Wie gisteren inlogde op de site van de Vlaamse energieregulator VREG, kon de privégegevens van zowat 200.000 andere gebruikers bekijken en desgewenst aanpassen, zelfs hun rekeningnummers. Oorzaak van het probleem ligt volgens de VREG bij een programmeerfout in de nieuwe database-software die gisteravond online werd gezet.
Dit soort datalekken is niet alleen pijnlijk voor gebruikers die moeten toekijken hoe hun persoonlijke gegevens te grabbel gegooid worden. Ze wijzen nog maar eens op de gevaren die gepaard gaan met de evolutie naar steeds meer en steeds grotere databanken. Denken we in de toekomst bijvoorbeeld maar aan de massa persoonlijke gegevens die via slimme meters zullen doorgestuurd en opgeslagen worden. Door die toename aan databanken wordt de kans ook steeds groter dat persoonlijke gegevens vroeg of laat op straat komen te liggen.
Wat er precies fout liep bij de VREG, is niet duidelijk. Maar een dergelijk datalek is meer dan enkel een programmeerfoutje. Er schort blijkbaar evenzeer iets aan de veiligheidsprocedures, die normaal gezien moeten voorkomen dat dergelijke programmeerfoutjes in de definitieve versie van een databank blijven bestaan. Dergelijke veiligheidsprocedures kunnen zeker bij gevoelige persoonsgegevens, zoals nu met de bankrekeningnummers, nooit strikt genoeg zijn.
Dit lijkt ons een goed moment om eens een kijkje te nemen bij onze noorderburen, waar een meldplicht voor datalekken al een tijdje hoog op de privacy-agenda staat. De gedachte daarachter is tweeledig: bedrijven kunnen zo bewogen worden om hun databases goed te beveiligen en mensen van wie de gegevens zijn uitgelekt, kunnen zich wapenen tegen misbruik. Een interessante piste, zeker als een brede meldplicht voor datalekken gekoppeld wordt aan hoge boetes voor bedrijven en instellingen die nalatig zijn geweest.