467 – Elke week een datalek?

Randal Peelen:
[0:00] In deze aflevering hoor je waarom je de laatste tijd zo ontzettend veel datalekken voorbij ziet komen, hoe het kan dat wel gemelde datalekken vaak zwaarder worden bestraft dan niet gemelde datalekken, en waarom het soms beter is om even niet op eind te duwen. Echt niet doen.

Randal Peelen:
[0:27] Welkom bij Met Nerds om tafel. We praten vandaag met Jere Enuwachs. En mijn naam is Randall Peelen. Onze gastnerd van vandaag is Floor Terra. En Floor is senior adviseur bij de Privacy Company. Waar hij als nerd tussen de juristen werkt. En hiervoor werkte hij bij de Autoriteit Persoonsgegevens. Dus heten toen anders, heten nu zo. Dan weet je waar hij heeft gewerkt. En dus is Floor flink bezig met persoonsgegevens. En Jurian en ik...

Jurian Ubachs:
[0:54] Oké, nu inderdaad flink mee aan de slag.

Randal Peelen:
[0:55] Precies, want jij zei laatst tegen mij, Jurian, in een gesprekje dat wij zo willekeurig even hadden. Randall, volgens mij zijn er steeds meer data lekken. Laten we daar eens een aflevering over maken waarop ik zei, nou Jur, volgens mij zijn er helemaal niet steeds meer data lekken.

Randal Peelen:
[1:10] Volgens mij komen ze gewoon steeds meer in het nieuws en zijn het hele grote. En is er heel veel aandacht, maar mijn idee is dat er elke dag wel ergens een datalek is.

Jurian Ubachs:
[1:17] Ja, en ik ben natuurlijk ook verder in gedokken. Ik denk dat het wel klopt ook, omdat en dat is misschien ook een mooi bruggetje naar Floor, bedrijven inmiddels ook wel weten dat ze er niet meer mee wegkomen met het proberen onder de pet te houden en het niet te melden, want daar staan natuurlijk tegenwoordig serieuze straffen op en het komt toch wel aan het licht.

Randal Peelen:
[1:33] Meestal wel. Dus Floor, ik heb Marieke Smits gebeld. Ik zeg meid, we hebben een gast nodig die hier alles over weet. En toen Hoe kwam ze met jou?

Jurian Ubachs:
[1:43] Als je tegen Marike zegt, Marike, geef hem een nerd. Dan krijg je altijd een nerd.

Randal Peelen:
[1:45] Dan krijg je altijd een nerd. En ja... Vandaag ben jij dat.

Floor Terra:
[1:49] Leuk. Welkom. Dank je wel.

Randal Peelen:
[1:52] Als jij ons gesprekje zo hoort, wat denk jij dan? Is jouw primaire reactie steeds meer datalekken of evenveel?

Floor Terra:
[1:59] Ik weet niet of het evenveel is, maar ik zie vooral meer aandacht voor datalekken. Zowel, ze worden wat breder opgemerkt, maar ook misschien wat vaker opgemerkt. Ik heb me vroeger echt kapot lopen ergeren over al die datalekken die ik zag, die nooit gemeld zijn, geen aandacht krijgen. En vooral die paar die dan wel aandacht krijgen, dat is allemaal heel erg. En dan denk je, ja, dat valt wel mee. Ik heb wel eens wat ergers gezien, maar daar hoor je niks over. Dus ja, nee.

Jurian Ubachs:
[2:28] Over welke tijd praat je nu dan?

Floor Terra:
[2:30] Nou, ja, eigenlijk zolang ik bezig ben met mijn informatiebeveiliging, zie ik her en der wel data lekker. Soms met mijn gegevens, vaker ook met andermans gegevens. Want soms ontdek ik zelf iets wat ik ergens meld. Dus ik heb altijd wel her en der wat dingen opgemerkt. En ook als je mensen kent die met beveiliging bezig zijn. Die vinden af en toe wel data die rondslingert. Of systemen die hartstikke lek zijn. Dus voor mij is het altijd wel vrij normaal geweest. Alleen er is wel een verschuiving in misschien ook hoe criminelen ermee omgaan. En wat wel en niet aandacht krijgt in de pers. En hoe breed het wordt uitgemeten. Dat is wat ik zie. Maar het is heel lastig om te weten of het echt meer wordt of minder.

Jurian Ubachs:
[3:15] En hoe ziet die verschuiving er dan uit? Laten we dat maar meteen beetpakken.

Floor Terra:
[3:20] Nou, wat ik heel veel zie zijn criminelen die bijvoorbeeld data stelen en losgeld vragen. Die hebben er baat bij om zo breed mogelijk bekend te maken waar ze binnen zijn gedrongen. In ieder geval als er wat twijfels zijn of er wel betaald wordt. Vroeger bestond dat nog niet zoveel. Dan had je gewoon hackers die soms met criminele bedoelingen, soms voor lol, baldadigheid, van alles en nog wat, op plekken inbraken. Maar niemand vertelde daar ooit over. Dus dan komt het ook niet bij journalisten, dan komt het ook niet bij toezichthouders te liggen. Dus dat is zeker wel iets, en ik vind dat op zich positief, dat het meer aandacht krijgt. Maar het is ook wel een beetje selectief. Dit soort data lekker krijgen aandacht, anderen nog steeds heel weinig.

Randal Peelen:
[4:08] Op welke manier wordt de privacycompany daarbij betrokken? Wat is jullie invalshoek?

Floor Terra:
[4:14] Wij doen niet specifiek veel met datalekken bedrijfsmatig. We hebben gewoon best wel wat klanten die wel eens een datalek hebben. Dat is hartstikke normaal. En dan adviseren we klanten erover. Wat moet je aan je leverancier vragen? Je merkt wel eens dat de leverancier zegt van ja, maar er is eigenlijk niks gestolen. Dan moet je even doorvragen en dan blijft het oké. Er zijn geen logs die aantonen dat er iets gestolen is. Dat wil niet zeggen dat er überhaupt logs waren of dat je goed gezocht hebt. Dus dan dat soort stukjes doorvragen. Of hoe informeer je de betrokkenen? Wat moeten die weten? Kan je nog wat verdere maatregelen nemen om schade te beperken? Dus een beetje achteraf adviseren over hoe je zo'n incident moet afhandelen.

Randal Peelen:
[5:06] Ja, je zei net al, eigenlijk begon het tiental jaar geleden met soms wel baldadigheid. Hackers die er bijna toevallig soms achter komen dat de achterdeur wagenwijd open staat. Nou, dertig jaar geleden kan ik me dat voorstellen, want toen was IT überhaupt nog niet echt een uitgespeeld vakgebied. Toen was beveiliging nog niet zo groot. Er kwam internet net opzetten. Het feit dat je er overal vanaf de wereld bij kan, was nog nieuw.

Randal Peelen:
[5:32] Mensen in die tijd kun je het vergeven. Dan kun je denken, oké, men wist niet beter. En inmiddels is er niet alleen een groot vakgebied cybersecurity. Er komt ook wetgeving aan. Die is er voor een groot deel zelfs al. Hoe kan het dan toch dat Jurrian het gevoel heeft dat heel veel data lekker zijn de laatste tijd?

Floor Terra:
[5:52] Ja, wetgeving is één ding. Maar beveiliging is gewoon lastig. En soms zijn mensen ook... Lui, ontwetend of kostenefficiënt willen ze werken. Dus ja, beveiliging kost geld. Zie je bijstand niks van terug. Er zijn allerlei redenen waarom wel eens dingen worden vergeten. Dus zelfs organisaties die het op zich best goed proberen, die vergeten wel eens wat. Of die huren een externe partij in die wel eens wat vergeet. En het kan veel beter. Ik erger me er ook over. Maar ik ben wel voorzichtig met het vingertje wijzen van hoe dit had je moeten voorkomen bij alles waar je achteraf zegt. Ja, dit had je kunnen voorkomen is makkelijk. Vooraf geen fouten maken is heel moeilijk. Dus het zou wel beter moeten gaan. En ik hoop dan ook bijvoorbeeld op toezicht van de AP. Die zegt van oké, maar we hebben nu een paar keer deze fout voorbij zien komen. De eerstvolgende die dat bijvoorbeeld soms geeft te lang bewaren en dan lekker, denk ik ja, dat is nergens voor nodig, het mocht dan niet, maar we hebben een paar waarschuwingen uitgedeeld, dit nooit meer we gaan niet dezelfde fout herhalen dat is nodig, maar dat gebeurt eigenlijk nog niet.

Jurian Ubachs:
[7:08] Dat is het cru van bijvoorbeeld de Odido situatie ik weet dat ik toen dat net gebeurde wel eens wel wat verontwaardiging had, ook omdat zij vrij sterrig niet betaalde, nou daar kunnen we het eventueel zo nog over hebben of dat wel of niet slim is, Maar Waar mensen ook terecht op wezen Was Odido is hier ook het slachtoffer Odido heeft zelf natuurlijk niks kwaadwillends gedaan Zij zijn gehackt, Maar wat je nu vertelt is natuurlijk wel De nuance daarbij Ik ben letterlijk actief klant daar Dus dat mijn gegevens zou staan Dat is nou eenmaal wel nodig Als ik hun geld moet geven elke maand, Maar er zijn ook mensen die zeggen Ik ben al vijf, zes jaar weg bij Odido Er is helemaal geen reden dat mijn gegevens zouden moeten staan En ik ben nu wel uitgehekt En dat is natuurlijk een hele andere discussie.

Floor Terra:
[7:51] Ja, ik kan het bij Odido iets wat lastiger inschatten, want ik ken hun interne processen en systemen niet. Ik ben zelf wel klant, mijn data is ook gelekt, maar ik denk dat het wel terecht is om te zeggen van nou ja, bijvoorbeeld als de AP dan Odido aan het onderzoeken is, dat hebben ze aangekondigd, zeggen van nou ja, dat is inderdaad niet goed, die bewaartermijnen zijn niet op orde. Leggen ze dat goed uit in een onderzoeksrapport deze schade had voorkomen kunnen worden deze misschien niet of misschien op een andere manier, maar de eerstvolgende waarvan we ontdekken dat het te lang wordt bewaard nu nemen we het heel serieus nooit meer doen nu weet iedereen ervan dat we daar heel streng op zijn dat zou volgens mij een goede manier zijn om, structureel dat beveiligingsniveau of in ieder geval de tolerantie voor het misschien wat laks omgaan met beveiliging, om dat niveau op te hogen.

