Een datalek is iets waar mensen liever niet over praten. En dat terwijl het juist zo belangrijk is om het onderwerp bespreekbaar te maken en te leren van incidenten die plaats hebben gevonden. Eens te meer gezien datalekken veelal voortkomen uit menselijk handelen.
Uit de cijfers die de Autoriteit Persoonsgegevens (AP) publiceerde, over het jaar 2019, blijkt dat 67% van de datalekken bestond uit persoonsgegevens die verstuurd of afgegeven waren aan een verkeerde ontvanger. In veel gevallen komen deze datalekken voort uit ‘makkelijk gemaakte foutjes’. Denk hierbij aan het versturen van een e-mail (met persoonsgegevens) aan een verkeerde ontvanger, of het opnemen van een groep mensen in de ‘cc-regel’ van een e-mail. Iets wat je wil voorkomen op het moment dat de ontvangers niet op de hoogte hoeven te zijn van elkaars e-mailadres en de ontvangers dus eigenlijk in het ‘bcc-veld’ opgenomen zouden moeten zijn.
Het bespreekbaar maken van deze gemaakte fouten kan eraan bijdragen dat ze in de toekomst voorkomen worden. Essentieel is echter, dat mensen naar voren durven te komen om toe te geven dat de incidenten hebben plaatsgevonden. Immers, hoe langer het duurt voor deze incidenten aan het licht komen, hoe meer schade er al berokkend kan zijn. En bovendien heb je aan mogelijke opdrachtgevers en de AP al gauw de verplichting om incidenten vlot op te sporen en bijhorende vervolgstappen te ondernemen.
Het blijft ook volkomen menselijk om fouten te maken. Hoe goed je systemen ook technisch inricht en dichtzet (denk aan een ‘vertragingsperiode’ bij het versturen van e-mails, waarbij eerst 30 sec. afgeteld wordt voordat de e-mail definitief wordt verstuurd), menselijk handelen zal een belangrijke oorzaak blijven voor incidenten met persoonsgegevens.
Dit maakt dat er drie zaken zijn, die onmisbaar zijn voor organisaties om niet alleen datalekken zoveel mogelijk te voorkomen, maar om ook adequaat te kunnen handelen als het dan toch gebeurt:
- Passende geïmplementeerde (beveiligings)maatregelen
- Voorkomen is beter dan genezen. Maatregelen die: ervoor zorgen dat er niet meer persoonsgegevens worden verwerkt dan noodzakelijk; bijdragen aan een goede toegangscontrole; menselijke fouten zoveel mogelijk voorkomen en/of tijdig corrigeren, zijn essentieel en onmisbaar.
- Maatregelen omgezet in beleid
- Beleid klinkt al gauw langdradig en stroperig, maar dat hoeft natuurlijk niet. Het is belangrijk dat medewerkers terug kunnen vallen op een set praktische handvatten die de kans op incidenten verkleinen. Daarbij moeten medewerkers weten wat ze moeten doen als het onverhoopt toch fout gaat.
- Het kweken van bewustwording
- Hand in hand met beleid gaat bewustwording t.a.v. het beleid. Je hebt niks aan mooi geïmplementeerde regels als deze niet goed bekend zijn bij mensen. Besteed dus aandacht aan o.a. veel voorkomende datalekken, hoe de procedure bij een datalek opgevolgd moet worden en hoe ze zoveel mogelijk voorkomen kunnen worden. En doe dit met regelmaat!