Beboet voor slechte configuratie P2P-software (Column)

De meeste consumenten gebruiken P2P-software. Het protocol is namelijk heel handig en het aantal toepassingen is behoorlijk omvangrijk. In tegenstelling tot wat sommige moraalridders willen laten gelden, is P2P ook niet per definitie verdacht. Elke gebruiker van Skype, en dat zijn er alleen al in Nederland meer dan 1 miljoen, is namelijk een P2P-gebruiker. Skype een verdachte applicatie noemen, slaat natuurlijk nergens op.

Desondanks kan niet ontkend worden dat aan het gebruik van P2P-software gevaren kleven. Gevaren die te maken hebben met de wijze waarop het protocol werkt en de vaardigheden van de gebruiker. Niet iedereen begrijpt bijvoorbeeld dat bij het bepaalde P2P-toepassingen verstandig is de standaardinstellingen te wijzigen. Op die manier voorkom je dat je hele harde schijf wordt gedeeld met een paar miljard mede-internetters. Het reduceren van bandbreedte kan om weer andere redenen verstandig zijn.

Dat die basiskennis nog niet bij iedereen aanwezig is blijkt uit twee persberichten die de Amerikaanse toezichthouder FTC begin deze maand heeft verspreid. Voor het eerst zijn namelijk in de VS bedrijven beboet omdat er bij controle P2P-software op de kantoormachines is aangetroffen.

Het gaat daarbij om een incassobureau voor ziekenhuizen en een autodealer. Twee bedrijven die voor de reguliere bedrijfsvoering de beschikking hebben over een hoop persoonsgegevens. Aan het bewaren, bewerken en het omgaan met persoonsgegevens worden, net als in Nederland, in de VS bijzondere eisen gesteld. Een van die eisen is dat de ondernemer voldoende maatregelen treft om te voorkomen dat de gegevens worden gelekt, in vreemde handen komen of op een nadere manier worden misbruikt.

Incassobureau EPN inc. en autoverkoper Franklin’s Budget Car Sales Inc., voldeden duidelijk niet aan die eis. Op meerdere machines in het kantoornetwerk bleek P2P-software geïnstalleerd en die was niet kundig geconfigureerd. Het gevolg laat zich raden: de gegevens van een paar duizend patiënten, inclusief medische data was toegankelijk voor iedereen die daar naar zocht. In het geval van de autodealer ging het om rijbewijs -en financiële data. Bijzonder waardevol, want de perfect voor het plegen van ID-fraude.

Dat de FTC met persberichten naar buiten is getreden (‘naming & shaming’) moet worden gezien als een poging het bedrijfsleven meer te wijzen op de risico’s die verbonden zijn aan het onkundig gebruik, installeren en onderhouden van P2P-software.

Rijst natuurlijk de vraag hoe dat in Nederland is geregeld? Kunnen hier het CBP of de OPTA aankloppen omdat bedrijven slechte software gebruiken en consumenten daardoor risico lopen? En nog dichter bij huis: zijn er ISPam-lezers die op dit punt ervaring hebben met het adviseren van klanten over het verminderen van risicovol gedrag?