Jurian Ubachs:
[8:50] Ik ben heel gezond. Ik denk dat er geen enkel bedrijf in Nederland of in de wereld hoeft te pretenderen dat zij niet gehackt kunnen worden. Ik zou dat ook zeker niet eens opzeggen als ik hen was. Maar je hebt natuurlijk wel controle over wat er in die kluis ligt. Als mensen je kluis willen openbreken, gaat dat ze vroeger laten waarschijnlijk lukken. Maar als daar dingen in liggen die daar niet hadden moeten liggen, dat is wel een beetje jouw probleem.

Floor Terra:
[9:14] Ja, dat is één van de problemen. Maar die is wel echt heel naar om uit te leggen. Mensen die dat niet eens wisten dat hun gegevens daar lagen, moest je opeens uitleggen van, hé, het is fout gegaan.

Jurian Ubachs:
[9:25] Maar je zegt, het zou dus dan kunnen dat de AP zegt van, nou, dit is een paar keer op deze manier gebeurd, we gaan hier nu strenger op toezien dat bij een volgende keer dat daar een straf komt. Maar je zegt ook, dat gebeurt eigenlijk niet.

Floor Terra:
[9:36] Nee, als ik een beetje kijk naar hoe de AP het toezicht houdt op dat te lekken, Want ik probeer een beetje de zowel toezicht op gemelde als niet gemelde datalekken een beetje in de gaten te houden. Dan zie ik eigenlijk dat de AP vaker handhaaft bij gemelde datalekken dan bij niet gemelde datalekken.

Jurian Ubachs:
[9:57] En hoe handhaven ze?

Floor Terra:
[9:59] Nou ja, onderzoek doen en een boete opleggen of een waarschuwing geven. Geen waar heet primanden of iets dergelijks. Maar dat de boetes die worden opgelegd naast een onderzoek bij gemelde datalekken ook hoger zijn dan wanneer ze het bij een niet gemelde datalek doen.

Randal Peelen:
[10:17] Wacht even, want je bent verplichter te melden toch?

Jurian Ubachs:
[10:19] Dit klinkt raar.

Floor Terra:
[10:22] Ja, dat vind ik ook.

Randal Peelen:
[10:24] Maar je bent verplichter te melden of je bent verplicht, dat is een feit.

Jurian Ubachs:
[10:28] Het is heel continuïtief, want meestal bijvoorbeeld bij reguliere criminaliteit, vaak als je je bijvoorbeeld jezelf meldt of je werkt mee met je onderzoek, dan leidt dat in de regel tot een minder zware straf dan wanneer je je verzet en niet meewerkt. Dus dit voelt een beetje als de omgekeerde wereld, dat als je je dadelijk niet meldt, dan wordt er minder gehandhaafd.

Floor Terra:
[10:52] En dat is voor een deel te verklaren dat de AP die heeft veel reactief toezicht gehouden. Dus als er een klacht binnenkomt, kan er onderzoek gestart worden. Als er een melding binnenkomt, gaan ze er naar kijken. Maar proactief speuren naar niet gemelde datalekken, dat is heel goed te doen, maar dat is wel lastiger. Dan gewoon wachten tot een formuliertje wat ingevuld wordt en in de database binnenkomt. Dus op zich is dat niet heel gek. En als je zegt van ja, maar we zitten al vol met meldingen die we krijgen. We gaan niet nog zelf zoeken. Ja. Dan kan je nog steeds van zaak tot zaak wel best goed handelen. Want van al die meldingen pik je de hele erge eruit om echt onderzoek te starten. En dan leg je ook een hogere boete op. Dus dat is wel te verklaren. Maar het effect op het grotere plaatje is wel dat de verplichte melding eigenlijk ontmoedigd wordt. En dus dat lerende effect van behalve dat de organisatie zelf moet leren. Maar ook dat de toezichthouder kan zeggen, we zien het nu zo vaak fout gaan met geen twee-factor-authenticatie, dit nooit meer. We gaan één keer duidelijk naar de buitenwereld uitleggen waar de grens ligt. En als je daarover gaat, gaan we de volgende keer heel streng zijn. Dat heb je niet als het melden ook nog eens wordt ontmoedigd.

Randal Peelen:
[12:19] Ja, maar je zei dat je bij de autoriteitspersoonsgegevens hebt gewerkt. In ieder geval, hoe heette het destijds?

Floor Terra:
[12:26] Het collegebescherming persoonsgegevens, het CBP.

Randal Peelen:
[12:30] En volgens mij is het niet oneerbiedig of onjuist om te zeggen dat men daar eigenlijk altijd te weinig middelen krijgt of onderbezetting heeft. Of in ieder geval, ik hoor dat vaak. Is dat ver om te zeggen?

Floor Terra:
[12:45] Ja, ze hebben nu veel meer middelen dan toen ik er werkte. Maar het is nog steeds te weinig. dan is het denk ik ook wel goed om te kijken naar wat is dan de output vergeleken met vroeger. Als je ziet... Ze doen ook veel meer niet-onderzoeksachtige toezichtstaken. Maar de onderzoeksoutput is naar beneden gegaan... terwijl de capaciteit is toegenomen. Dus er zit ook wel een stukje efficiency in. Je kan er op meerdere manieren naar kijken. Maar ze hebben nog steeds, zoals als je dat voor lief neemt... ze hebben nog steeds meer budget, meer mensen nodig. Want het werkveld is echt gigantisch.

Randal Peelen:
[13:34] Ja, en ik denk ook dat dat groter wordt, want we kunnen de discussie nog eens

Randal Peelen:
[13:40] aanhalen van zijn er nou meer datalekken of komen ze meer in het nieuws? Ik denk al met al dat het wel allebei is natuurlijk. Het is inmiddels ook een crimineel verdienmodel. Dus er zijn ook wel meer mensen echt op zoek naar data. Zowel om te gijzelen als om allerlei andere soorten cybercrime mee uit te halen natuurlijk.

Floor Terra:
[14:01] Ja, maar wat ik belangrijker vind is dat er te weinig wordt geleerd van elkaars fouten. En er wordt nog teveel, ongeveer een beetje, organisaties doen hun best wel, maar er wordt nooit gezegd, net als in de vliegtuigindustrie, één iemand heeft die fout gemaakt, dat onderzoeken we, we publiceren het. Nu hebben we een proces zodat niemand meer die fout mag maken. Misschien een beetje ambitieus, maar iets in die richting is wel nodig.

Randal Peelen:
[14:26] Hoe zouden we dat aan moeten pakken?

Floor Terra:
[14:29] Ik denk dat de AP ten eerste meer moet gaan focussen op niet gemelde datalekken dan wel gemelden. Om die ontmoediging weg te halen. En dan vervolgens uit die datalekken niet zozeer. Er zijn zoveel klachten over Odido binnengekomen. We gaan Odido onderzoeken. Maar misschien zeggen we zien bij Odido licht onderzoek gedaan. ...van dit zijn de fouten die zijn gemaakt. Bijvoorbeeld, ik weet het niet zeker of het klopt... ...maar bewaartermijn en twee-factor-authenticatie... ...op de interne medewerkers toegang... Wij leggen uit, nou jullie hebben gezien, de gevolgen zijn heel groot. Dit is nu de bedoeling. Volgens de AVG is dit onrechtmatig. De volgende keer dat we dat bij iemand zien. We hebben nu duidelijk de norm gelegd van dit mag niet. We gaan er ook op handhaven. En dan kan je ook heel snel doorpakken. Want de AVG is best wel vaag. Die zegt eigenlijk, je moet passende technische en organisatorische maatregelen nemen. Succes, wat is passend?

Randal Peelen:
[15:38] Ja, dat verschilt ook elk jaar weer.

Floor Terra:
[15:39] Ja, maar als je voorbeelden pakt en zegt, wij hebben hier onderzoek gedaan. Dit is nu de norm, specifiek ingevuld voor die situatie. En je pakt de juiste voorbeelden die te vertalen zijn naar heel veel andere plekken. Dan kan je die norm concretiseren. En dan kan je er vervolgens veel makkelijker op handhaven.

Jurian Ubachs:
[15:57] Maar dat zit ik ook aan te denken inderdaad. Als je gaat kijken van, je maakt zelf een vergelijking met de vliegtuigindustrie. Dat kan gaan om een bepaald muurtje waar een productiefhoud in zit. Alle toestellen die dat muurtje hebben worden aan de grond gehouden. Dat ding wordt vervangen, nieuwe test en die dingen gaan weer vliegen. En je hebt het opgelost tussen aanhalingstekens. Die standaardisering die is niet. Elk bedrijf verdiept zich op een bepaalde manier in. Grotere bedrijven hebben een afdeling ervoor die zich bedrukt maken over de veiligheid. En inderdaad, dan krijg je een stuk software door je strot geduwt van je werkgever dat je moet draaien als je contact maakt met de systemen van je werk. Maar elk bedrijf doet dat een beetje op zijn eigen manier inderdaad. En het zou denk ik goed zijn als je dat ook misschien wettelijk zelfs wel kunt gaan bekrachtigeren, handhaven. Ik zie Randall moeilijk kijken.

Randal Peelen:
[16:43] Ja, daar zit hem in die passende oplossingen.

Jurian Ubachs:
[16:45] Het is zo, de vaagheid, Ik snap dat het lekker is, want als je hierover gaat steggelen, wat moet er dan vereist worden? Dan springen er 150 cybersecurity experts op die allemaal het juiste antwoord hebben. En die dan met elkaar moeten gaan kijken. Als ik daar een soort van tv-show van maak, als ze met z'n allen op een eiland zetten. En nou goed, in ieder geval, sorry, mijn brein gaat soms een rare kant op. Maar de discussie niet voeren is wel heel makkelijk. Je moet passende regels, en dan kun je ook zeggen, ja, er waren geen passende regels, want je data is gelekt. Ja, ik weet het niet. Het frustreert me dat we dit al zo lang zien. Het gaat al zo lang mis. En toch is er niet een instantie die zegt van... jongens, luister, het is nu al eens een keer mooi geweest met al die uitgelijke data... Dit is de lijst, dit moet je doen als jij persoonsdata hebt. En anders straight to jail. Misschien dat niet, maar...

Floor Terra:
[17:39] Als je het hebt over standaarden en je zet genoeg nerds om tafel... Dan worden ze het hopelijk misschien een beetje eens. Mijn uitleg over allerlei ISO-normen en zo is meestal van... er zijn een hoop experts bij elkaar. En wat eruit komt, is de set regels waar in ieder geval... niemand het mee eens is. Dus een soort ondergrens. Dat is hartstikke waardevol. En ik denk dat het voor beveiliging ook wel wat meer kan. En meer concreet kan. In plaats van dat er staat, je moet patchbeleid hebben. En gewoon, nee, je moet niet langer dan een week ongepatcht laten. Want anders dan, plus misschien ruimte voor uitzonderingen. Maar je kan wel een redelijk duidelijke ondergrens. En ik denk dat zelfs een week niet patchen tegenwoordig al onredelijk lang is. Als ik wat meer adviezen zie van eigenlijk is dagen, zeg maar, al te lang.

