Column


IT-jurist Peter van Schelven over...

Datalekken: wat doet uw personeel?

Met mooie wettelijke spelregels alleen kom je niet ver op het gebied van security. Dat geldt zeker voor de Nederlandse wetgeving die bedrijven en andere organisaties sinds begin dit jaar verplichten om ernstige datalekken te melden bij de Autoriteit Persoonsgegevens en de betrokken burgers. En zonder twijfel gaat dat ook op voor de Europese tegenhanger van de meldplicht, die we vinden in de Europese Privacy-verordening welke vorige week in Brussel is aangenomen en die ergens in de loop van 2018 in de gehele Europese Unie van toepassing zal zijn.

Om deze wetgeving te kunnen laten vliegen, moeten bedrijven en organisaties in eigen huis heel wat praktische maatregelen treffen. Een van de dingen die gedaan moet worden, is het scheppen van een sfeer en klimaat waarin medewerkers zich veilig voelen om de door hunzelf veroorzaakte datalekken aan te kaarten. Want stel, ik verlies in de trein een usb-stick van mijn kantoor met daarop duizenden zeer gevoelige persoonsgegevens. Hoe ernstig wellicht ook, het enkele verlies hoeft niet noodzakelijkerwijs schadelijk te zijn voor de personen van wie de gegevens zijn vastgelegd. Breng ik het verlies van de stick vervolgens onmiddellijk onder de aandacht van mijn leidinggevende bij mijn werkgever, opdat het bedrijf waar ik werk vrolijk aan de slag kan gaan met de uitvoering van de wettelijke meldplicht? Of houd ik het verlies wijselijk onder de pet als ik vrees of vermoed dat eerlijkheid wel eens nadelig voor mijzelf zou kunnen uitpakken? Niet iedere manager heeft immers altijd evenveel empathie voor fouten of vermeende misstappen van zijn medewerkers. En als ik toch al een broze relatie met mijn leidinggevende heb, dan zou het verlies van de stick wel eens een mooie stok kunnen zijn om mij mee te slaan. Kortom, regeert de angst of winnen transparantie en eerlijkheid het?

Interne procedures
De wetgeving inzake de meldplicht voor datalekken berust op de naïeve veronderstelling dat medewerkers steeds bereid en in staat zijn incidenten binnen hun eigen organisatie te melden. Ik vrees dat de werkelijkheid er niet zelden anders uitziet. Medewerkers die een datalek veroorzaken, houden wellicht al snel hun mond. Dat probleem los je als werkgever niet op met enkele obligate zinnetjes in een personeelshandboek over een verplichting tot het melden van datalekken en beveiligingsincidenten. Papier is immers geduldig. Wie serieus handen en voeten wenst te geven aan de wettelijke meldplicht voor datalekken zorgt er ten minste voor dat ieder personeelslid een incident op een veilige plek kan aankaarten zonder dat zich dat tegen hem of haar keert. Uiteindelijk is dat mede in het belang van de organisatie zelf, al was het maar omdat voor ogen moet worden gehouden dat de wet voorziet in een dreiging met sancties als de wettelijke meldplicht wordt geschonden.

Goede en heldere interne procedures kunnen het vertrouwen van personeelsleden bevorderen. Deze moeten onder meer duidelijk maken of incidenten bij de direct leidinggevende dan wel bij een ander - bijvoorbeeld een specifiek daarvoor aangewezen medewerker - moeten worden gemeld. Maar ook duidelijkheid over de vraag wat de vervolgstappen zijn op een interne melding kan de bereidheid om een incident te melden vergroten. Er zijn inmiddels fraaie en bruikbare voorbeelden van dergelijke procedureafspraken beschikbaar. Ik wijs hier op het waardevolle initiatief van de Regionale Privacy Commissie voor de Gezondheidszorg (RPCG), die voor de regio Zuid-Nederland de organisatorische inbedding van de wet meldplicht datalekken met een reeks nuttige documenten faciliteert. De stukken zijn te vinden op het internet. De professionele aanpak van de RPCG is voor iedereen meer dan de moeite van het bestuderen waard.

Voor mij staat het als een paal boven water: een organisatie die er blindelings en klakkeloos op vertrouwt dat iedere medewerker ieder datalek intern steeds netjes, eerlijk en tijdig zal melden, is wellicht net zo naïef als de Nederlandse en Europese wetgever. En dat wilt u toch niet zijn?

 


Lees meer over