De smartphone als wegwerpartikel, het is snel gegaan. Vooral jongeren zijn geneigd elk jaar het allernieuwste mobieltje aan te schaffen, ook al is slechts het aantal megapixels van de camera toegenomen. Het afgedankte mobieltje wordt doorverkocht, gerecycled of weggegeven. Helaas wordt het wissen van persoonlijke gegevens, data erasure met een mooi Engels woord, hierbij nogal eens over het hoofd gezien, zo toonde de Duitse krant Bild onlangs aan.
Vanuit het laboratorium van Kroll Ontrack in het Duitse Böblingen slaagden datarecoveryspecialisten erin om het leven van personen te reconstrueren op basis van hun afgedankte mobiele telefoons, die door de Bild-journalisten tweedehands waren opgekocht. Het was een onthullende maar vooral schokkende reportage. In één keer ligt je hele privéleven op straat.
Zo troffen de dataherstellers op Patrick’s Samsung GT-S7390 een complete verzameling opgeslagen gebruiksnamen en wachtwoorden aan. Met deze gegevens zou het voor de onderzoekers een fluitje van een cent zijn om in te loggen op Facebook, Google, Hotmail en Ebay, maar ook om online te bankieren via de app van de Duitse Volksbank en om spannende plaatjes te kijken op een pornokanaal onder de gebruikersnaam van Patrick. Minder spannend maar wel privacygevoelig zijn de inkijkjes in het dagelijkse leven van Patrick, zoals een afspraak met de dierenarts om zijn kater te laten castreren. Een andere “kater” betreft een uit de hand gelopen drankgelag. ‘Hab Ouzo Kopfweh heute morgen’, zo staat in een van zijn sms’jes.
De op de Galaxy Ace van Marco aangetroffen gegevens zijn niet minder onthullend dan die van Patrick. Relatief onschuldig zijn de berichten over een partijtje bowling, een bevestiging van een reisverzekering en een bezoek aan de huidarts. Complicaties na een operatie had hij waarschijnlijk liever privé gehouden. Dat geldt zeker voor de zoektermen die hij intikte in de balk van YouTube: Aktmodel, Porno, Pornomodel.
Tot slot de tweedehands mobiel van Maria, een Samsung Galaxy S. Op de mobiel van de lerares werden in totaal maar fiefst 6.761 foto’s, 146 video’s en 910 sms’jes aangetroffen. In totaal ging het om 2,79 Gigabyte. Maria kampt met gezondheidsklachten en krijgt injecties tegen trombose. Ook het verloop van de 1.000 chatsessies die Maria voerde, zijn dankzij de data recovery, in geuren en kleuren na te lezen.
De namen van de drie betrokkenen zijn gefingeerd en de journalisten hebben uiteraard verder niets gedaan met de kennis. Maar de boodschap is duidelijk: doe nooit zo maar afstand van een pc, tablet, mobiel of ander apparaat zonder je er eerst van te vergewissen dat alle data definitief verwijderd is.
Meer dan 1.500 datalekken leidden in 2014 tot bijna één miljard aangetaste datarecords wereldwijd, zo blijkt uit de Breach Level Index. Bij 54 procent van alle datalekken was identiteitsdiefstal het doel. Identiteitsdiefstal kan leiden tot het openen van nieuwe, frauduleuze bankrekeningen, het creëren van valse identiteiten of een scala van andere serieuze misdrijven. Nu datalekken steeds persoonlijker worden, constateren de onderzoekers dat de risico’s voor de gemiddelde persoon, zoals Patrick, Mario en Maria, snel toenemen. Denk aan identiteitsfraude.
Niet alleen consumenten lopen echter risico, bedrijven hebben tegenwoordig een zware verantwoordelijkheid als het gaat om databescherming, inclusief datawissen. Zo’n 10 procent van de datalekken wordt veroorzaakt door het op onjuiste wijze van de hand doen van IT-middelen. Werkstations en laptops, servers en opslagapparatuur, mobiele apparatuur zoals smartphones, virtuele machines en complexe datacenterapparatuur bevatten steeds vaker e-mails, klantgegevens, wachtwoorden en andere gevoelige informatie. Wanneer IT-middelen van de hand worden gedaan zonder dat de informatie wordt verwijderd, bestaat de kans het bedrijf een inbreuk op de gegevensbeveiliging pleegt, met alle gevolgen van dien. Een onzorgvuldig weggegooide, niet opgeschoonde harde schijf met vertrouwelijke gegevens kan heel eenvoudig identiteitsdiefstal tot gevolg hebben en een organisatie blootstellen aan negatieve publiciteit en kostbare rechtszaken.
Onlangs is het wetsvoorstel inzake het melden van datalekken aangenomen door de Tweede Kamer. Dit wetsvoorstel regelt een meldplicht voor gegevensverlies bij inbreuken op de beveiliging met ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. De boetes zijn niet mals. Het College Bescherming Persoonsgegevens mag boetes uitdelen tot 810.000 euro of 10 procent van de jaaromzet van de rechtspersoon.
Het wissen van data in de zogenoemde end-of-life fase is ook verplicht volgens de Europese General Data Protection Regulation (GDPR). Uit onderzoek blijkt echter dat veel bedrijven geen operationeel proces hebben voor datawissen. Riskant, want de boetes zijn ook hier niet kinderachtig: maximaal 100 miljoen euro of vijf procent van de jaarlijkse wereldwijde omzet bij een ernstige inbreuk. De reputatieschade komt daar nog bij.
Er zijn verschillende beproefde en gecertificeerde technologieën voor gegevensbescherming en -vernietiging, waaronder de fysieke vernietiging van apparaten, degaussen van harde schijven (een vorm van demagnetiseren), encryptie, en het (meerdere keren) overschrijven van data. Maak er gebruik van. Zo voorkomt u dat u of uw bedrijf morgen op de voorpagina van Bild of De Telegraaf staat.
Jaap-Jan Visser is sinds mei 2008 country manager van Kroll Ontrack Nederland. In deze functie is hij verantwoordelijk voor alle activiteiten van Kroll Ontrack op de Nederlandse markt.