Jurian Ubachs:
[18:34] Ik heb vandaag nog op restart later geklikt met mijn laptop omdat ik geen zin had.

Randal Peelen:
[18:38] Kneiterlijp, dat bezieltje. Overigens, ik had dus laatst weer eens Windows gebruikt. En die ging gewoon lekker toch rebooten op een gegeven moment. Toen vond hij het wel best. Nee, er is nu een reboot gegaan. Nee, was wel.

Jurian Ubachs:
[18:52] Hij zegt, maar weet je hoeveel aanvallers er voor de deur staan?

Randal Peelen:
[18:54] Ja, dat zou je niet moeten willen.

Floor Terra:
[18:56] Heel irritant, maar ik ben er heel blij mee.

Jurian Ubachs:
[18:59] Ja, maar die ondergrens is goed. Ik zat ook inderdaad na te denken van misschien kan je een soort van groen, geel, rood. Dat je gewoon drie bepaalde sets hebt qua eisen die je gewoon up-to-date houdt ook. En dat groen, nou dat update je het vaakst. Het zijn gewoon de nieuwste definitie. En rood is een bepaalde ondergrens dat je inderdaad zegt van nou zorg dat je in ieder geval al je medewerkers toeverkende authentication en updates niet langer dan een week laat liggen bij iedereen. zie je erop toe. Dit moet haalbaar zijn. Dit moet kunnen.

Floor Terra:
[19:30] Ik denk ook dat het kan, maar dat de gevolgen van het niet doen nog te klein zijn.

Randal Peelen:
[19:36] Ik was laatst een boek aan het lezen, want ik werk bij de internet provider Freedom. Die is in de voetsporen getreden eigenlijk van Access for All. En er is een boek geschreven over Access for All. Dat begon eigenlijk over de hackerscene in Amsterdam. En dan hebben we het over de Rob Gronngrijps en de Marleen Stickers en de Felipe Rodriguez. En nog een heel lijstje namen, wat ik niet allemaal uit mijn hoofd weet. Maar daar is eigenlijk een frustratie geboren dat een aantal slimme hackers er toen achterkwam dat de meeste voordeur op internet gewoon wagenlijd open stonden. Als je een beetje om je heen ging en je zag een server, een IP-adres en je ging eens op wat poorten proberen naar binnen te komen, dan kwam dat eigenlijk vaak vanzelf wel goed. Hacker was toen heel makkelijk. Uit een soort van schrikreactie zijn ze uiteindelijk op een gegeven moment zelf een internetprovider begonnen. En denken nou dat moeten wij in ieder geval goed op orde hebben. En op het moment dat we gehackt worden moet die data geminimaliseerd zijn. Nou die internetprovider XROL is heel lang de beste provider geweest. Best wel bekende naam geworden. Een soort van instituut in de internetgeschiedenis. En mensen die daar hebben gewerkt. En die dan nu zo'n nieuwsbericht over Odido lezen. Mind you, ik zit er nog pas twee jaar. Dus ik ben niet van die oude garde maak.

Jurian Ubachs:
[20:55] Een jaar alweer?

Randal Peelen:
[20:55] Ja, bijna.

Jurian Ubachs:
[20:56] Klein vlees.

Randal Peelen:
[20:57] En die zeggen eigenlijk allemaal. Kijk, wij gaan er vanuit dat we een keer gehackt gaan worden. Want het is natuurlijk best wel leuk. Als je die privacyvriendelijke provider gehackt hebt. En je hebt dan gekeken onder de motorkap. Wat zit daar allemaal voor data? Nou, ik kan je vertellen. Tot irritans aan toe, die data echt...

Randal Peelen:
[21:19] Nou ja, ik vind het soms zelfs snel verwijderd wordt. Je kunt namelijk best wel aan het breken. Als jij onder de telecomwet valt, kun je zeggen... nou, ik moet met name een toenaam, geboortedat... en weten wie mijn klant is. En nou, ik moet ook aan de belastingdienst voldoen. Dus ik bewaar al die gegevens vijf jaar. Je kunt het heel makkelijk rechtlullen... als je heel veel dingen heel lang bewaart. Het wordt moeilijker als je rechtlult dat je shit verwijderd. Want het is werk, het is gedoe. Op een dag wil je statistieken draaien. Hoeveel klanten hadden we toen? Weet je niet, je hebt verwijderd. Weet je wel, dat soort dingen worden wel echt ontzettend lastig. Dus ik begrijp ook heel goed dat het helemaal niet leuk is om data te verwijderen. Wat ik alleen niet snap, is dat je eigenlijk elk bedrijf een keer moet hacken voordat iedereen daadwerkelijk wakker is. Want volgens mij zet je je fiets beter op slot als die keer gejat is. Volgens mij heb je je deur prima op slot als er een keer bij jou is ingebroken. Of heb je dan camera's aangesloten. Weet je wel. Als het kalverdronken is. Dan ben de put. Dit is ongeveer.

Randal Peelen:
[22:24] Wat er volgens mij ook moet gebeuren. Moeten we niet gewoon een landelijke actie. Niet alle het responsible disclosures doen. Elk bedrijf hacken en melden. Er is iets leks. Nee. Wat je als burger moet doen. Jouw burgerplicht is elk bedrijf. In Nederland gewoon een keer hacken. Al die data op straat gooien. En dan zeg je nou. Nu heeft iedereen zijn lesje geleerd. En vervolgens. Heeft iedereen zijn cyber security op orde. Ik weet het bijna zeker. Dus waterdicht plan. Ik denk dat dit werkt.

Jurian Ubachs:
[22:49] Hoe moet ik hacken?

Randal Peelen:
[22:51] Nou, dan installeer je crowdcode. En dan zeg je, hack mijn werkgever. Maak geen fouten.

Jurian Ubachs:
[22:58] Ja, oh ja.

Randal Peelen:
[22:59] Dat moeten we wel bij.

Jurian Ubachs:
[23:00] Skip permissions.

Randal Peelen:
[23:00] Ja, precies.

Floor Terra:
[23:02] Ja, het is ook een beetje een kwestie van hoe communiceer je nou? Je wilt eigenlijk een veiligheidscultuur creëren. En... Ik zie sommige organisaties, sommige mensen ervan leren. Oeps, het is fout gegaan, dat nooit meer. Maar ik zie ook op best wel veel plekken dat men verkeerde lessen trekt. Dus bijvoorbeeld, hoe houden we het de volgende keer beter klein en stil? Of eigenlijk, we zijn er redelijk goedkoop mee weggekomen. Prima, doen we het de volgende keer net zo.

Randal Peelen:
[23:34] Ja.

Floor Terra:
[23:36] Er zit ook wel een verschil tussen wie heeft er nou last van zo'n hack. Als een bedrijf wordt gehackt, dan heeft dat reputatieschade. Maar een groot risico ligt bij de klanten. En dat is het lastige van dit soort vragen. Er worden heel veel risico's geaccepteerd. Maar dan accepteert een organisatie de risico's van de klanten of van de burgers. Dat maakt het een hele scheeve afweging soms. Want niet iedereen heeft ook het inlevingsvermogen om zich in te leven in klanten, leveranciers, ketenpartners.

Jurian Ubachs:
[24:15] Ja, het is wat je zegt, het is ook scheef. Want op een bepaalde manier, ik maakte het net al de vergelijking met een kluis. Maar tegenwoordig ligt er niet meer fysiek geld van ons opgeslagen in een bank. Maar stel dat dat wel zo zou zijn, dan ben je in ieder geval, ik weet even niet hoe het nu is. Volgens mij ben je tot 100.000 euro verzekerd door de Nederlandse bank bij je bank. Toen met die failliet gaande banken. Wat was het? Ice Save of zo. Dan werd het tot een ton. Was je dan in ieder geval nog wel verzekerd geloof ik. Ja, dus ik zou eigenlijk beter dat de Rabobank gehackt wordt. En dat mijn geld daar gehandeld wordt. Zodat ik het weer terug krijg van de nation. Want gegevens zijn niet echt te verzekeren. Het feit dat ik sinds de Odido hack met grote regelmaat spamcalls krijg. Omdat mijn telefoonnummer daarmee naar buiten gekomen is. Ja, daar kan ik dus inderdaad niks tegen doen. en al het risico is voor mij.

Floor Terra:
[25:04] Ja, en dat is ook een beetje mijn frustratie aan reacties die ik zie na grote hacks. Ik zie achteraf heel veel wensen om, kunnen we dit dan niet de schade beperken of terugdraaien of mensen een nieuwe BSN geven of, de realiteit is, het is fout gaan je kan het niet meer terugdraaien, je moet het gewoon accepteren en zorgen dat de volgende keer die fout niet gemaakt wordt. Alleen, dat laatste... Dat vraagt om continu aandacht. En ik hoor bijna niemand zeggen van. Het is hartstikke stom dat die ene website waar ik een account heb. Geen twee factor authenticatie ondersteunt. Meer mensen klagen over de stomme app die ik nodig heb om in te loggen.

Randal Peelen:
[25:52] Ja, ik kom er niet in.

Floor Terra:
[25:53] En ik snap het ook wel. Maar omdat vooraf niemand vraagt om investeer meer in beveiliging. En achteraf alleen maar klaagt over van ja had dit maar nooit gebeurd, dan kom je er ook niet. Dus ik denk dat juist meer investeren in transparantie over oeps het is fout gegaan en niet alleen, een soort vaag bericht over nou de wachtwoorden zijn in ieder geval niet gestolen en we laten even in het midden of we de logs wel hebben bekeken maar we hebben niet gezien dat er iets is gestolen. Dat soort opmerkingen daar moeten we aan voorbij gaan. En gewoon structureel goede transparantie. Wat was de oorzaak? Wat is er nou echt getroffen? Wat weet je zeker dat er getroffen is? En waar twijfel je nog over? Want die moet je ook accepteren. Maar je moet er wel transparant over zijn, vind ik. Dan pas leer je ervan.

Jurian Ubachs:
[26:49] Ja. Dan zit zo'n bedrijf natuurlijk in zo'n situatie dat er een bepaalde hack is. Een hackergroepering meldt zich vaak en dan gaat het vaak om ransom.

Jurian Ubachs:
[26:58] Ze willen geld zien. Daar is natuurlijk ook met de olie, daar heb ik me eigenlijk elke keer als er zoiets gebeurd, is daar veel discussie over. Een heleboel mensen zeggen, ze moeten sowieso nooit betalen, we moeten niet onderhandelen met criminelen. Hoe kijk jij daarnaar?

