‘We moeten ons schrap zetten voor véél meer aanvallen en datadiefstallen bij instanties en besturen’, schrijft privacyactivist Matthias Dobbelaere-Welvaert over de hackers die stadsdiensten van Antwerpen binnendrongen. ‘We kunnen weinig meer doen dan hopen dat men hier iets uit leert.’
Ik ben boos. Want onze overheden vragen bijzonder veel vertrouwen aan ons, burgers. Vertrouwen dat men keer op keer beschaamd: niet enkel door slachtoffer te worden van ransomware (een goede dief raakt overal binnen), maar wel door telkenmale dermate nonchalant om te springen met gevoelige gegevens van hun burgers, dat criminelen niets minder dan een rode loper uitgerold krijgen. En dan is er nog de communicatie.
Het minste wat je mag verwachten – en dit dateert uit elk oud handboek over cybercrime – is minimale transparantie. Die is er vandaag niet, en men houdt stijf de lippen op elkaar over de omvang van de hack, welke databases en types van informatie is gelekt, en hoe ze de situatie willen repareren.
Dan blijft natuurlijk de vraag openstaan: welke data ligt er nu op straat? De enige die dat met zekerheid weet, is Antwerpen (en de hackers). Op hun kanaal in de dark web spreken de hackers van identiteitskaarten, paspoorten, financiële documenten en meer.
Er is discussie of men ook aan de vingerafdrukken kon. Eigenlijk is die discussie zelfs niet relevant: op identiteitskaarten en paspoorten staat ook uw – al dan niet lieflijk – gezicht, en daar heb je maar ééntje van. Biometrische data is in dat geval sowieso gestolen.
Wat de vingerafdrukken betreft, hebben we het alleszins ooit wel gevraagd aan het Grondwettelijk Hof: “De keuze van de regering om het digitale beeld van de vingerafdrukken in te zamelen en op te slaan op de chip van de kaart vormt volgens de EDPS niet de meest opportune keuze gelet op het risico van onrechtmatig gebruik van de identiteit in geval van hacking van de gegevens die voorkomen op de elektronische chip van de kaart. Deze keuze dient dus te worden herzien”.
Het Hof wou er niet van weten: “Hoewel het juist is dat de diefstal van gegevens met betrekking tot de vingerafdrukken voor de betrokken persoon, wiens identiteit zou kunnen worden overgenomen, ernstige nadelen met zich kan meebrengen, blijft het feit dat dat risico aanzienlijk kan worden ingeperkt door de beperkte bewaartermijn van de gegevens, ten behoeve van het aanmaken en het afgeven van de kaart, alsook door de technische beveiligingsmaatregelen die de Koning moet treffen.
Voor het half miljoen Antwerpenaren heb ik geen goed nieuws. Ik weet niet welke data er straks eventueel op straat ligt. Ik weet niet of uw rijksregisternummer straks jarenlang wordt misbruikt, of uw foto, of uw bouwplannen (hoi, fysieke dieven). Ik weet het niet. Wat ik wel weet, is dat identiteitsdiefstal jarenlang, mogelijks levenslang, pijnlijke gevolgen heeft voor haar slachtoffers. Jarenlang moeten zij bewijzen dat ze niét die huurwagen hebben gehuurd, niét die lening hebben afgesloten bij de bank, niét dat gascontract hebben besteld. De rekeningen blijven toekomen, en men moet telkens klacht indienen bij de politie. Een politie die daar weinig tijd voor heeft, en al te vaak haar eigen datazaakjes nog niet eens op orde heeft.
Alles bij de bron; Knack