Een op de drie bedrijven uit de top 55 met de meest bezochte websites in België springt slordig om met onze gegevens. Dat blijkt uit onderzoek van het Expertisecentrum voor Digitale Media (EDM) van de Universiteit Hasselt.
In het kader van de GDPR moet elk bedrijf op jouw verzoek onder meer alle persoonsgegevens bezorgen die ze over jou verzamelt. Twee onderzoekers van het EDM vroegen zich in 2019 af hoe makkelijk je via die weg de persoonlijke gegevens van iemand anders zou kunnen bemachtigen. Ze namen toen de proef op de som en gaven zich voor elkaar uit. Op die manier probeerden ze elkaars persoonlijke gegevens op te vragen. Vijftien van de 55 onderzochte bedrijven lieten zich vrij makkelijk misleiden; daar hadden de onderzoekers makkelijk van eender wie data kunnen stelen. Onderzoeker Mariano Di Martino in Het Belang van Limburg: “Vaak beperkt zich dat tot minimale informatie zoals naam, woonplaats en geboortedatum, maar in sommige gevallen gaat het over uiterst gevoelige informatie. Zo hebben we niet alleen rekeningnummers en financiële transacties ontvangen, maar ook parkeerdata of plekken waar we geweest zijn, omdat bepaalde bedrijven je locatiegegevens bijhouden. Dat is zeer gevoelige informatie, zeker als die in verkeerde handen valt.”
Na het experiment in 2019 hadden de onderzoekers de ‘kwetsbare’ bedrijven ingelicht over hun experiment. “We hebben hen uitgelegd wie we waren, hoe ons onderzoek in elkaar zat en hoe zij deze inbreuken in de toekomst kunnen vermijden. Meerdere bedrijven hebben ons online om advies gevraagd. Drie bedrijven zijn met ons aan tafel gaan zitten, omdat ze het probleem ook effectief wilden oplossen.”
Anno 2022 hebben de onderzoekers hun experiment herhaald, deze keer niet via mail maar met een aangetekende brief waarin ze hun data opnieuw opvroegen bij diezelfde 55 bedrijven.
Di Martino: “Wat bleek? Twee jaar later gingen acht bedrijven – ondanks onze eerdere aanbevelingen – nog steeds in de fout. Meer nog, negen bedrijven die in 2019 geen toegang gaven tot de privégegevens van iemand anders, deden dat nu wel. De drie bedrijven die met ons aan tafel hebben gezeten, gingen niet in de fout. 17 van de 55 aangeschreven bedrijven, of bijna één op de drie, zijn dus nog steeds kwetsbaar op dit vlak. Uit gesprekken met een aantal bedrijven blijkt dat er al pogingen zijn gedaan om data van iemand anders op die manier te stelen, maar dat dit altijd op tijd opgemerkt is en dus is vermeden. Om die reden zeggen we liever niet welke bedrijven vandaag nog kwetsbaar zijn op dit vlak.”
Ook de Gegevensbeschermingsautoriteit (GBA) werd ingelicht over de resultaten van beide onderzoeken. Maar de onderzoekers betwijfelen sterk of het advies dat de GBA aan bedrijven geeft, namelijk om de identiteitskaart te vragen als controlemiddel voor de identiteit van de persoon die de gegevens opvraagt, de juiste keuze is. Integendeel, volgens de onderzoekers gaat dat advies in tegen de veiligheid van de consumenten en zal het misbruik in de toekomst alleen maar erger maken. Hoe het dan wel moet, zeggen de onderzoekers ook:
“Door te verifiëren of de vraag is verstuurd met het e-mailadres dat bij het bedrijf staat geregistreerd. En indien dat niet overeenstemt, de verzender eenvoudigweg vragen om zijn vraag te versturen vanuit het e-mailadres dat bij het bedrijf staat geregistreerd. Daarnaast werken veel bedrijven met een geautomatiseerd platform, waar een gebruiker zich kan registreren, met een e-mailadres en een wachtwoord. Organiseer binnen dit platform een klantenportaal waar gebruikers hun gegevens kunnen opvragen. Ze hebben zich dan al eerst moeten aanmelden, dat verkleint het risico dat je met iemand anders te maken hebt.”
Bron: hbvl.be