Floor Terra:
[27:11] Ik denk dat het belangrijkste is dat ik niemand die gegijzeld wordt en eigenlijk per definitie geen vrijwillige keuze kan maken, want dat is het hele idee achter afpersing of gijzeling, geen persoonlijk verwijt. Je hebt geen vrije keuze, je bent onder druk gezet, dus welke keuze je ook maakt, prima. Ja. Ik maak me wel zorgen over mogelijke gevolgen. Ik vat het meestal samen als... Los geld betalen is eigenlijk... Criminelen betalen om jou met rust te laten... En meer slachtoffer ergens anders te gaan maken. En dat kan een keuze zijn. Ik weet niet... Ik denk dat als je het hele verhaal vertelt... Zal ik hem nu vertellen... Dat is de balans die je verschuift. Ik denk dat het maatschappelijk geen goede keuze is. Maar individueel heb je niet altijd een vrije keuze. Dus die is lastig. Maar ja, het is ook heel makkelijk om te zeggen, je moet gewoon niet betalen. Ik denk, ja, vanaf de zijlijn roepen, dat heeft geen zin.

Jurian Ubachs:
[28:27] Op je eigen site, ik weet niet of je het ook ergens anders hebt gepubliceerd, heb je ook een artikel geschreven over dat dit soort ransomgroeperingen over het algemeen te vertrouwend zijn tussen aanhalingstekens. Ik zie je, weet je, dat ligt iets genuanceerder dan dat ik het wellicht nu zeg.

Floor Terra:
[28:42] Nou, ik heb vooral een kop gekozen voor een artikel die eigenlijk lijnrecht staat op wat ik zelf denk, omdat ik juist hoor van, nee, maar ransomware criminelen kan je vertrouwen. En ik denk, nou, wat is dat voor rare opmerking? Hoezo kan je die vertrouwen?

Jurian Ubachs:
[28:58] Ah, een prikkelende kop.

Floor Terra:
[28:59] Een prikkelende kop. Ik ben er eigenlijk achteraf niet zo blij. Ik had hem anders moeten opschrijven.

Jurian Ubachs:
[29:05] Het zorgt wel dat ik er nu over begin. Missie volbracht.

Floor Terra:
[29:09] Wat dat betreft wel nuttig. Wat ik zie van mensen om me heen. Sommigen ook wel regelmatig onderhandelen met ransomware criminelen. Of bedrijven helpen om de rotzooi op te ruimen. Die zeggen eigenlijk vrijwel altijd. Als je betaalt dan publiceren de criminelen de data niet. Dat wordt nog wel eens vertaald in...

Randal Peelen:
[29:35] Je kunt beter wel betalen.

Floor Terra:
[29:37] Nou, even los van die conclusie. Maar in welke... Of je kan die criminelen dus vertrouwen. Het punt wat ik wilde maken is van ja, misschien hebben ze de baat bij om de indruk te wekken dat ze vertrouwen zijn, maar er zijn nog zoveel manieren waarop het ongezien ook mis kan gaan. Bijvoorbeeld, alle wachtwoorden die inderdaad daar staan, die worden nog wel even apart gehouden en niet gepubliceerd, maar verder gebruikt voor inbraken. Of het is een Russische hackersgroepering en de Russische inlichtingendienst kijkt ook even mee. En die gaan niet die hele dataset misbruiken, maar misschien zijn er drie mensen die opeens van het balkon afvallen. Dat zie je niet. Als je aan de buitenkant ziet, alleen maar kijkt van we hebben op de dark web gekeken en die data staat er niet in een grote bulk. Prima. Dat stukje geloof ik wel. Ik wil nog niet zeggen dat ik vind dat je er ook blind op mag vertrouwen dat het zo is. Je mag niet als garantie, ja ga maar eens terug naar de criminelen voor een garantie. Je hebt het toch gepubliceerd. Ik wil mijn geld terug of zo.

Jurian Ubachs:
[30:45] De garantie is misschien niet gehoord, maar ik heb er zelfs verhalen gehoord. Dat zij dus best wel een goede customer care afdeling hebben. Omdat zij er ook gebaat bij zijn. Dat inderdaad op het moment dat ze een bepaalde naam hebben hoog gehouden. Dat ze zeggen, als Rand als bedrijf getroffen is en hij heeft betaald. Ja, dan weet ik dat misschien wel. En als ik dan getroffen heb, dan denk ik van ja, hij heeft ook betaald. En dat ging helemaal goed. Zij hebben natuurlijk een incentive om een bepaalde reputatie op te bouwen. Zo van, joh, als je betaalt. Niet alleen krijg je je data terug, maar we publiceren niet. Eventueel gelokte data, die helpen we je unlocken. En dan kan iedereen weer verder met zijn leven, tot ze het nog een keer proberen natuurlijk.

Floor Terra:
[31:18] Maar dat is een reputatie die wel... Er zijn best veel dingen die ze kunnen doen, die criminelen, die die reputatie niet schaden, omdat niemand erachter komt.

Jurian Ubachs:
[31:29] De voorbeelden, jij zei, een inlichtingendienst die meekijkt of toch inderdaad op individuele basis wat personen wat nader uitlichten, dat soort dingen.

Floor Terra:
[31:37] Bijvoorbeeld, ja.

Randal Peelen:
[31:41] Hey, Maarten hier. Je weet wel, voormalig panellid en nu editor van deze podcast. Ik maak even een moment voor de eerste sponsor van deze week. Dat is Vodafone True Unlimited. Ik ben net ook van vakantie en probeerde kort voor vertrek, zeg maar net te laat bij de gate, nog de nodige podcast binnen te hengelen. Dat bleek makkelijker gezegd en gedaan. Ik heb nog nooit zo lang zitten staren naar een nauwelijksvorderende download en ging uiteindelijk zonder audio de lucht in. Het zijn die momenten dat je realiseert hoe fijn, goed en snel internet is. En precies daarom is er Vodafone True Unlimited. Alleen bij Vodafone krijg je op alle Unlimited abonnementen, dus start, plus en max, de maximale snelheid van het netwerk. Dat is tot 1 gb per seconde. Ook op het goedkoopste abonnement. Gewoon, altijd, snel. Check Vodafone.nl slash Unlimited voor alle abonnementen of loop even de winkel in. Vodafone.nl slash Unlimited of klik natuurlijk op de link in de show notes. En dan nu een moment voor de adverteerder van deze aflevering. E.Y. Want, Jurrian.

Jurian Ubachs:
[32:49] Ja.

Randal Peelen:
[32:50] We hebben het vaak over welke taken inmiddels goed en niet zo goed door een AI kunnen worden uitgevoerd.

Jurian Ubachs:
[32:55] Alles.

Randal Peelen:
[32:55] En wat je allemaal nog vaak liever met de hand kunt doen. En heel eerlijk, hoewel deze podcast soms een beetje voelt als werk, doen we nog pittig veel wel met de hand.

Jurian Ubachs:
[33:05] Hoeveel heb je er met de hand? Laten we daar even heel eerlijk over zijn.

Randal Peelen:
[33:07] Wel een deel van het werk.

Jurian Ubachs:
[33:10] Zet je computer aan met de hand elke dag.

Randal Peelen:
[33:12] Zeker. Ik hou hem open.

Jurian Ubachs:
[33:13] Ik herken dat natuurlijk wel. En bij EY is dat anders. Die zitten als marktleider echt vooraan als het gaat om AI. En dan niet als een innovatieprojectje ergens in een hoekje, maar structureel. Je krijgt er de ruimte om jezelf hierin te ontwikkelen en grenzen te verleggen.

Randal Peelen:
[33:29] Precies, dus in plaats van dat jij handmatig data zit te kopiëren tussen systemen, neemt AI het repetitieve werk over. En dan kun jij je focussen op waar het spannend wordt. De complexe vraagstukken, het echte advieswerk, menselijke connecties opbouwen.

Jurian Ubachs:
[33:42] Ja, en wat ik er sterk aan vind, bij EY draait de hele AI-discussie niet om doen denken, maar om hoe jij als professional relevant blijft. Daarom investeren ze ook in je persoonlijke skills.

Randal Peelen:
[33:54] Precies, en het mooie is, je hoeft nog helemaal geen AI-expert te zijn. Zolang je nieuwsgierig bent, krijg je alle ruimte om te leren en te experimenteren. En eigenlijk precies zoals wij hier dat elke week doen, maar dan krijg je ook nog voor betaald.

Jurian Ubachs:
[34:08] Ja, ik wil het eigenlijk niet zeggen. Maar dat klinkt misschien als een nog betere deal dan onze podcast. Master the future of AI and unlock your full potential at EY. Shape your future with confidence. In prachtig Engels.

Randal Peelen:
[34:21] Dat was bijzonder prachtig Engels.

Jurian Ubachs:
[34:23] Ja toch, dank je.

Randal Peelen:
[34:23] Ja, heerlijk. Benieuwd hoe jij relevant kunt blijven en impact kunt maken met AI? Check ervaringsverhalen en case studies op. Kom werken bij ey.nl slash AI. En als je dat niet in één keer goed kunt typen... Dan staat de link ook in de show notes. Ik had net de gekke gedachte dat als jij zo'n crimineel bent en je hebt een database buitgemaakt. Iemand betaalt jou om niet te publiceren. Ja, wil niet zeggen dat ik hem nu braaf gewijder zeg maar. Ik heb mijn dataminimalisatie die op hoort. Ik ben een crimineel. Eigenlijk zijn die criminele bandes de volgende goudmijn. Als ik hen nou weet te hacken, dan heb ik al die lekken die niet gepubliceerd zijn alsnog binnen.

Jurian Ubachs:
[35:06] En dan beeld de AP. Ja, sorry. We zien dat jullie gegevens hebben bewaard langer dan twee jaar. Boete.

Floor Terra:
[35:11] Die criminelen hebben ook een meldplicht onder de AVG waarschijnlijk. Een terrorie wel. Nederlandse data of Europese data.

Randal Peelen:
[35:17] Dat ze gemiddeld genomen niet uit Nederland komen.

Jurian Ubachs:
[35:19] Lijkt me echt mooi dat Shiny hint is gemiddeld bij de AP. Ja, we zijn dus gehackt. In principe zijn alle gegevens nu geleerd. Alle.

Randal Peelen:
[35:25] Precies.

Jurian Ubachs:
[35:26] Ook. Allemaal. Jou ook.

Randal Peelen:
[35:28] Ja, precies.

