Soms denk ik dat de overtuiging ‘ik heb toch niks te verbergen’ verankerd is in het menselijk DNA. Als ITer kom ik anno 2021 namelijk nog dagelijks gebruikers tegen die zich niet bewust zijn van online risico’s. Die bewustwording zou ik graag zien toenemen en ik denk dat een digitale bijsluiter daarbij kan helpen.
Met gebruikers ga ik vaak het gesprek aan over online risico’s. Daaruit komt veelal naar voren dat ze zich bewust zijn van sommige gevaren, bijvoorbeeld dat phishing kan leiden tot ongeoorloofde toegang. Het gevaar wordt echter maar zelden in verband gebracht met de potentiële schade waar het toe kan leiden. Alleen de gevolgen van ongeoorloofde toegang tot een bankrekening of creditcard lijken goed te worden begrepen, maar die schade wordt doorgaans vergoedt. Deze vorm van schade is bovendien heel inzichtelijke en vaak ook vrij direct. Heel anders dan bijvoorbeeld de moeilijk te kwantificeren schade die kan voortvloeien uit identiteitsdiefstal. Om over andere vormen waarbij geld zelfs indirect geen rol speelt, nog maar te zwijgen. En als het verband tussen gevaar en mogelijk schade al word gelegd dan wordt die in de regel onderschat (“dat overkomt mij toch niet“). Men is zich dus niet goed bewust van risico’s.
De definitie van een risico is de kans dat een gevaar leidt tot een onwenselijke situatie gecombineerd met de ernst van de schade die die situatie tot gevolg kan hebben. Bekendheid met de kans en ernst van de gevolgen is dus cruciaal om goed een risico in te kunnen schatten, en juist daar zitten gaten in het bewustzijn.
Bij het aanschaffen of afsluiten van digitale (of hybride) diensten wordt er door de dienstverlener echter nooit gewezen op de mogelijke risico’s. Het is dus niet zo gek dat er ook weinig bewustzijn is over die risico’s. Een partij als Google of Facebook moet tegenwoordig redelijk nauwkeurig beschrijven welke data ze van je gebruiken en waartoe dat dient (alhoewel Facebook met paginagrote krantenadvertenties mensen ervan probeert te overtuigen dat een dergelijke openheid schadelijk is). En als er geen noodzakelijkheid is voor de verwerking van bepaalde gegevens moet er toestemming worden gevraagd. Maar hoe kun je van gebruikers nou verwachten dat ze een weloverwogen keuze maken als je ze niet vertelt wat de mogelijk consequenties ervan zijn? Heldere communicatie over de grootste risico’s is daarom denk ik van enorm belang. Net als reeds wordt gedaan voor beleggingsproducten en leningen.
Hoe zou zoiets eruit kunnen zien? Laat ik als voorbeeld een (betaalde – dus niet advertentiegebasseerd) e-mail dienst nemen. De grootste gevaren daarvan zitten denk ik in het verlies van toegang tot het account en overname van het account door een cybercrimineel. Hoe groot is de kans dat iemand zijn of haar toegang tot een account verliest? Je kunt je wachtwoord kwijtraken of je account wordt al niet opzettelijk geblokkeerd. Wat zijn de mogelijke consequenties hiervan? Je kunt jaren e-mailgeschiedenis kwijtraken alsmede alle e-mail adressen van iedereen waar je mee e-mailde. Het wordt dan heel lastig hun op te hoogte te stellen dat je een nieuw e-mail adres hebt. En hoe zit het met overige accounts die gebruik maken van dat e-mail adres? En hoe groot is de kans dat iemand anders toegang krijgt tot jouw e-mail account? Overkomt dat 5% van de mensen? 10%? En wat zijn daar de mogelijke gevolgen van? Als bedrijf zijnde zou het kunnen dat iemand uit jouw naam valse facturen stuurt aan je klanten, en dat kan een hoop geld kosten (dat heb ik recentelijk nog met eigen ogen zien gebeuren). Of uit jouw naam spam verzendt waardoor je op een zwarte lijst komt. Of erger, identiteitsdiefstal pleegt en ernstiger criminele activiteiten onderneemt uit jouw naam. Bewijs maar eens dat jij het niet was. Mogelijk moet je ook aangifte doen, melding ervan maken en je klanten op de hoogte stellen (als je überhaupt nog beschikt over de contactgegevens van je klanten). Dat is geen beste publiciteit.
Zo kun je voor allerlei diensten de grootste risico’s bepalen en die samenvatten in gevaren, de kans daarop en de meest waarschijnlijke consequenties. Ik lijkt mij een goed idee als een onafhankelijke partij dergelijke risicoanalyses opstelt en verplicht voegt bij een product. Dat kan beperkt zijn tot de grootste risico’s, of uitgebreider zijn en ook minder waarschijnlijke risico’s inbegrepen. Wat bijvoorbeeld te doen met Smarthome producten zoals Ring, Google Home, Alexa en Philips Hue? Ik zou persoonlijk wensen dat men van het gevaar op de hoogte wordt gesteld dat onbekenden mogelijk toegang kunnen krijgen tot het systeem en op afstand mee kunnen luisteren en/of kijken. Met ongeoorloofde toegang tot een Ring systeem wordt het bijvoorbeeld wel heel makkelijk om een fysieke inbraak te plannen. En er zijn vast ook een hoop andere waardevolle gegevens buit te maken zonder fysiek in te breken. Hetzelfde geldt voor Google Home en Phlips Hue. Wat kunnen de consequenties zijn als Google en Philips een betrouwbaar dagboek hebben over jouw ‘thuis gedrag’? Bestaat er een kans dat dat ooit als bewijsmateriaal wordt gebruikt in rechtszaken? En kan dat mogelijk worden gemanipuleerd als iemand toegang tot het systeem krijgt? En wat te denken van het gebruik van Facebook? Zou je kunnen spreken van de risico’s van profilering? Zou er op moeten worden gewezen dat dergelijke persoonlijke gegevens kunnen worden misbruikt voor beïnvloeding van politieke verkiezingen? En voor het gevaar van profilering worden gewaarschuwd? Bijvoorbeeld dat de content die je te zien krijgt steeds meer op jou wordt toegespitst, je daardoor minder in aanraking komt met andere visies en de kans loopt dat je gedachtes radicaliseren (denk bijvoorbeeld aan complottheorie) wat mogelijk maatschappelijke polarisering tot gevolg? Het zijn zaken die om aandacht schreeuwen. Een digitale risico bijsluiter creëert denk ik bewustwording en zorgt ervoor dat er na wordt gedacht over dergelijke risico’s en wat we hier als maatschappij mee willen.
Het wordt zo langzamerhand wel eens tijd dat we met z’n allen na gaan denken welke kant we op willen met de groeiende berg data. En over hoe we de groeiende kloof tussen de toenemende complexiteit van onze digitale aanwezigheid en de beperkte kennis over de risico’s gaan verkleinen.
Leave a Reply