Bij banken is de bescherming van persoonsgegevens een essentieel onderdeel van de dienstverlening. In bepaalde landen gaat dat zover dat banken niet vertellen wie er klant bij hen is en hoeveel geld er op de rekening staat van die klanten. Ook de herkomst van dat geld houden de banken geheim. In het verleden was het bij banken in Nederland heel gebruikelijk om op verzoek van de klant zogenaamde ‘nummerrekeningen’ aan te houden. Het traceren van de eigenaar door de fiscus werd hierdoor een stuk moeilijker. Ook werden op verzoek van de klant de dagafschriften op het bankkantoor bewaard: de klant kwam die zelf dan wel ophalen.
Meldplicht bij datalekken
Bits of Freedom (BOF), de ‘digitale burgerrechtenbeweging’, wil een nieuw artikel in de Wet bescherming persoonsgegevens, dat…
Het ‘bankgeheim’ heeft jarenlang gezorgd voor een gestage stroom zwart geld naar landen waar het bankgeheim bestond (en nog steeds bestaat ...) Denk met name aan Zwitserland. Onze staatssecretaris van Financiën is zelfs bereid om onrechtmatig verkregen gegevens over rekeninghouders en hun saldi te kopen om zo het zwarte geld op te kunnen sporen.
In Nederland zijn de banken sinds een aantal jaren verplicht om bankgegevens van hun klanten aan de Belastingdienst te verstrekken. Er is ook een wet Melding Ongebruikelijke Transacties (MOT) die banken (en ook handelaren) verplicht ‘verdachte’ betalingen en ontvangsten te melden bij het Meldpunt Ongebruikelijke Transacties in Zoetermeer. Hieronder vallen bijvoorbeeld contante betalingen hoger dan 15.000 EUR (zie ook: http://overheidsloket.overheid.nl//).
BOF heeft natuurlijk gelijk wanneer ze wil dat persoonsgegevens goed beschermd moeten worden. BOF deelt zelfs de ‘Big Brother’ awards uit aan personen en instellingen die volgens BOF de privacy flink hebben geschonden (of gaan schenden). Bovenaan staat (natuurlijk) het Elektronisch Patiënten Dossier (EPD). Als de overheid in Duitsland bereid is een paar miljoen euro te betalen voor een handjevol namen van rekeninghouders in Zwitserland, wat moet de inhoud van het EPD dan wel niet waard zijn? Voor verzekeraars, politie, ‘de onderwereld’, commerciële organisaties? Dat zou dan in de miljarden moeten lopen. En die waarde trekt (cyber-)criminelen aan.
Beveiligingsmaatregelen om die gegevens (en vergelijkbare bestanden) dusdanig goed te beschermen zitten nu niet in de scope van het EPD-project. Op basis hiervan zou je kunnen zeggen dat we niet eens aan een EPD-project hadden moeten beginnen. KAS BANK heeft geen particuliere klanten, alleen institutionele beleggers en bancaire partijen. Hierdoor is het klantenbestand in aantallen niet groot. Maar de veiligheidsmaatregelen zijn enorm. Hier worden jaarlijks grote bedragen in geïnvesteerd. De kosten van ‘bewaking’ van een EPD-achtige administratie op hetzelfde niveau zullen daardoor astronomisch van omvang zijn. En jaarlijks moet er worden geïnvesteerd in verbeteringen, omdat de (cyber-)crimineel zijn technieken om data te stelen ook verbetert.
Als ik nu mijn huisarts bel, krijg ik via de telefoon van zijn assistente al mijn medische gegevens te horen, zonder dat ik vind dat mijn identiteit voldoende is vastgesteld. Iemand zou met een beetje ‘social engineering’ ook mijn gegevens kunnen bemachtigen om daar gebruik of misbruik van te maken. Voor mij als individu is dat vervelend en voor een (criminele) organisaties is het een hele klus om alle huisartsen na te bellen om van een grotere groep mensen medische gegevens te vergaren. Makkelijker en rendabeler is het dus om in één keer over de gegevens van alle Nederlanders te beschikken. Een ‘aanval’ op een centrale administratie is dus veel lucratiever. Dat zou ervoor pleiten om bijvoorbeeld lokale overheden hun eigen administraties te laten voeren: dus zoveel mogelijk decentraliseren. Maar wel volgens centraal gedefinieerde beveiligingsstandaarden. Wanneer dat nodig is, kan decentrale gegevensverzameling dan gekoppeld worden (bijvoorbeeld voor forensisch, fiscaal of wetenschappelijk onderzoek). Wie zou er bijvoorbeeld niet willen weten of bepaalde vormen van kanker in een bepaald gebied vaker voorkomen dan in andere gebieden?
Aan de andere kant is de maatschappij misschien wel aan het veranderen ten aanzien van de privacynormen. Grote groepen mensen zetten nu zaken op internet (blogs, websites, etc.) die we een aantal jaren geleden niet voor mogelijk hadden houden.
Concluderend: ik ben het eens met BOF, maar de meldingsplicht zou op vrijwillige basis moeten zijn. Net zoals het terugroepen van producten wegens fabricagefouten. Toyota besloot miljarden kosten te maken voor het terugroepen van haar auto’s. Het bedrijf deed dat liever dan het jarenlang aanvechten van mogelijk (miljarden-) claims.
Pim van der Horst is CIO bij KAS BANK.
