Drie voorspellingen voor 2019

In 2018 waren privacy en beveiliging overal. Hackende Russen in Den Haag, een referendum over de inlichtingenwet en nieuwe privacyregels: het fenomeen van de cyber was niet uit het nieuws weg te houden.

Wat kunnen we in 2019 verwachten? Cybernieuwtjes blikt vooruit met drie thema’s die je in het nieuwe jaar niet kunt missen.

In november zorgde een boete van 600.000 euro voor taxi-app Uber voor verwarring: was dit nou de eerste boete onder de nieuwe Europese privacywet, de AVG? Nee: die boete was het gevolg van overtredingen onder de oude Wet Bescherming Persoonsgegevens.

Maar Cybernieuwtjes verwacht dat de Autoriteit Persoonsgegevens in 2019 wel echt actie gaat ondernemen. Zoals we eerder al meldden lopen er momenteel elf concrete onderzoeken, na tienduizend klachten. Er is de Autoriteit Persoonsgegevens veel aan gelegen om de plotselinge aandacht voor privacy bij bedrijven en organisaties van klein tot groot – beursgenoteerd tot sportvereniging – niet te laten verslappen.

Of er meteen al boetes worden opgelegd, moet nog blijken; dat kan immers wel een stuk makkelijker dan onder de oude wetgeving.

Het is hoe dan ook geen uitgemaakte zaak. Toezichthouders hebben nu weliswaar de vierprocentsstok om overtreders mee te slaan, maar wanneer ze die in kunnen gaan zetten is nog een groot vraagteken. Oftewel: de politieke strijd over privacy wordt in 2019 verlegd naar een juridische.

Rechters zullen waarschijnlijk moeten gaan interpreteren wat bijvoorbeeld dat ‘passende beschermingsniveau’ voor persoonlijke gegevens inhoudt als de AP gaat proberen dit te handhaven na een datalek. Die zaken kunnen effect hebben in heel Europa. En ook daarbuiten, omdat de interpretatie van AVG-normen bepaalt aan welke landen persoonlijke gegevens doorgegeven mogen worden. Oftewel, er staat genoeg op het spel komend jaar.

Afgelopen herfst zorgden twee rapporten van de toezichthouders die onze inlichtingendiensten in het gareel houden voor de nodige consternatie. De uitvoering van de nieuwe inlichtingenwet was nog niet in orde, oordeelde zowel de Toetsingscommissie Inzet Bevoegdheden (die vooraf oordeelt of een speciale bevoegdheid mag worden in gezet) als de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (controleert tijdens en achteraf operaties of de wet is gevolgd).

Er zijn grote risico’s dat de inlichtingendiensten in strijd met de wet handelen, waarschuwde de CTIVD, omdat waarborgen die de wet vereist niet goed genoeg worden gehanteerd. En te veel aanvragen voor taps en andere speciale bevoegdheden moeten worden afgekeurd omdat ze niet goed genoeg zijn gemotiveerd of simpelweg te ver gaan, oordeelde de TIB.

Beide waakhonden houden een vinger aan de pols en komen volgend jaar met nieuwe rapporten. Volgens het kabinet is er sprake van ‘aanloopproblemen’ en waren de gevolgen van de nieuwe inlichtingenwet groter dan verwacht. Het rapport van de TIB verschijnt in april, stay tuned.

Je eigen laptop of smartphone beveiligen is nog wel te doen – af en toe ‘sudo apt-get upgrade’ intikken en je bent al een eind. Maar steeds meer apparatuur in huis is niet meer in je eigen beheer. Soms heb je geen zicht op de beveiliging, omdat dat op de achtergrond wordt geregeld – of helemaal niet wordt geregeld.

Dat wordt alleen nog maar meer. Vrijwel alle delen van de samenleving zijn aan het vertechnologiseren, van de zorg tot de financiële sector (met als uitzondering misschien de Kamer van Koophandel). Dat betekent dat meer mensen te maken krijgen met privacy impact assessments en vragen rond informatiebeveiliging. Maar ook dat je domeinkennis over het betreffende vakgebied belangrijker wordt om iets zinvols te kunnen zeggen over beveiliging.

Kijk bijvoorbeeld hoe complex onze energie-infrastructuur wordt met laadpalen en slimme meters. Knappe jongen die de beveiliging daarvan compleet overziet.

Zelfrijdende auto’s die met elkaar communiceren en hun gedrag op elkaar afstemmen? Superleuk, zolang het goed gaat. Dat is nog niet iets wat in 2019 gaat spelen, maar we moeten daar wel al over nadenken. Het is één ding als een brakke webshop vatbaar is voor sql-injectie. Het is al erger als je webcam een default wachtwoord blijkt te hebben wat je niet kunt aanpassen. Het wordt pas echt eng als zelfrijdende auto’s of andere autonome systemen je in levensbedreigende situaties kunnen laten komen.

Verwacht daarom dat deze nieuwsbrief in 2019 nóg nerdier wordt, met details waar je nooit op zat te wachten.

Ook komend jaar houden we je tweewekelijks op de hoogte van gebeurtenissen in security- en privacyland. Fijne jaarwisseling.