Datalek bij VREG door programmeerfoutje

Wie gis­te­ren in­log­de op de site van de Vlaam­se ener­gie­re­gu­la­tor VREG, kon de privége­ge­vens van zowat 200.000 an­de­re ge­brui­kers be­kij­ken en des­ge­wenst aan­pas­sen, zelfs hun re­ke­ning­num­mers. Oor­zaak van het pro­bleem ligt volgens de VREG bij een pro­gram­meer­fout in de nieu­we da­ta­ba­se-soft­wa­re die gis­ter­avond on­li­ne werd gezet.

Dit soort datalekken is niet alleen pijnlijk voor gebruikers die moeten toekijken hoe hun persoonlijke gegevens te grabbel gegooid worden. Ze wijzen nog maar eens op de gevaren die gepaard gaan met de evolutie naar steeds meer en steeds grotere databanken. Denken we in de toekomst bijvoorbeeld maar aan de massa persoonlijke gegevens die via slimme meters zullen doorgestuurd en opgeslagen worden. Door die toename aan databanken wordt de kans ook steeds groter dat persoonlijke gegevens vroeg of laat op straat komen te liggen.

Wat er precies fout liep bij de VREG, is niet duidelijk. Maar een dergelijk datalek is meer dan enkel een programmeerfoutje. Er schort blijkbaar evenzeer iets aan de veiligheidsprocedures, die normaal gezien moeten voorkomen dat dergelijke programmeerfoutjes in de definitieve versie van een databank blijven bestaan. Dergelijke veiligheidsprocedures kunnen zeker bij gevoelige persoonsgegevens, zoals nu met de bankrekeningnummers, nooit strikt genoeg zijn.

Dit lijkt ons een goed moment om eens een kijkje te nemen bij onze noorderburen, waar een meldplicht voor datalekken al een tijdje hoog op de privacy-agenda staat. De gedachte daarachter is tweeledig: bedrijven kunnen zo bewogen worden om hun databases goed te beveiligen en mensen van wie de gegevens zijn uitgelekt, kunnen zich wapenen tegen misbruik. Een interessante piste, zeker als een brede meldplicht voor datalekken gekoppeld wordt aan hoge boetes voor bedrijven en instellingen die nalatig zijn geweest.