Beeld: ChatGPT/AI
Het OM wist al vijf jaar dat Citrix niet voldoende beveiliging bood voor de gevoelige informatie waar ze mee werken. Het NCSC waarschuwde namelijk al in 2019 voor de kwetsbaarheid van Citrix. In 2020 werden al meer dan 240 Nederlandse bedrijven en een aantal gemeenten getroffen door een hack of lek bij Citrix. Toen door de Chinezen, nu door de Russen. Ook toen werd al gemeld dat alleen de patch niet voldoende bescherming zou bieden.
Maar leun vooral achterover, doe oordoppen in en houd de hand op de knip. Als je nou maar doet alsof er niks aan de hand is, dan is er ook niks aan de hand, toch?
We hebben onszelf ontzettend afhankelijk gemaakt van Amerikaanse software. Want het was (en is) zo lekker goedkoop, meestal ook best goed én we werden niet gehinderd door enige ethische (“we hebben al zo veel regels en hier kan ook nooit wat”) of juridische waarborgen. Amerikaanse software kan namelijk vaak veel meer dan passend is bij de Europese regels rondom privacy en security.
Als EU weten we best hoe Amerikanen met dit soort zaken omgaan en hoe onze rechten, zeker als buitenlanders, niet gewaarborgd worden. Eigenlijk zouden we daardoor geen persoonlijke data mogen delen met de VS, en toch zijn we zo stom geweest om het steeds te faciliteren. Eerst met Safe Harbor, daarna via het Privacy Shield en nu met het Data Privacy Framework.
Het is als een pleister op een gapende open vleeswond, terwijl Max Schrems ondertussen staat te schreeuwen dat het zo toch echt niet goed gaat. Steeds opnieuw bogen rechters zich over de vraag of die pleister de wond nou voldoende heeft gedicht of niet. Tot het Europese Hof van Justitie weer de pleister van de wond rukt omdat het pleisterprotocol niet toereikend blijkt. Ondertussen past vrijwel niemand het beleid aan. Het werkt toch goed genoeg?
Daarnaast wijzen we graag naar anderen wanneer onze gegevens op het dark web belanden, bijvoorbeeld wanneer er een laboratorium door ransomware is geraakt, onze buren dubieuze deurbelcamera’s installeren of de Belastingdienst te veel informatie over ons verzamelt om te kijken of we niet frauderen. Kortom, we winden ons pas echt op als er gegevens op straat zijn komen te liggen. Ook het OM, waarvan gevoelige gegevens en strafgegevens de core business zijn, gaat laks om met ICT. Onder meer door een patch pas een maand na beschikbaarheid te installeren.
Nu kunnen we onze pijlen richten op het OM, de overheid en de zorg, deels terecht omdat ze veel gevoelige informatie in huis hebben. Maar commerciële partijen zijn geen haar beter, door gegevens veel te lang te bewaren, informatie op te vragen die ze niet nodig hebben en het allemaal te beheren met Amerikaanse software. Als het maar makkelijk en goedkoop is, zoals Citrix – ook in contactcenterland een aantrekkelijke keuze.
(Ziptone/Charlotte Meindersma)
Ook interessant
-
Hoewel nog geen acute privacycrisis, spoort data- en techjurist Bart Schellekens bedrijven aan om scenario’s op te stellen voor het…
-
Welke prijs betalen bedrijven straks voor hun afhankelijkheid van Amerikaanse techreuzen als het EU-U.S. Data Privacy Framework wegvalt?
-
Met chatbot Lumo wil het bedrijf een oplossing toevoegen aan het bestaande portfolio van privacy-vriendelijke applicaties.