“Ze mogen alles van me weten!”, is een veelgehoorde uitspraak. Maar is dat nu echt zo?
Het beschermen van persoonlijke gegevens staat weer volop in de belangstelling. Toch vertrouwen nog veel mensen hun gegevens toe aan dienstverleners (websites) waar ze de aard niet van kennen, of die slecht beveiligd zijn. Sta eens stil bij de gegevens die je als klant ergens achterlaat, de wijze waarop die gegevens door de dienstverlener worden beschermd, en niet in de laatste plaats hoe je die gegevens zelf beschermt.

LOST!, by Simon Lieschke

LOST!, by Simon Lieschke

Een voorbeeld. Bij iedere PIN-betaling laat je een electronische afdruk achter van je aankoop. Daar staat veel waardevolle informatie in: je rekeningnummer (zij het vaak op bonnetjes gedeeltelijk gemaskeerd), het tijdstip, de tegenrekening van de verkoper in kwestie en locatiegegevens zoals tenminste de vestiging van de verkoper waar de transactie plaatsvindt. Op het eerste gezicht niets aan de hand: wie kan wat met deze gegevens? Maar wat als de verwerker van de transacties het plan lanceert om die gegevens te gaan verkopen? Bijvoorbeeld aan marktanalysebureaus of andere organisaties die met die gegevens aan de slag kunnen. Bij nader inzien toch liever niet, dus.

Een ander voorbeeld is het communiceren via Twitter, Facebook, LinkedIn, WhatsApp, Picasa, Hotmail, enz. Gedreven door het gemak dat de technologie biedt om allerlei gegevens aan de openbaarheid prijs te geven, het modieuze karakter van de social media en de enorme mogelijkheden om relaties op (grote) afstand te betrekken bij het dagelijk reilen en zeilen zetten mensen volkomen vrijwillig allerlei feitjes en weetjes van henzelf ‘on-line’. Maar staat men stil bij de andere kant van de medaille? Gegevens kunnen gekoppeld worden, automatisch zoals Google doet, of specifiek met de hand en meer intelligentie, als iemand het op je voorzien heeft.

Als test heb ik een willekeurige man uit de buurt op de korrel genomen. Ik heb alleen namen en locaties willekeurig veranderd om herkenning te voorkomen. De man -ik ken alleen zijn achternaam en zijn straatadres- noemen we even meneer Vinke. Met een eerste zoekactie op zijn adres (waarbij postcode.nl ook zijn postcode oplevert) vind ik drie hits. http://telefoon-gids.com/ levert mij moeiteloos zijn voor- en achternaam en zijn telefoonnummer. De tweede hit is van een bridgeclub niet ver van zijn woonadres. Het blijkt hier te gaan om de penningmeester, en zijn naam- en adres, en ook een bankrekeningnummer staan in enkele van de (electronische) nieuwsbrieven van de club. Ook staat er een verwijzing naar zijn Facebookpagina, waar hij blijkens de nieuwsbrief foto’s heeft gezet van een barbecue met clubleden. Dus naar Facebook – waar ik even vastloop omdat ik geen account heb. Dan maar een nieuw account aangemaakt, en vervolgens zie ik de publieke pagina van Guillaume Vinke. Ook foto’s van zijn verjaardagsfeest -12 februari 2013- met een grote taart waar 32 op staat. Zo heb ik inmiddels ook Guillaumes geboortedatum: 12-02-1981. Bevriend is hij met zijn vrouw (Marjolein, met wie hij op 11 oktober 2006 trouwde) en zoon Stefan, die ondanks zijn nog prille leeftijd van 8 ook een eigen pagina heeft. Dus ik zoek eens op Stefan Vinke, en vind uit dat die op de Montessorischool zit, en juist deze week op schoolreisje gaat. Marjolein Vinke – Bosboom, zo blijkt uit schoolbank.nl, is opgegroeid in Lisse, heeft in Leiden gestudeerd en is twee jaar ouder dan Guillaume. LiknkedIn vertelt me dat ze Inmiddels een baan heeft als projectmanager bij een ziekenhuis, en dat ze, zo blijkt uit haar beschrijving, op zoek is naar iets anders.