Floor Terra:
[35:30] Ja, dat is heel lastig. En ik geloof ook wel dat de meeste ransomware groepen in ieder geval niet bewust proberen dat vertrouwen te beschadigen. Maar een van de lastige dingen van ransomware groepen is, ze hebben ook niet gewoon een kantoor en een KFK-inschrijving. Ze kunnen morgen ook gewoon een andere naam hebben. En dus reputatie is ook, ja het is veel waard, maar het is ook wel heel makkelijk om daar flexibel in te zijn. Um... Dus ik vind in ieder geval niet dat je er blind in mag vertrouwen. Ik heb daar de AP ook wel op aangesproken, ook via een paar interviews waarin ik hier uitleg over geef. Wat het vervelende is, is op het moment dat je zegt losgeld betalen is waarschijnlijk effectief, dat losgeld betalen een verplichting kan zijn onder de AVG.

Randal Peelen:
[36:28] Oh ja, je moet effectieve maatregelen nemen.

Floor Terra:
[36:32] Je moet een effectieve maatregel nemen. En als het een effectieve maatregel is, kan je een boete krijgen voor het niet betalen van losgeld.

Randal Peelen:
[36:39] Ja, dan neemt iedereen gewoon een verzekering op het losgeld en dan hebben we het gefixt.

Floor Terra:
[36:43] Ja, en dat was dus de reden dat ik dit ook in wat nieuwsberichten heb aangekaart met een mededeling. De AP zou eigenlijk moeten zeggen of moeten concluderen. Ik ben het er inhoudelijk mee eens. Het is niet alleen vanwege dit doel. Je mag er niet op vertrouwen dat die criminelen die je losgeld betaalt te vertrouwen zijn. Je kan best een risico-inschatting maken, maar het is niet van een dusdanig niveau dat je het als verplichting onder de AVG kan zien om losgeld te betalen. Want anders kom je in een hele rare situatie terug. En dat heeft de AP ook gewoon heel duidelijk uitgelegd op een website.

Floor Terra:
[37:22] Ja, inderdaad, je mag er niet van uitgaan dat het betrouwbaar is.

Randal Peelen:
[37:27] Nee, want anders kunnen al die losgeld eisen ook wel weer keer drie. Want je moet toch betalen. Let's go.

Jurian Ubachs:
[37:35] Vaak lees je bijvoorbeeld in de media ook wel bedragen. Die worden soms gewoon genoemd door de hekkersroperingen. Volgens mij ging er rond met de odieduik. Een belachelijk relatief laag bedrag rondvan. Vijf ton op een gegeven moment zelfs.

Randal Peelen:
[37:48] Dat is wat er is geroepen.

Jurian Ubachs:
[37:50] Wat er is geroepen, ja. Ik vraag me altijd af. Daar zit natuurlijk ook... Daar is natuurlijk ook een informatieoorlog aan op dat moment. De hackersroepering is er veel aan gelegen. Dat er een bepaalde druk ontstaat op de gehackte bedrijven. Om maar te gaan betalen. Hoe zie jij die rol van de media? En wat zou daar beter in kunnen?

Floor Terra:
[38:12] Ik denk dat het niet alleen bij losgeld zo is, maar ik denk dat veel journalisten, zeker degenen die net wat minder lang in het vak zitten, als die zo'n bericht van criminelen zien, of soms zijn het ook beveiligingsonderzoekers van ik heb een hele spectaculaire hek bedacht, zeg maar. Maar soms is het wel heel verleidelijk om te zeggen, oh dat klinkt spectaculair, ik schrijf er een artikeltje over. Ik merk dat, denk ik, op sommige plekken wordt daar steeds beter over nagedacht. Maar het is nog steeds wel heel effectief om gewoon te zeggen, grote bulk data gejat bij dit bedrijf. Nou dan publiceren er zeker wel een paar grote mediaorganisaties. Organisaties publiceren erover.

Jurian Ubachs:
[38:54] Is natuurlijk ook nieuws. Ik bedoel, op het moment dat er bij 6 miljoen mensen tegelijkertijd ingebroken zou worden, dan haalt dat ook de headlines wel. Nou, echt heel knap zijn trouwens.

Floor Terra:
[39:04] Ik heb grotere heks gezien die niet de headlines hebben gehaald. Maar het is ook nieuws. Ik zeg niet dat het slecht is om erover te publiceren. Ik vind soms wel dat er net iets te weinig kritiek is op wat is te verifiëren, wat klopt wel en niet. Dus het is ook wel heel makkelijk om als hackersgroep te zeggen... Dit en dat is gehackt.

Jurian Ubachs:
[39:30] Hoe zou je dat kunnen verifiëren?

Floor Terra:
[39:32] Lastig.

Jurian Ubachs:
[39:33] De hackersgroep is natuurlijk open naar buiten toe. In die zin is het in hun belang dat het op straat komt te liggen. De getroffen partijen. Heeft het exact terroofstel. Ze hadden waarschijnlijk zo min mogelijk of helemaal niets over willen zeggen. Tot ze zelf in ieder geval een beeld hebben. Bij wat er nou aan de hand had. Wat je zelf al aangaf eerder. Ze weten vaak zelf ook helemaal niet zeker. Wat er nou precies gestolen is. En al dat soort dingen. Het is een ongelooflijk moeilijke situatie. Als je dan door een nieuwsredacteur van Tweakers gebeld hebt. Van hoi, wij krijgen dit en dit door. Ja, hier hebben we niets over te melden.

Floor Terra:
[40:01] Ja, nou ja, of de organisatie of het bedrijf zegt van, nou ja, wij weten in ieder geval dat dit en dit gehackt is, maar wachtwoorden waarschijnlijk niet. En de hacker zegt, oh, we hebben gewoon een lijstje wachtwoorden staan. Het hoeft niet eens een doofpot of een poging daartoe te zijn. Dat kan ook gewoon zijn dat ze de logs nog niet goed hebben doorgehoord. Dat zie je toch vaak.

Jurian Ubachs:
[40:23] Want nu ook weer met, volgens mij met Chipsoft, die in eerste instantie zeiden van, ja, nee, Nee, er zaten geen klantgegevens bij. En nu, oh ja, er zaten toch wel klantgegevens bij.

Randal Peelen:
[40:33] Ja, en daartussen, het is niet uit te sluiten dat het er wel bij zit.

Jurian Ubachs:
[40:37] Nee, maar dat is natuurlijk ontzettend... Het doet heel veel vertrouwen afbreken. Want op het moment dat jij zegt al, jij roept al een paar keer meer transparantie. Terwijl het kan zo simpel zijn als dat zij in eerste instantie gewoon oprecht hadden. En hebben gedacht van, oh nee, dat is geen klantgegevens. En later, nou na de ontzettende, oh kut, dat is wel. Het kan te goede trouw zijn. Er zijn niet dit soort gegevens. Maar het is ook moeilijk om daar goed over te berichten. Als je het niet helemaal zeker weet allemaal.

Floor Terra:
[41:06] En ik denk dat de truc daar is.

Floor Terra:
[41:12] Mensen over het algemeen zijn heel slecht om met onzekerheid om te gaan. Wat ik meestal probeer uit te leggen is. Je bent gehackt. Ga er vanuit dat alles misschien gehackt is. En... En dan is het al lastig genoeg omdat je eigenlijk vaak niet eens weet wat alles precies is, wat je in huis hebt. Maar vervolgens ga je daarin filteren en gaat zeggen, oké, we hebben in de lochs gezien dat dit in ieder geval gestolen is. Of dat dit in ieder geval gewist is. En van sommige dingen kun je ook aardig aantonen, maar dat is veel lastiger. Oké, we weten zeker dat hier niemand aangekomen is. Maar dat grijze gebied van ik weet het niet zeker is vaak het grootst. En die onzekerheid blijft. En dat is in de communicatie heel belangrijk, omdat je, zeg maar, een van de grootste communicatiefouten die je kan maken is zeggen, oh nee, maar het valt allemaal wel mee, er is niks gestolen. En dan vervolgens komt uit dat er toch wachtwoorden of hesjes van wachtwoorden en bankrekeningnummers en dat soort dingen ook gestolen zijn. Dan ben je je vertrouwen kwijt. Je kan, denk ik, over het algemeen, dat is wel heel lastig om daar garanties op te geven, maar op het algemeen beter zeggen, we weten het niet, we zijn het uitzoeken, zodat je in ieder geval niet hoeft te draaien als je ongelijk blijft te hebben. Maar dan moet je het ook wel goed uitzoeken. Dan kom je ook niet weg met, ja, we hebben met een half oog naar de logs gekeken en we hebben niet gezien dat het fout is gegaan.

Randal Peelen:
[42:41] Hm.

Randal Peelen:
[42:43] Als mensen hiernaar zitten te luisteren, dan zijn ze afgerond waarschijnlijk nerd. Dus het kan wel eens zijn dat dat de mensen zijn in een bedrijf die denken, nee, wij hebben dit eigenlijk beter bekeken. Hoe gaan zij hun management overtuigen dat dit meer aandacht nodig heeft? Want ik zie inderdaad twee stromingen. Enerzijds de beveiliging aan zich, waarvan ik denk, ja, er is een bepaalde ondergrens, maar daarboven ben je niet per se veilig. Ik zie ook de neiging soms om dat dan af te schuiven. Inderdaad, op leveranciers. Het woord is al gevallen. Ik heb een mailprovider. Die is gehackt. Ik kreeg op een gegeven moment een nieuwsbrief over. Het verhaal bij Odido. Die zeiden, dit had net zo goed het Salesforce hack kunnen zijn. Want Salesforce is systeemwaars ingebroken. Dan hoor je daarna weer. Ja, maar Salesforce had hiervoor gewaarschuwd. Dus dan zijn ze eigenlijk weer niet. Het gaat zomaar door. Tegelijkertijd ook dat stuk dataminimalisatie noem ik het allemaal even van zorg dat er zo min mogelijk in die kluis ligt en, Op zich de boeken zijn geschreven, de voorbeelden bestaan, de wetgeving omvat een boel, de AP kijkt al mee. Dit kan geen moeilijke wedstrijd zijn natuurlijk intern en toch voelt iedereen op z'n klomp aan, ja, waarschijnlijk wel. Kost tijd, kost geld, kost middelen.

