De Zweedse transportdienst heeft de privacy van miljoenen Zweden, inclusief militairen, politie en beschermde getuigen in het gedrang gebracht. Tegelijk werd de data uitbesteed aan IBM dat onbevoegde buitenlandse IT’ers toegang gaf.
Het privacyschandaal speelt op twee vlakken: Transportstyreisen, het Zweedse overheidsagentschap voor mobiliteit, heeft de databases met info over alle voertuigen in het land, inclusief leger- en politievoertuigen, in 2015 uitbesteed aan IBM dat het werk goedkoper kon uitvoeren.
Door besparingen stond die outsourcing onder grote tijdsdruk waardoor er ernstige fouten zijn gebeurd. Zo was de data toegankelijk voor IT-medewerkers in Tsjechië (waar de data werd beheerd), maar die medewerkers werden niet op voorhand gescreend waardoor mogelijk onbevoegden er toegang tot hadden.
Kop van jut is Maria Ågren, voormalig directeur-generaal van de dienst die in januari moest opstappen. In de rechtszaak volgend op haar vertrek kreeg ze een boete van 70.000 Zweedse kronen, zo’n 7.300 euro of de helft van haar maandloon, voor het onzorgvuldig omspringen met gevoelige informatie. Volgens de Zweedse Engelstalige nieuwssite The Local, dat de krant Dagens Nyheter citeert, bevestigde Ågren dat haar dienst door de tijdsdruk de veiligheidsregels heeft omzeild.
Dat onbevoegde IBM’ers toegang hadden tot de data is niet het enige probleem. Zo werden de firewalls en communicatie verzorgd door een bedrijf in Servië. Dat doet het land dan weer vrezen voor andere achterpoortjes in de systemen gezien de goede relaties tussen Rusland en Servië. Al is dat niet aangetoond.
Alles per ongeluk gemaild, twee maal
Het verhaal stopt echter niet bij slechte outsourcing. Zo schrijft Rick Falkvinge, oprichter van de Zweedse Piratenpartij, dat in maart van dit jaar de database met alle voertuigen naar marketeers werd verstuurd.
Dat is op zich niet zo uitzonderlijk gezien het, grotendeels, om openbare informatie gaat. Maar de verzonden versie bevatte per ongeluk ook namen, adressen en foto’s van personen die beschermd worden als getuigen in een rechtszaak, van gevechtspiloten, politie-agenten en speciale militaire eenheden.
De verzonden versie bevatte namen, adressen en foto’s van personen die beschermd worden als getuigen in een rechtszaak, van gevechtspiloten, politie-agenten en speciale militaire eenheden. Kortom alles om de (militaire) infrastructuur van Zweden in kaart te brengen.
Het gaat daarbij om alle militaire- en overheidsvoertuigen, hun bestuurder, maar ook de capaciteiten van alle wegen en bruggen. Kortom alles om de (militaire) infrastructuur van Zweden in kaart te brengen.
Ook het rechtzetten van die fout gebeurde met de nodige onkunde. In plaats van een nieuwe lijst te sturen met het verzoek de oude te verwijderen, werden alle geadresseerden er in een opvolgmail op gewezen welke voertuigen en personen niet mochten gebruikt worden. Wat ironisch genoeg net aanduidt welke gegevens tot het staatsgeheim behoorden.
Gevaar? Gecensureerd
Zweden zelf lijkt intussen niet al te graag te communiceren over het privacyschandaal. En ook de boete die Ågren krijgt valt volgens Falkvinge vrij goed mee. “Als een gewone sterveling op zo’n nalatige manier data zou lekken, dan zouden ze daarvoor in de gevangenis vliegen. Maar nu het de overheid zelf is, volstaat een half maandloon als straf,” schrijft hij.
Het probleem met dit soort lekken is dat het niet geweten is of de data wel degelijk in foute handen is gevallen. Als de betrokken it’ers en marketeers de gegevens niet hebben aangeraakt of gekopieerd dan is er in theorie geen probleem. De Zweedse overheid heeft een antwoord op de vraag of de nationale veiligheid in gedrang kwam. Maar de openbare versie van het rapport dat de politie over de zaak heeft opgemaakt, censureert het antwoord op die vraag.
Fout opgemerkt of meer nieuws? Meld het hier