Zouden Guillaume Vinke en zijn Marjolein echt vinden dat ik (terwijl ze me niet kennen) dit alles van hen mag weten? Ik heb na vijf minuten ‘speurwerk’ geboortedata, telefoonnummer, volledig adres, namen van werkgevers, de naam van hun zoon, de school van hun zoon, en nog zo wat aanvullende informatie. Ik kan me -virtueel- al aardig als een van hen voordoen. In dit concrete geval kan me dit verder niet boeien, maar wat als ik het om een of andere reden op Guillaume Vinke voorzien zou hebben?

Mensen reageren vaak tweeslachtig op dit soort analyses, die niets spannends om het lijf hebben en door iedereen uitgevoerd kunnen worden. De kern is echter dat ‘onschuldige’ gegevens, vaak uit verschillende bronnen, ineens een heel ander karakter kunnen krijgen als iemand ze met kwade bedoelingen zou willen gebruiken.

Mijn advies blijft om ‘zuinig’ om te springen met persoonlijke informatie, ook als die ogenschijnlijk van onschuldige aard is. En daar waar je gegevens aan een derde of internet toevertrouwt, zie toe op een zorgvuldige verwerking ervan, binnen de doelstelling waar je die gegevens voor verstrekt hebt. Veel mensen mogen veel van mij weten, maar ik bepaal graag wie, wat en in welk verband.

Jacques Schuurman
Security Officer bij XS4ALL

Deel dit:

Reacties

  1. Hawick says:

    en nu je pincode nog ploktak ?

  2. ploktak says:

    Ik heb een goede milieutip; Plaats al je info gewoon online, de moeite die ik allemaal moet gaan doen om uit te zoeken hoe ik mijn info moet verbergen word te niet gedaan door de enorme computers van de NSA en kornuiten.
    Ik was/ben een enorme sercurity freak, maar vergeet het..

    Als ik alles bekent maak, hoeven hun machines minder hard mijn password te cracken..
    Win=win; Goed voor het milieu, en iedereen heeft een mening over wat ik online zet, wie weet haal ik er nog wat leuke tips uit..

    Ondanks al onze bezwaren gaat het toch fout bij banken, overheid, internet en bij providers; Lekker met een wijntje op het gras in de zon..

    Ik ga leven..
    peace out…

  3. Robert Green says:

    Ik ben al 10+ een speler van MMORPG-spellen. Toen ik begon te spelen, was iedereen nog (terecht) paranoide. Onze echte identiteiten werden strikt geheim gehouden, omdat we uit ervaring wisten dat persoonlijke relaties in zelfs in een spel explosief konden verslechteren. Wanneer dan zo’n echte identiteit boven water kwam, werden dingen HEEL snel HEEL erg… bedreigingen, vandalisme, stalking, diefstal, afpersing, je kunt het zo gek niet bedenken of ik heb het zien gebeuren.

    Het verontrust me dan ook enorm dat de huidige generatie spelers hun identiteit te grabbel gooit via sociale media en (nog erger) in spellen ingebouwde functionaliteit om vrienden te delen.

    _____________________________

    Travel Videos

  4. Jeroen. says:

    Ik moet eerlijk toegeven dat ik na een aantal jaar toch gezwicht ben voor Facebook en whatsapp. Facebook was een eigenkeuze. Het is makkelijk om mensen op de hoogte te houden van mijn avonturen in het buitenland. ik heb zo goed mogelijk mijn best gedaan om het enigszins af te schermen. Met Whatsapp was ik heel lang in verzet. Maar aangezien mijn hele vriendengroep Whatsapp al in het gebruik had was mijn telefoonnummer al lang bekend bij deze knakkers ( wat eigenlijk mijn drempel was) Elke discussie over privacy word gelijk de kop in gedrukt met: Als je niets te verbergen hebt hoef je je toch ook geen zorgen te maken? Ik heb genoeg niet crimineel gedrag wat ik wil verbergen en wat ze niets aan gaat. Het is dat ik geen zin heb om mijn tijd te verdoen, maar eigenlijk moet ik nog steeds 1 van die gasten even flink door de mangel halen en ik durf te wedden als ik ze confronteer met hun online zoektocht naar de ware vrouw dat ze opeens heel anders denken over hun privacy. Ik schets even een voorbeeld in de echte wereld:

    Camera toezicht met gezicht herkenning. Miep zit vrolijk achter de camera’s om toch een beetje sociaal te zijn terwijl haar man Piet een goedlopend eigen marktonderzoeksbureau runt. Piet zou het verdomd handig vinden om te weten hoeveel mensen nu voor de winkel van zijn klant stoppen om de etalage te bekijken, hoeveel er dagelijks door de straat heen lopen en hoeveel mensen er naar binnen gaan.Piet gaat lobyen en ach, het systeem was al duur genoeg om aan te leggen en zodra het alleen om bezoekers aantallen gaat is er toch niets aan de hand? BAM Piet is binnen. Na een tijdje heeft Piet een nieuw plan, hij wil de beelden zelf kunnen bekijken zodat hij zijn eigen software over de beelden heen kan laten gaan. de gemeente is niet op de hoogte van de huidige technologie omdat de meesten toch de leeftijd hebben bereikt dat ze net weten wat een ipad is en hoe ze de nos site en volkskrant kunnen lezen dus die zien hier geen probleem in. Piet heeft echter de laatste software in huis die gezichtsherkenning draait en vergelijkt met de profielen op facebook en andere social media. nu weet Piet precies welke doelgroep er naar binnen gaat en kan gericht gaan adverteren. Dit is slechts 1 van de vele mogelijkheden. denk aan de vele anti-alles groeperingen. Die kunnen hetzelfde en gaan opeens informatie sturen naar de ouders: Weet u dat Jantje 3 keer per week uit coffeeshop het relaxte leeuwtje gelopen komt? hier en hier kunt u terecht voor hulp met verslavingen! of: Weet u dat uw man laatst is gezien in de omgeving van het rembrandtsplein toen hij uit hereclub de gespierde jaque gewandeld kwam hand in hand met Klaas van verderop? Hier vind u informatie om uw huwelijk te redden…

    Het is niet zozeer de informatie die mensen op het internet zetten maar de kunst van het combineren van verschillende bronnen.

    hier een paar linkjes om te laten zien dat bovenstaande al gebeurt maar dan “instore” wie zegt mij dan dat de overheid dit niet gebruikt op hun reguliere cameratoezicht? ik moet er niet aan denken dat straks zorgverzekeraars toegang tot deze data krijgen (hmm meneer is wat aan de zware kant maar komt wel in de mcDonalds premie omhoog / geen recht meer op transplantatie.

    link 1 duitsland verbied gezichtsherkenning facebook
    link 2 Facedeals matches facial recognition to Facebook profiles to offer in-store deals

  5. Evert says:

    “Ze” weten toch al veel meer over mij dat die paar onschuldige dingen die altijd al openbaar waren (ja, ook voor de internet tijd kon je opvragen of ik getrouwd was, wat mijn telefoonnummer is etc.). Waar ik me meer zorgen over maak zijn ontwikkelingen als EPD en rondslingeren van BSN en zelfs bankgegevens. Zolang bedrijven onnodige of wettig niet toegestane informatie blijven eisen wil je van hun diensten gebruik kunnen maken, wordt het ons wel erg moeilijk gemaakt.

    • Hawick says:

      Goed punt. Het gebruik van het burgerservice nummer is nu al veel verder verspreid dan bij wet was toegestaan. Ook ‘andere overheden’ werken er ongevraagd al mee.

      Het gaat zelfs nog verder dat een burger die in Nederland geen BSN heeft en niet kan krijgen [maar wel belastingen betaalt] niet eens het EPD in mag. dus wel betalen maar niet de voordelen.

      Sommige bedrijven accepteren geen fedback in de vorm van mail of zo als je ze geen privacy info wilt geven, ook als die info totaal irrelevant is voor de reden voor het contact.