Floor Terra:
[44:07] Het is een hele belangrijke vraag en het is een vraag waar ik eigenlijk niet zo heel veel mee heb hoeven oefenen. Mijn vorige baan kwam ik aanzetten met een eventuele boete, zeg maar. Ik overdrijf een beetje, maar dan hoef ik niks uit te leggen. Dan moet worden gehandhaafd. En dan heb je ook wel het voordeel dat je bij de partijen aankomt die waarschijnlijk, tenminste, daar leg je meestal de meeste prioriteit, die het ook niet eens goed willen doen. Die hebben handhaving nodig. Dus daar hoef ik niks uit te leggen. Dan moet ik goed onderzoek doen, aantonen dat de wet is overtreden. En dan, nou, dat is niet de situatie waar de meeste mensen wat aan hebben. En nu zit ik in de luxe positie dat het meestal de klanten zijn die op me afkomen van wij willen het beter doen. Dus ik heb eigenlijk het geluk dat ik deze lastige vraag nooit heb hoeven beantwoorden. Want ik kan best uitleggen over, ja, dit zijn allemaal wettelijke verplichtingen, zo werkt dat. Ik word wel gevraagd vaak om bijvoorbeeld te kijken naar, deze leverancier zegt dat ze superveilig zijn. Klopt dat wel, weet je me, wat ze beloven met wat ze in de praktijk waarmaken? Dus dan helpen we de klant om de leverancier erop aan te spreken. Dat zijn toch wel wat andere soort gesprekken. Dat je kan hebben. Als het intern je eigen management is. Waarvan je zegt. Ja jullie gaan er iets te makkelijk mee om.

Randal Peelen:
[45:30] Ja maar zonder direct een reclame praatje van te maken. Maar wat je eigenlijk zegt. Dus als jij gebeld wordt. Van hoe doen we dit goed. Dan heeft een of andere nerd. Het MT inmiddels al overtuigd. En die hebben jou dan gebeld.

Floor Terra:
[45:44] Ja of een nieuwsbericht. Oh ja dit is een probleem. We moeten toch even hulp vragen. Dus ik. Ik ben wat dat betreft heel erg verwend. Dus ik ben niet de beste persoon om dat aan te vragen. Terwijl het een superbelangrijke vraag is...

Randal Peelen:
[46:01] Want jullie zijn niet per se een cybersecurity organisatie.

Floor Terra:
[46:05] Nee.

Randal Peelen:
[46:06] Je zegt je bent een van de weinige nerds tussen een zee van juristen.

Floor Terra:
[46:09] Ja, we zijn recent wel samengegaan met Purasek. Dat is een beveiligingsbedrijf. Dus ik heb nu heel veel security collega's. Maar wij worden eigenlijk, zeg maar, mijn collega's worden gevraagd voor privacy advies.

Randal Peelen:
[46:24] Dat gaat dus meer om wat heb ik überhaupt aan data?

Floor Terra:
[46:28] Ja, dus een vraag over dataminimalisatie of mogen we dit doen met of zonder toestemming? Of hoe kunnen we dit doel behalen met zo min mogelijk data? Dat is ook heel interessant. Maar wat ik persoonlijk voornamelijk doe is klanten helpen om leveranciers door te lichten. Dus dan de grote cloudbedrijven. en wat doen die nou echt zeg maar bovenop wat ze documenteren en kijken of dat mag of daar risico's aan zitten.

Randal Peelen:
[47:02] Ik heb wel eens heel naïef gedacht dat als het gaat om beveiliging en iedereen zit tegenwoordig zo'n beetje bij Microsoft 365 als die hun beveiliging nou gewoon topnotch op orde hebben dan is iedereen toch gewoon klaar.

Floor Terra:
[47:17] Je komt aardig dicht in de buurt, het hangt een beetje van Microsoft 365, Die regelen echt heel veel. Andere cloud producten. Als je kijkt naar een compleet ander segment. Gewoon cloud hosting partijen. Die hebben zoiets van je storage buckets. Je kan jezelf instellen hoe je het wilt. We kunnen misschien goede defaults leveren. Maar je bent zelf echt al verantwoordelijk. Of je het compleet open zet. Of dat je het dicht zet. Dus het is ook een beetje afhankelijk van het soort dienstverlening. Of je achterover mag leunen en op je leverancier vertrouwen. Dus met office producten is het makkelijker. Qua beveiliging zit het best wel strak.

Randal Peelen:
[48:01] Maar jij zegt het net tussen neus en lippen door. De grote spelers, dan denk ik gelijk aan Amerikaanse partijen. Het is natuurlijk ook een trend dat men het liever in Europa of Nederland zoekt. Denk jij dat het ver is om te zeggen dat daar soms de privacy beter voor elkaar Zou je dat nog even los van de security hoor?

Floor Terra:
[48:24] Ik zit even na te... Nee, kijk, wat je ik denk wel ziet is een verschil in volwassenheid. Maar dan is denk ik wel de vraag op lange termijn, iets langere termijn, los van ik wil nu een dienst kopen, zeg maar, zie ik wel een neiging of een wens om het heel veel beter te doen. Dus het is ook wel... Ja, je merkt dat sommige partijen minder volwassen zijn, maar het wel echt heel snel heel veel beter doen. Dus die achterstand is niet heel groot.

Randal Peelen:
[48:58] Ja, wat ik realiseerde nu, mijn vooroordeel zou zijn om te zeggen, die Amerikanen, dat zijn allemaal data-hongerige, verzamelboeven, maar tegelijkertijd denk ik, ja, maar dat zijn vooral die sociale media, weet je wel, die advertenties willen verkopen. Dat zijn de bedrijven die hebben echt ook oprecht baat bij zoveel mogelijk kennis over hun eindklamp, maar dat zijn niet per se dezelfde bedrijven als waar ik mijn abonnementje neem voor mail-in-office, wel Google. Dat is misschien de big one.

Floor Terra:
[49:21] Google is een hele lastige, als je zo probeert in een hokje te plaatsen. Ik denk dat het ook heel veel uitmaakt. Betaal je voor een dienst of neem je een gratis accountje. Dus dat maakt wel heel veel uit.

Jurian Ubachs:
[49:42] Wanneer maakt dat uit?

Floor Terra:
[49:43] Nou, in hoe er met gegevens wordt omgegaan. Het is veel makkelijker om te zeggen, dit is een product, zoveel kost het. En jouw data blijft van jezelf. Dat is niet altijd 100% waar. Er zitten al wat nuances in. Maar als je zegt, ik wil een gratis accountje, maar ik wil wel een terabyte opslag en mail. En ik wil dat je zorgt dat ik geen spam krijg. En doe maar gratis. Dan moet je toch wel.

Randal Peelen:
[50:12] Die voorbeelden zijn er ook wel. Want Meta is er heel bekend mee geworden. Dat ze op een gegeven moment Europese wetgeving hadden. Die zei ja, je moet wel een versie geven waarbij je geen trekking hebt. En dan zei ze, dat is goed. Die versie is er nu, die kost acht euro per maand. Dus dan kun je ook wel uit aflezen. Dat blijkbaar is een gebruiker hen acht euro waarts ongeveer.

Randal Peelen:
[50:32] En hetzelfde geldt ook voor ChatGPT. Zij zijn verreweg de grootste AI provider. Als je kijkt naar aantal gebruikers. Maar het wordt een stuk troebeler op het moment dat je kijkt naar omzet per gebruiker. Of als je gewoon puur omzet, zeg maar. Dan liggen de wedstrijden dichter bij elkaar. En dat komt vooral omdat, ja, Chatjeep is heel groot geworden met heel veel gratis gebruikers. En bij al die providers geldt, als jij niet betaalt, dan gaan ze hun modellen sowieso trainen met jouw data. En bij Chatjeep krijg je inmiddels zelfs reclame te zien. Nou, elke AI-provider die er nu is, die zegt zodra jij een abonnement neemt, Dat is meestal 20 euro per maand of meer. Dan moet je nog wel het vinkje uitzetten, modellen trainen. Maar dat staat dan standaard uit. Dan mag jij dat een beetje afkopen. En ik denk dat dit ongeveer is waar je nu op doelt. Op het moment dat jij betaalt voor een dienst. Dan kun je Google op dat moment behandelen als jouw IT-leverancier. Jouw cloud provider, jouw mail provider. Maar op het moment dat jij goedkoper of gratis Gmail abonnementjes hebt. En je doet zoekopdrachten en je krijgt die reclame, ja, dan is Google op dat moment meer, Een soort sociaal medium of een adverterer, zeg maar. Dus er zijn wel meerdere soorten Google die je tegen kunt komen.

Floor Terra:
[51:52] Ja, en heel veel verschillende diensten. Dus daar moet je ook selectief in zijn wat je gebruikt. Ik denk dat er wel nog een nuance in zit bij die grote techbedrijven. Ze zijn soms ook wel gewend om heel lang, heel veel gratis of goedkoop te pushen. In de hoop dat mensen afhankelijk worden van de dienst. Om dan vervolgens meer geld te gaan rekenen. Dus het is niet alleen maar vermarkten van data. Dat zit er soms ook wel bij. Maar daar heb ik iets minder, vanuit mijn professionele interesse heb ik iets minder kijk op. Maar ik zie soms wel in de onderwijsmarkt kinderen afhankelijk maken van je product. En dan later als ze een baan hebben, dan willen ze ook dat product gebruiken. Want zo zijn ze nou helemaal opgegroeid. Het is volgens mij wel een heel sterk mechanisme. Maar ik weet er niet genoeg van.

Randal Peelen:
[52:40] Hoe ga jij dan te werken? Want jij zegt, ik adviseer meestal nu of krijg je vragen over hoe zit het dan bij leveranciers. Klinkt een beetje alsof dat niet altijd alleen maar de grote jongens zijn. Want daar zul je gemiddeld genomen het antwoord op de vraag makkelijker hebben dan als het gaat om toeleveranciers waar Jurrian en ik nog nooit van gehoord hebben.

Floor Terra:
[53:03] Nou, dat valt eigenlijk best wel tegen. Ja, ik zit een beetje in de niche om echt grote leveranciers, denk aan de Microsoft, Google's, Amazon's, om daar grondig onderzoek naar te doen. En wat ik zie, ik zie soms ook bij concurrenten, die doen vergelijkbaar, het heet het DPA's of gegevensbeschermingseffectbeoordelingen in het Nederlands. Ja. Dat die heel erg gebaseerd zijn op het papierwerk. In de contracten staat dat dit de dienst is. Dus dan maken we zo die analyse. En als je dan gaat kijken naar wat zie ik in het netwerkverkeer. Wat staat er in de logs. Wat staat er ook in de logs die niet in de admininterface zichtbaar zijn. Kom je soms op een hele andere analyse uit. Van wat gebeurt er nou eigenlijk. Welke data is er en wie is waar verantwoordelijk voor. En de grote leveranciers werken ook niet altijd even makkelijk mee. Soms zijn de kleine juist makkelijker Maar ik denk dat het ook een beetje Een kwestie is van Cultuur van openheid Hoe gaat dat?

Randal Peelen:
[54:16] Want dit klinkt als een Vorm van auditing Wat dan? Jij zegt, hé in dit log staat Dat jij dat en dat daar wegschrijft.

