Column


Column Merle Bonefaas en Bas de Groot

2016: het jaar van de datalekken

Het was dit jaar bijna dagelijks in het nieuws: datalekken bij publieke en private organisaties. Wat valt daarbij op en wat kunnen wij leren van de datalekken uit 2016? In dit artikel een terugblik op het afgelopen jaar.

Een groot deel van de publiciteit komt ongetwijfeld door de meldplicht datalekken, die sinds 1 januari dit jaar van kracht is. Kort gezegd houdt deze meldplicht in dat organisaties een ernstig datalek moeten melden aan de Autoriteit Persoonsgegevens (de privacytoezichthouder) en in bepaalde gevallen aan de mensen waarvan persoonsgegevens zijn gelekt.

Onzorgvuldig handelen
Datalekken en hacks worden vaak in één adem genoemd, maar vaak hebben datalekken een minder spannende oorzaak. De belangrijkste bron voor datalekken is onzorgvuldig handelen van medewerkers. Dat blijkt bijvoorbeeld uit datalekken bij gemeenten die het nieuws haalden: een e-mail naar de verkeerde ontvanger (Amersfoort), een externe die persoonsgegevens opslaat op een onbeveiligde privénetwerkschijf (Rotterdam).

Lekken mobiele data
Daarnaast is diefstal van mobiele devices een oorzaak van veel datalekken. Recent in het nieuws was de laptopdiefstal van een externe medewerker die voor gemeenten werkzaamheden uitvoerde in het kader van de WOZ. Op de laptop stonden behalve NAW-gegevens onder meer ook BSN-nummers van burgers uit onder andere Zeewolde, Medemblik, Eemnes en Laren.

Mobiele devices bevatten steeds meer informatie en afhankelijk van de functie ook gevoelige persoonsgegevens. Gebrek aan beveiligingsmaatregelen zoals encryptie, resulteert bij diefstal of verlies in veel gevallen tot een datalek.

Lessons learned
Wat zijn nou de lessons learned van de datalekken uit 2016? Om te beginnen ligt de oorzaak van een datalek vaak bij eigen medewerkers. De noodzaak van permanente bewustwording over veilig werken met persoonsgegevens kan niet genoeg benadrukt worden. Een volgende stap is het creëren van een ‘veilige meldcultuur’. Dit moet er voor zorgen dat medewerkers zonder schroom melding maken van ‘hun’ datalek en niet bang hoeven te zijn voor consequenties.

Maar ook een goed functionerend datalekprotocol verdient aandacht. Hierbij is cruciaal dat verschillende expertisegebieden – organisatie, juridisch en technisch – samen tot een goede beoordeling van een datalek komen om vervolgens adequaat te kunnen handelen. Het is ook raadzaam om dit protocol te oefenen. Uit de Nationale Privacy Benchmark 2016 blijkt dat 72 procent van de organisaties dit nog nooit heeft gedaan.

Uitdaging voor 2017
In 2017 zullen er ook weer menselijke fouten worden gemaakt en hacks worden gepleegd. Met andere woorden: ook volgend jaar zullen veel organisaties het meldingsformulier datalekken op de website van de Autoriteit Persoonsgegevens moeten invullen.

De uitdaging voor 2017 zal zijn om intern de juiste preventieve maatregelen te nemen en er klaar voor te zijn wanneer het onverhoopt toch mis gaat. Was daar de meldplicht datalekken ook eigenlijk niet voor bedoeld?

Lees meer over