  6. Herry says:

    Misschien moeten we ons ook eens afvragen welke gegevens prive moeten blijven en waarom. Een dragonische wet als de cookie-wet zou zijn gemaakt om onze privacy te verbeteren. Even voorbijgaande aan het feit dat velen van ons graag gebruik maken van “gratis” websites (waar de beheerders toch geld voor moeten neerleggen). Is het nu werkelijk zo erg om gerichte advertenties te plaatsen, zodat een website gratis kan blijven draaien?
    Heel anders wordt het, wanneer een verzekeringsmaatschappij kan zien welk merk sigaretten jij rookt: het feit dat je rookt zo op den duur wel eens invloed kunnen gaan hebben op je premie.

    En als de overheid ons dan wil helpen met onze privacy met iets als de cookiewet? Waarom dan wel onze (globale) inkomensgegevens verstrekken aan huisbazen en woningbouwverenigingen?

    Maar mij boeit het niet, want ik heb niks te verbergen… Totdat je ontdekt dat er “onschuldige” gegevens van je misbruikt worden door criminelen (zoals de overheid, die je schijnheilig de indruk geven dat ze je beschermen).

  7. Linna Baresi says:

    Ik ben al 10+ een speler van MMORPG-spellen. Toen ik begon te spelen, was iedereen nog (terecht) paranoide. Onze echte identiteiten werden strikt geheim gehouden, omdat we uit ervaring wisten dat persoonlijke relaties in zelfs in een spel explosief konden verslechteren. Wanneer dan zo’n echte identiteit boven water kwam, werden dingen HEEL snel HEEL erg… bedreigingen, vandalisme, stalking, diefstal, afpersing, je kunt het zo gek niet bedenken of ik heb het zien gebeuren.

    Het verontrust me dan ook enorm dat de huidige generatie spelers hun identiteit te grabbel gooit via sociale media en (nog erger) in spellen ingebouwde functionaliteit om vrienden te delen.

    • eric says:

      Misschien is de oude situatie juist slechter?

      Wat is de reden dat mensen elkaar in de gewone wereld lastig vielen, nadat men elkaar plotseling kende?

      Ik denk dat dat nu weer het compleet andere einde is

  8. Harige Harrie says:

    Wederom blijkt dat je niet ontkomt aan het verstrekken van je gegevens. De generaties na mij hebben hier vaak geen enkel probleem mee en dat maakt het dat bedrijven het lef je te verplichten deze data verplicht te verstrekken.

    Vrijdag heb ik online een gas BBQ gekocht – dat zou in de winkel ook kunnen -, Meteen bij de Intratuin in mijn onschuld een gasfles gehaald van het merk Benegaslight (.nl). Thuisgekomen blijkt dat je je moet registreren op hun website om in aanmerking te komen voor retour van je borg van EUR 55,-!! Op de ‘/registreren’ pagina aangekomen blijkt dat je via mail je registratie krijgt toegestuurd, toch zijn alle velden verplicht 9http://www.benegaslight.nl/benegas-light-fles/benegas-light-digitaal-aanmelden-statiegeld/). Als ik een fles cola koop hoef ik toch GVD ook geen gegevens aan Vrumona te verstrekken (dat zal AH dan wel weer doen)

    Mijn BBQ meteen naar de gallemiesen en op hoge poten en tegen beter weten in een mail gestuurd naar deze firma.

  9. Cyrion says:

    Overigens scoort Nederland erg slecht in vergelijking tot andere Europese landen, als het om privacyrechten gaat. Dus om hier alleen naar de VS te wijzen, lijkt me een ontkenning van onze eigen situatie. Lees bijv. https://www.bof.nl/ons-werk/prive-communicatie/.

    • Hawick says:

      Klopt helemaal: politie en justitie zijn geen vrienden van pricvacy hier en minsteries lobbyen in Europa zonder toestemming van 2e kamer om meer bevoegdheden voor overheden.

  10. Bernd says:

    Des te vreemder dat Xs4all onder het mom van ‘experimenteel’ geen SSL aanbiedt voor nieuwsgroepen. Niet echt klantvriendelijk en grotere kans op meeluisteren door vreemden.

    • André says:

      Geloof maar niet dat ‘men’ de ip-pakketjes zit af te tappen uit een routerje in Amsterdam omdat Bernd een Walt Disney film zit te downloaden.