Floor Terra:
[54:26] Nou, daar lijkt het wel een beetje op. Ja, het is eigenlijk, nou, zo'n DPA bestaat uit een paar hoofdstukken. Ik denk dat 80% van het werk zit in achterhalen van wat wordt er eigenlijk verwerkt. Ik installeer een Office product op mijn computer. Wat stuurt dat informatie op naar Microsoft? Of wat blijft er lokaal? Vind ik dan vaak wat minder interessant. Want er is heel veel meer dan alleen dat documentje wat je aan het bewerken bent of dat e-mailtje waar je aan het typen bent. Er zijn allemaal metadata, logging, telemetrie. Dus dat in kaart brengen is superbelangrijk. En het gebeurt bijna nooit. En het is ook wel heel veel werk om het te doen. Dus we doen het vaak voor relatief grote klanten die enorm veel licenties kopen en zeggen we willen het in één keer goed uitgezocht hebben. En dan leg je de prioriteit bij de hele grote leveranciers ook. En dat is wat ik doe dus het is een beetje een soort reverse engineering tussen de juristen want er komt daarna nog een hele juridische analyse van mag het wel en wat voor risico's zitten er aan, maar dat heb je wel nodig om die analyse goed te maken.

Randal Peelen:
[55:41] Toen wij elkaar net de hand schudden en we elkaar tegenkwamen bij de studio, zei je, hey, volgens mij hebben we elkaar al een keer gezien op een DIVD-feestje. Dat betekent dat allebei een beetje met minimaal één been in het vrijwilligerswereldje

Randal Peelen:
[55:57] van de cybersecurity zitten. De DIVD doen veel responsible disclosures, noemen ze dat dan. Die gaan dan op zoek naar lekken en melden dat dan braaf. Dat is in ieder geval een speerpunt van hetgeen waarom ze bekend staan. Hoe kijk jij naar dat fenomeen? Want ik weet dat er altijd een spanningsveld is tussen een responsible disclosure krijgen, daar dan goed naar handelen en ook het idee dat het ook niet altijd in dank wordt afgenomen als je zo'n melding doet.

Floor Terra:
[56:38] Ja, dat merk ik ook. Ik ben een van de initiatiefnemers van het Nederland Responsible Disclosure Beleid in Nederland. Nu noemen we dat Coordinated Vulnerability Disclosure. En dat is eigenlijk ontstaan uit een soort persoonlijke frustratie van ik vind wat. Ik probeer eigenlijk niet eens in te breken, maar soms zie ik dingen. Van er staat een raam open of er hangt wat los. Even één keer aanraken en zeggen nee, dat zit niet goed en toch maar even melden dus ik was op een gegeven moment verbaasd van ja joh, waar sla dit op? Ik probeer gewoon een mailtje te sturen van hey jongens, pas op er gaat wat fout, en dat wordt niet altijd gewaardeerd dus mijn ambitie was, we moeten gewoon met een paar grote bedrijven en de overheid, een goed voorbeeld geven we hebben beleid, als je iets vindt, hier kan je het zo laagdrempelig mogelijk melden en we gaan er netjes mee om.

Randal Peelen:
[57:34] Maar maakt het dus concreet wat gebeurt er als het niet wordt gewaardeerd?

Floor Terra:
[57:39] Ik heb voorbeelden zelf relatief weinig fout zien gaan omdat ik altijd redelijk met open vizier zeg van hé, dit is mijn echte naam, dit ben ik, hier is alle informatie ik vraag niet om een beloning ik heb een tijdje geprobeerd om te zeggen van oh, maar als je een beloning wilt geven dan sta ik daar voor open, maar hier is alles wat je nodig hebt. En toen merkte ik, niemand reageert meer. Oké, prima. Ik doe het ook niet voor de beloning, maar leuk experiment doe ik dus niet meer. Ik wil gewoon dat er gereageerd wordt. En, Over het algemeen, het ergste wat ik heb meegemaakt op één uitzondering na, is dat het gewoon wordt genegeerd. En daar vind ik wat van, maar daar heb ik niet zoveel last van. Dat is onfrustrerend.

Jurian Ubachs:
[58:29] Steek je nou gewoon kop in het zand, niks aan de hand en hoe doen we zoiets of het er niet is?

Floor Terra:
[58:32] Ja, of stilletjes fiksen, maar niet eens zeggen, oh dankjewel.

Jurian Ubachs:
[58:37] Jij zegt van, ja, als je een beloning mag geven. Ik vind, zeker als het serieuze kwetsbaarheden zijn, vind ik dat je best mag zeggen van, Nou, ook omdat je daarmee stimuleert dat inderdaad responsible hackers, om het zo over te zeggen, hun ding blijven doen voor je. Want het is natuurlijk voor hen alleen maar fijn dat jij het gevonden hebt en niet een andere, wellicht kwaadwillende persoon. Maar oké, als je dan zegt van ja, dit hebben we nooit afgesproken, dus we gaan geen beloning geven. Op z'n minst een dankjewel. Dat is toch niet zo moeilijk, jongens.

Floor Terra:
[59:08] Het kost ook veel energie om er achteraan te zitten van hé, maar is het wel opgelost. En je wilt toch wel een beetje opvolging geven. Misschien proberen een van de bestuurders een mailtje of een LinkedIn bericht te sturen. Hé jongens, er wordt niet op gereageerd. Het blijft maar openstaan. Dus dat kost wel energie. En dat is op een gegeven moment gewoon niet meer schaalbaar.

Jurian Ubachs:
[59:29] Wat is die ene uitzondering?

Floor Terra:
[59:31] Dat is de Belgische overheid.

Jurian Ubachs:
[59:33] Ah, dat verhaal.

Floor Terra:
[59:34] Ja, ik heb bij de Belgische privacy toezichthouder, dat was niet eens een super groot probleem. Maar die hebben een relatief nieuw datalek meldformulier. En ik kwam erachter dat je kon achterhalen. Dan moet ik even goed nadenken. Je kon achterhalen welke organisaties recent iets hebben gemeld of hebben geregistreerd daar.

Randal Peelen:
[59:59] Elonisch.

Floor Terra:
[1:00:00] Het is een beetje obscuur. Want je moet wel blijven, zeg maar, de Belgische KFK-nummers blijven monitoren. en je ziet van ze staan niet in het systeem en ah, nu staan ze wel in het systeem. Niet super spectaculair. Wel genoeg om te zeggen van. Hé jongens fix dit even. Dus ik heb een mailtje gestuurd. En toen kwam ik opeens in een hele rare juridische molen. Want in België heb je wetgeving. Waarin je binnen ongeveer 72 uur. Nadat je een beveiligingsprobleem hebt ontdekt. Dus niet eens heb gemeld. Maar het feit dat ik het al heb gezien. Verplicht mij om te registreren bij eigenlijk de Belgische collega's van het Nationaal Cybersecurity Centrum. Het CCB heet het in België. Met paspoortnummer, een volledige naam, adres, alles wat ik heb gevonden.

Randal Peelen:
[1:00:54] Daar had je echt zin in.

Floor Terra:
[1:00:55] Dus ik heb die 72 uur besteed aan het achterhalen van... Ik heb nergens ingebroken, ik heb dit alleen opgemerkt. Ik heb de code gelezen, ik heb gezien dat het zo is. Ik heb niks strafbaars gedaan voor zover ik weet. Ik woon niet in België, ik kom er af en toe, maar bijna niet. Is die verplichting ook op mij van toepassing? Wat als ik me er niet aan houd? Niet aan houden is geen optie. En de verplichting is op me van toepassing. En dan zit ik vervolgens aan levenslange geheimhouding gebonden. Dus ik ben de enige persoon in België die officieel toestemming heeft gekregen om nadat het is opgelost te mogen praten over wat ik heb gevonden.

Randal Peelen:
[1:01:44] Waarom dan?

Floor Terra:
[1:01:46] Het uitgangspunt in België is, want ze willen op zich wel goedwillende hackers beschermen. Maar het uitgangspunt is, je hebt ingebroken dat is strafbaar. Onder strenge voorwaarden zijn we coulant en dan bieden we de Nederlandse wet biedt geen expliciete bescherming die zegt ja we gaan er vanuit het OM zegt eigenlijk behandelen het wel netjes als je het netjes hebt aangepakt, maar in België is het een strikte lijst met regels als je eraan houdt kan je niet strafrechtelijk worden vervolgd op zich wel sympathiek keerzijde is, Ik ben opeens als niet-Belg gebonden aan Belgische regels.

Jurian Ubachs:
[1:02:30] Dat zat ik me dus net af te vragen. Want je hebt uiteraard, neem een website. De website is door een bedrijf gemaakt. Dat bedrijf staat ergens geregistreerd. De website heeft misschien ook nog wel een .be-connotatie. Dus dan zeggen ze, oké, Belgisch regels. Maar jij bent in Nederland. Je bent op het moment dat je bezig bent, ook fysiek in Nederland. Dus valt zeer waarschijnlijk onder de Nederlandse wetgeving. Hoe zit dat als je een service van een buitenland iets gebruikt... Of je gebruikt de service niet eens. Want dat zou nog anders zijn. Als je de service zou gaan gebruiken. Dan onderteken je waarschijnlijk ergens een user agreement. Dat je inderdaad akkoord gaat met dat jongen in België. Maar dat heb je niet gedaan. Want je hebt een bepaalde kwetsbaarheid gevonden. Ik ben echt heel benieuwd. Ik weet het antwoord ook niet.

Floor Terra:
[1:03:13] Waar we op uit zijn gekomen. Uiteindelijk. Na heel veel gepush. Want ik ben als bottehollander. Ben ik het wel een beetje gaan escaleren. Dat vonden ze volgens mij niet heel fijn.

Jurian Ubachs:
[1:03:25] Dat is echt.

Floor Terra:
[1:03:28] Maar ze zijn er zelf ook wel achter gekomen dat dit niet helemaal was zoals het bedoeld is alleen een echt goede oplossing is er niet dus ik vind, wat mij wel is opgevallen naarmate ik de mensen erachter ook wel gesproken heb dan is het wel duidelijk dat ze eindelijk hetzelfde willen maar ik ben dan ook wel een beetje zo'n nerd dat ik denk van mijn regels zijn regels Dus ik ga me er ook strak aan houden. En wat ik zie is dat mensen die ik ken in België, die iets beter in dit wereldje zitten en de mensen kennen, die weten gewoon, ja, maar hier gaan ze niks mee doen. Die weten wanneer ze de regels kunnen schenden. Ik denk, ja, pas de regels dan aan als dat niet de bedoeling is.

