Wat is er aan de hand?
Recent zijn 117.000 cv’s gedownload via één werkgeversaccount van werk.nl. UWV reageert fel en zaait paniek. Op zich niet verkeerd, maar wel zoals het nu gebeurt. De reactie van José Lazeroms, lid Raad van Bestuur van UWV, is op orde, maar de uitwerking niet:
‘UWV brengt vraag en aanbod op de arbeidsmarkt samen op basis van de bereidheid van werkzoekenden om cv’s te delen en de integriteit van werkgevers om de cv’s alleen voor het vervullen van vacatures te gebruiken. Misbruik van een werkgeversaccount is schadelijk voor het vertrouwen in een platform als werk.nl. Dat betreuren wij en daarom nemen we deze zaak hoog op.’
Goed dat Lazerom reageert. Goed dat ze refereert aan bereidheid en vertrouwen. Goed is dat ze dit hoog opneemt. Niet goed zijn de maatregelen die UWV verkondigt:
UWV heeft dit gemeld bij het Nationaal Cyber Security Centrum (NCSC) en heeft aangifte gedaan bij de politie. Daarnaast is het gemeld bij de Autoriteit Persoonsgegevens. Het account van de werkgever is direct geblokkeerd.
Het is belangrijk je aan de wet te houden. Een lek melden is verplicht. Werkgevers afschrikken, die kwistig willen downloaden of slordig willen omgaan met hun wachtwoord, kan ook geen kwaad.
Maar melding doen bij het NCSC kan wel kwaad. Media raken in paniek en de oorzaak van dit lek raakt ondergesneeuwd. Kijk maar mee.
Hoe zit het precies?
Volgens UWV is er sprake van computervredebreuk. Voorzover bekend baseert UWV dit op een uitspraak van de werkgever wiens account is misbruikt. Die werkgever, zo lijkt het, heeft het delict ofwel niet geconstateerd ofwel zelf begaan. In het laatste geval is hij niet verplicht erover te getuigen. Maar laten we voor het gemak aannemen dat er echt een delict is gepleegd, computervredebreuk, wat betekent dat dan?
De wetgever is niet zuinig geweest bij de definitie: Hacken van het mainframe van de AIVD is computervredebreuk, maar stiekem een potje wordfeud spelen op de telefoon van je collega ook. Als je weet dat iets niet mag en je doet het toch, dan hang je, daar komt het op neer.
Aan de andere kant, in dit geval, als de werkgever een post it op een pc had hangen met ‘cv’s werk.nl wachtwoord: password123′ dan is het maar zeer de vraag of de wet hier is overtreden. Maar we doen niet flauw. We gaan uit van een delict. Nu moeten we de ernst ervan inschatten.
Het kan zijn dat buitenlandse mogendheden meer zien in ons ongebruikte menselijke kapitaal dan wij en dat dit lek een resultaat is van een grootscheepse operatie. Het kan ook zijn dat een stagiaire dacht dat het handig zou zijn als je veel cv’s tegelijkertijd kunt matchen en dat zij een lullig scriptje heeft laten draaien vanuit het wachtwoord van iemand anders. Het kan allebei, maar het laatste is waarschijnlijker. Waarschijnlijk genoeg om niet de NCSC erop af te sturen.
NCSC is er tegen actuele dreigingen. Dit lekt betreft geen actuele dreiging. Het is toch gedicht? De enige actuele dreiging is het feit dat UWV toestaat 100.000 cv’s te downloaden. Stel namelijk dat 99% van 10.000 werkgevers te goeder trouw is. Dan zijn er 200 die het kennelijk slimmer aanpakken dan het boefje dat nu nieuws maakt. Alle cv’s zijn allang in alle handen van alle kwaadwillenden die er brood in zien. Dit eenvoudige lek voegt daar weinig aan toe.
Maar je moet iets. Dus sturen we de NCSC af op een script kiddy. Of op een werkgever die niet precies kan of wil vertellen hoe het zit. Maar de media lezen alleen NCSC en stoppen direct met nadenken. Kijk maar mee.
Er zijn cv’s gekopieerd.
NU.nl spreekt van diefstal en, zonder grond, van een hack.
AD.nl gaat nog een stapje verder en geeft aan dat de cv’s mogelijk in handen zijn gekomen van criminelen. Er is geen enkele aanleiding om dit op te schrijven, anders dan misschien de melding bij de NCSC.
RTL.nl maakt het helemaal bont. Volgens RTL is het zeker dat de gegevens in criminele handen terecht zijn gekomen. Zouden ze een losgeldbriefje ontvangen hebben?
Alleen GeenStijl bericht gefundeerd (wordt die site niet een beetje te links, met hun lof voor overheidsvideo’s en hun slaapverwekkende aandacht voor de feiten?), dankzij René Veldwijk:
Wat nemen we ervan mee?
Twee dingen.
De downloader? Wat moet daarmee gebeuren? Dat hangt ervan af. Nergens is te lezen of deze de cv’s verspreid heeft. Dit maakt uit, zegt ook de wetgever. Als de downloader de gegevens verkocht heeft aan het nieuwe Cambridge Analytica dan mag hij tot vier jaar de cel in. Als het een stagiaire betreft die een beetje slim even niet wist te onderscheiden van een beetje dom dan volstaat maximaal een jaar cel.
Wie paniek zaait zal paniek oogsten. UWV probeert, denk ik, met stevige uitspraken paniek te zaaien onder wannabe kwistige downloaders, maar paniek is moeilijk te controleren. Net als tienduizend werkgevers die honderdduizend cv’s mogen downloaden.
Feit is dat je voor de optimale match (in theorie) alle cv’s nodig hebt. Feit is dat UWV downloaden van grote aantallen cv’s toestaat aan grote aantallen werkgevers. Feit is dat tot 100.000 cv’s nergens een lampje ging branden.
In een geval als dit kun je beter het incident niet te hoog opspelen, zeker niet tot de NCSC. Je kunt beter de donkere oorzaak van het probleem verlichten: publiceer per werkgever hoeveel cv’s hij bekijkt.