Nog even een paar updates over het lekken van 1,46 miljoen gegevens van NMBS-klanten. De Privacycommissie heeft de NMBS voor een gesprek uitgenodigd en verantwoordelijk minister Paul Magnette heeft “zo snel mogelijk een omstandig rapport” gevraagd. Niets te vroeg, zeker als je weet dat het lek al meer dan twee weken gekend is. De reden voor die uitleg en dat rapport, mag overigens volledig op het conto van terecht verontwaardigde burgers geschreven worden. Zo heeft de Privacycommissie (donderdagmiddag) al meer dan 1700 klachten of vragen in verband met #nmbsgate ontvangen. Een record, naar verluidt.
Reactie van de NMBS: “We hebben een externe firma verzocht om het voorval te onderzoeken”. Euh? Hebben ze dan zelf geen idee wat er fout gelopen is? Moeten we ons in dat geval niet nog ongeruster maken? Waar zijn de controlemechanismen, de logs en andere maatregelen dan naartoe? Zo lijkt het vooral dat het gelekte bestand niet zomaar een technische fout of geval van pech was, maar dat het eerder een kwestie van geluk is dat er niet meer en gevoeliger data gelekt zijn.
We schreven hier al eerder dat de NMBS behalve het lekken van de data ook een tweede grote stommiteit begaan heeft. Eerst door de zaak te minimaliseren en vervolgens door de boodschappers af te dreigen. Wat ze bijvoorbeeld ook deden met de maker van de SNCB Leak Checker. Foute boel, jongens. Enkel een mea culpa zou hier PR-gewijs op zijn plaats geweest zijn, nederig verontschuldigingen aanbieden en tonen dat jullie een lesje geleerd hebben. En maak meteen ook maar duidelijk welk lesje jullie geleerd hebben, dat er in het vervolg op professionele wijze met persoonsgegevens zal omgesprongen worden en op welke manier dat zal gebeuren.
Wie nog steeds denkt dat dit toch maar een storm in een glas water is (toch niet echt een datalek en toch niet echt persoonlijke gegevens, toch), kunnen we deze post bij belsec aanbevelen. Daarin worden een paar mogelijke gevolgen van dit soort datalekken op een rijtje gezet.
Frederic Jacobs, maker van de SNCB Leak Checker heeft ondertussen zijn pagina offline gezet, onder meer omdat de Privacycommissie het initiatief niet bepaald genegen was. Een verstandige beslissing, hoewel de pagina een prima warmhouder was voor de verontwaardiging over het datalek. Anderzijds balanceert een dergelijk initiatief wel degelijk op het randje en kunnen we de Privacycommissie niet helemaal ongelijk geven. Sowieso is het aan de NMBS (of desnoods de Privacycommissie of de CERT) om gedupeerden te verwittigen dat hun data gelekt zijn. Iets waar we nog steeds op wachten. En wachten. En wachten …