regelgeving aan de kant wordt gezet. Natuurlijk is het maar helemaal de vraag of Spotify dat wel kan vragen.

Toestemming vragen

Een opmerkelijke verandering is dat de gebruiker toestemming geeft om zijn of haar contacten te gaan gebruiken. Het bedrijf realiseert dat in sommige landen, zoals Nederland, dit niet zomaar mag en daarom wordt dit probleem bij de gebruiker gelegd door hem te verplichten om toestemming te vragen aan die contacten (artikel 3.3):

“With your permission, we may collect information stored on your mobile device, such as contacts, photos, or media files. Local law may require that you seek the consent of your contacts to provide their personal information to Spotify, which may use that information for the purposes specified in this Privacy Policy.”

Dus wie aan de slag wil met Spotify op zijn smartphone zal eerst toestemming moeten vragen aan ieder contact in het telefoonboek voor het accepteren van deze voorwaarden. Een bijna onmogelijke taak en ook weinig realistisch. Want wat moet je als iemand nee zegt?

Weinig gelukkig

De keuze van Spotify is dus weinig gelukkig. Er zijn wel diensten die met de privacyvoorwaarden niet zo extreem zijn en beter in onze wetgeving passen. De komende tijd komen er ook nieuwe initiatieven. Jammer want Spotify was een goed legale oplossing voor het luisteren naar muziek. Hopelijk realiseert de entertainment industrie dit zelf ook, zodat ze niet iedereen opnieuw naar het privacyvriendelijke Pirate Bay sturen. Of lees bij Wired enkele alternatieven.

Goed gedaan BNR!

Gisteren won BNR een Marconi-award voor het nieuwsprogramma “On the move” dat zowel ’s ochtends als ’s avonds wordt uitgezonden. Terecht zou ik willen zeggen, want ook bij mij is het programma absoluut favoriet. Natuurlijk was de sfeer bij de BNR-ers erg opgetogen en Niels Heithuis speelde maar wat graag met de award (zie foto). Dus de reactie mag helder zijn: goed gedaan BNR! ga zo door….