Randal Peelen:
[1:04:11] Maar dat is toch ook een beetje hoe hacken werkt, zeg maar. Je zit op een of andere API te snuffelen en je ziet iets dat, waarvan je denkt, hmm. Nou, ik verwacht dat als ik nu dit naar die API stuur, dat die dan iets teruggeeft wat die eigenlijk niet zou moeten doen. Nou, je typt dat commando in. Ja, dat is een moment in de tijd. Als ik nu op enter duw, dan heb ik gehackt, want dan heb ik iets eruit gekregen wat ik niet had moeten doen. Als ik niet op enter duw, ben ik heel braaf, alleen dan weet ik ook niet of het lek is. Dus als ik jou wil helpen om dat lek te vinden en er bij jou te melden, moet ik nu op enter duwen. Maar dan heb ik het gedaan.

Jurian Ubachs:
[1:04:44] Nee, je klapt je laptop dicht met een papiertje tussen waarop staat druk op enter. Dat stuur je open. Dat stuur je open.

Floor Terra:
[1:04:52] En dat is in Nederland best goed geregeld. We hebben een oud-Kamerlid wat veroordeeld is voor hacken. En dat is voor ons wel redelijk duidelijk uitgelegd. Je mag best wel net even eigenlijk iets te ver gaan. Dat wordt getolereerd. Een beetje journalistieke exceptie. In dit geval was het ook al een kamerlid dat toen journalist was. Henk Krol, Nederlandse veroordeelde hacker.

Jurian Ubachs:
[1:05:18] Ja, precies wie je zou verwachten ook. Ja, nee, dat is typisch Henk.

Floor Terra:
[1:05:23] Maar die is vervolgens ook van vrienden of kennissen van hem dingen gaan opzoeken. Meer een beetje in de sappige roddelachtige hoek, zeg maar.

Jurian Ubachs:
[1:05:32] Oh, Henk.

Floor Terra:
[1:05:33] Ja, en daarvan heeft de rechter gezegd, dat is niet oké, dat is strafbaar. Maar dus eigenlijk dat was net voordat er officieel een responsable discloserichtlijn in Nederland was, was dit eigenlijk de vondens waar het eigenlijk gewoon al.

Randal Peelen:
[1:05:47] Uitgewerkt stond ja ik heb dit laatst meegemaakt want ik heb best wel een goede verstandshouding met de buren je haalt elk anders groene container even binnen of je zet hem op tijd buiten weet je wel en je leent elk anders kraantje als je even de, tegels gewoon wil spuiten en zo, Ik zag laatst bij hen dat die sleutels s'avonds om 11 uur nog in de voordeur zaten. Dus ik dacht, ja, waarschijnlijk niet de bedoeling. Dus ik bel aan, ik zeg, nou, sleutels hangen er nog. En ik gaf ze aan. Dus in deze analogie had ik dus eigenlijk moeten zeggen, oh, die sleutels, die horen daar waarschijnlijk. Nou, om even aan te tonen dat dit niet handig was, doe ik open, ga ik naar binnen, haal ik de tv van de muur. Zet ik dan eerst bij mij thuis binnen. Even goed poepen, gewoon even goed poepen. Niet doorspoelen ook. En dan morgenochtend, dan ligt die sleutel daar met een briefje. Duw op enter.

Floor Terra:
[1:06:43] Dus ik snap dat je af en toe net even iets verder moet gaan dan netjes is. Maar doe dan bij je eigen gegevens.

Randal Peelen:
[1:06:50] Want in Nederland heb je wel, er is sprake geweest van klokkenluidersbescherming. Is dit daarmee gelieerd?

Floor Terra:
[1:06:59] Klokkenluiders zijn volgens mij altijd mensen die intern iets aankaken. En dat vind ik wat lastig.

Randal Peelen:
[1:07:05] Ik moet ook geen vragen stellen waar ik geen verstand van heb. Ja, nee, maar dit is... Ja, ik vind het wel belangrijk.

Jurian Ubachs:
[1:07:12] Je hebt inderdaad een wetbescherming klokluis.

Randal Peelen:
[1:07:14] Ja, dus er moeten wel duidelijke grenzen zijn. Ik bedoel, als je, om het aan te tonen, een hele database leegtrekt... Versus kijkt of ik de bovenste regel kan lezen met...

Floor Terra:
[1:07:27] Maar soms is dat ook niet altijd mogelijk. Soms is een lek ook gewoon alles of niks. Dus het is lastig. Maar in Nederland hebben we gezegd. Je krijgt ook niet vooraf een garantie. Dat je niet vervolgd gaat worden voor fietsendiefstal. Vervolging is ook een stukje onderzoek. Heb je het wel echt gedaan? En je kan gewoon verdacht worden voor iets wat je niet hebt gedaan.

Randal Peelen:
[1:07:49] Dat kan.

Floor Terra:
[1:07:50] Dus in Nederland is denk ik terecht de keuze gemaakt. Van garanties vooraf heb je niet. Maar we gaan er al redelijk mee om. We zien de maatschappelijke waarde.

Floor Terra:
[1:08:00] En dat heeft tot volgens mij terecht heel veel vertrouwen geleid. Je kan veilig genoeg doen om de wereld veiliger te maken zonder dat je er last van krijgt. In het buitenland is dat anders.

Randal Peelen:
[1:08:13] Zijn ze wat rechtlijniger? Jurijan, hebben wij nog vragen die wij stellen?

Jurian Ubachs:
[1:08:20] Weet je wat wij zijn vergeten namelijk vandaag?

Randal Peelen:
[1:08:22] Nou.

Jurian Ubachs:
[1:08:23] De gasten aankonden geen vragen van de luisteraar. Dus we hebben geen vragen van de luisteraar.

Randal Peelen:
[1:08:27] Dat klopt. Ik had ze wel bij de clubhuisleden. Dus de betalende luisteraar.

Jurian Ubachs:
[1:08:32] Als je niet weet wat dat is. Dan ben je kennelijk geen vriend van ons.

Randal Peelen:
[1:08:35] Nee, precies. Want als je vriend van de show wordt. Dan krijg je toegang tot het clubhuis. En vanaf daar kun je dan in vragen van het clubhuis komen. Ik heb dus afgelopen vrijdag. Toen we twee gasten hadden bedacht. Voor vandaag. Daar vertelt wie die gasten waren. Ook niet echt uitbreid aangekondigd. Maar we zitten krap in de vragen. Dat klopt. Ja. Lekker geduid.

Jurian Ubachs:
[1:08:55] Nou, misschien. Deze is waarschijnlijk een hele goede reden voor dat het zo geloven is. Maar dat horen mensen natuurlijk pas in de bonus.

Randal Peelen:
[1:09:01] Ja. Dat heeft wel gebeurd.

Jurian Ubachs:
[1:09:04] En mensen die weten waar het over gaat voelen nu misschien enige nattegheid.

Randal Peelen:
[1:09:07] Houd je verrekt. Ik vind het helemaal niet leuk. Tot zover deze aflevering van Met Nerds Op Tafel. Met Nerds Op Tafel is een podcast door Jurrian Uwachs en mij, Randalf Peen en onze panel. Annelies en Annelies Verhelsruurt, Sanders en Sander Bijleveld. En worden weer eens geëditor Maarten van Woerkomt. Hij is terug van weg geweest.

Jurian Ubachs:
[1:09:23] Nu al?

Randal Peelen:
[1:09:23] Hij is nu al terug van weg geweest.

Jurian Ubachs:
[1:09:25] Weet je dat toen hij op vakantie ging, dan moesten de Lord of the Rings films nog uitkomen?

Randal Peelen:
[1:09:30] Het karakter Gandalf was net in de maak.

Jurian Ubachs:
[1:09:32] Clinton was president.

Randal Peelen:
[1:09:33] Precies, weet je wat die heeft uitgespookt?

Jurian Ubachs:
[1:09:35] Nou, in de tussentijd een heleboel.

Randal Peelen:
[1:09:36] Er is ook nog melding van gemaakt.

Jurian Ubachs:
[1:09:38] Of niet, weet je nooit.

Randal Peelen:
[1:09:40] Ik weet wel dat deze aflevering waarschijnlijk iets later uitkomt. Dat is als je dit hoort dus al gebeurd. En daarom zeg ik dwars door de vierde muur en het tijdreizen heen. Sorry voor de vertraging. Onze gastneurd van vandaag, evengoed, was Floor Terra. Floor, dank dat je bij ons wilde komen praten. Waar kunnen mensen meer over jou te weten komen?

Floor Terra:
[1:10:02] LinkedIn denk ik.

Randal Peelen:
[1:10:03] Of Twitter.

Floor Terra:
[1:10:04] Of wat hebben we, Mastodon.

Randal Peelen:
[1:10:05] Ja. Je bent niet zo'n social medium dier.

Floor Terra:
[1:10:09] Jawel. Wel of wel op LinkedIn laatste.

Randal Peelen:
[1:10:11] Ja. ik denk dat dat een ondergewaardeerd sociaal medium is ook in de huidige tijd je kunt dan ook gewoon klant worden en betalen dan heb je meer bereik en dan heb je wat aan.

Floor Terra:
[1:10:21] Gewoon interessante dingen zeggen.

Randal Peelen:
[1:10:23] Precies. Meer informatie over ons staat op onze site. Dat is mnot.nl. Je kunt ook onze Slack joinen. Daar gingen meer dan 2600 charmante, capabele en gezellige nerds hiervoor. Je kunt ook vragen stellen aan de volgende gasten. Nu het in het kanaal. Vragen van de luisteraar. Als we daar de gast aanvoegen.

Jurian Ubachs:
[1:10:38] Ja, als we dat doen.

Randal Peelen:
[1:10:39] Hebben we echt wel 460 keer braaf wel gedaan.

Jurian Ubachs:
[1:10:43] Dus meestal gaan we... Samenleven van omstandig. Samenleven van omstandig. Ja, samenleven.

Randal Peelen:
[1:10:48] We leven samen in de omstandigheden die we zelf keren.

Jurian Ubachs:
[1:10:52] Jij hebt de omstandigheden, ik heb allerlei omstandigheden.

Randal Peelen:
[1:10:53] De bent wat je eet en zo zal het zijn.

Jurian Ubachs:
[1:10:56] Ja.

Randal Peelen:
[1:10:57] Je kunt ook vriend van de show worden op vriendvandeshow.nl. Dan krijg je toegang tot het clubhuis. Een aantal meetups per jaar misschien. Stickers en biervaltjes door je brief. Dus je luistert zonder reclame eerder dan de rest. En elke week met een pracht van een bonus aflevering. Voor nu hartelijk dank voor het luisteren. Tot de volgende keer.