Datalekken: de 3 belangrijkste menselijke oorzaken

4 min lezen

Sinds januari 2016 geldt er een meldplicht voor datalekken. Dit houdt in dat organisaties direct de Autoriteit Persoonsgegevens op de hoogte moeten stellen van een datalek. In de eerste zes maanden van 2018 registreerde de autoriteit 8.898 lekken, waarvan het merendeel afkomstig is uit de gezondheidszorg, de financiële dienstverlening en het openbaar bestuur. 


Onlangs sprak ik met Jaap Nieuwmeijer, coördinator informatiebeveiliging bij Partners voor Jeugd over de toegenomen focus op datalekken. De tijd dat een officier van justitie wegkwam met een waarschuwing voor het afvoeren van een computer vol vertrouwelijke informatie via het grofvuil, ligt ver achter ons. Volgens hem komt dit doordat we ons veel meer bewust zijn van de gevolgen van datalekken. Dit bewustzijn is verder aangescherpt sinds de invoering van de General Data Protection Regulation (GDPR, ook wel AVG). Kan jouw organisatie niet aantonen dat er voldoende maatregelen zijn genomen om een datalek te voorkomen, dan leidt dit niet alleen tot imagoschade, maar ook tot een waarschuwing en/of een zeer hoge boete.

Deze blog is origineel gepubliceerd in oktober 2017.

Wat is de belangrijkste oorzaak van een datalek?

Misschien is het goed om eerst vast te stellen wat een datalek is. Een datalek ontstaat als gevoelige persoonsgegevens terechtkomen op een plek waar deze niet horen te zijn. De meeste mensen denken bij datalekken aan hackers die een slecht beveiligde database leegroven. In de praktijk blijken vooral menselijke fouten de oorzaak. Ongelukjes en slordigheden die ontstaan door een hoge werkdruk waarbij zelden opzet in het spel is. Jaap Nieuwmeijer ziet op basis van een risicoanalyse drie veelvoorkomende oorzaken van het lekken van gevoelige persoonsgegevens.

1. E-mail verzonden aan een onjuist persoon
Iedereen heeft wel eens een e-mail verzonden aan een onjuist persoon. Je wilt een e-mail verzenden aan Jeroen. Je typt “Jer”, het e-mailprogramma vult de naam aan en jij drukt op “verzend”. Op dat moment zie je dat het de verkeerde Jeroen is.

Als het bericht persoonsgegevens bevat, is dit een datalek. Het vervelende aan e-mail is dat je een bericht niet meer kunt terugtrekken. Wettelijk ben je verplicht om de gevolgen van een lek zo veel mogelijk te beperken. En dus zit er niets anders op dan de ontvanger te bellen en hem te vragen of hij het bericht wil wissen. Jouw reputatie ligt volledig in de handen van een ander en dat is geen prettig gevoel.

2. Verkeerd geadresseerde envelop
We leven in een digitaal tijdperk. Toch sturen we nog veel documenten per post. Uit veiligheidsoverweging versturen we soms zelfs digitale bestanden per post. In vrijwel alle gevallen gaat dit goed. Maar soms voorziet iemand per ongeluk een envelop van een verkeerd label of stopt iemand een document in de verkeerde envelop. Ook dan is er sprake van een datalek. Vaak ontdek je dit lek pas als de ontvanger je opbelt en ook dan ligt jouw lot in zijn handen.

3. Verloren telefoon
Een derde veelvoorkomend lek is het verliezen van een mobiele telefoon. Een telefoon raakt eenvoudig zoek en staat vol met persoonsgegevens. Hieronder vallen natuurlijk de adressen in het adressenboek, maar ook bijvoorbeeld e-mails en bijlagen. De meeste telefoons zijn beschermd met een wachtwoord, maar dit biedt helaas onvoldoende bescherming. Soms zijn telefoons op afstand te wissen, maar ook dit geeft geen 100% zekerheid. Zonder netwerkconnectie is dit onmogelijk. Gelukkig kennen de nieuwste telefoons een vorm van encryptie, waardoor deze alle data automatisch versleuteld opslaan.

 

Hoe voorkom je deze en andere datalekken?

Je ziet dat een ongeluk in een klein hoekje zit. De gevolgen kunnen echter aanzienlijk zijn. Een datalek resulteert in imagoschade en in een hoge boete. Daarom moet je er als CISO alles aan doen dit te voorkomen. Enerzijds is dit een stuk bewustwording dat je moet creëren bij medewerkers. In de meeste gevallen versleutelt een laptop automatisch alle opgeslagen data, maar als de laptoptas een blocnote met persoonsgegevens bevat, is er nog steeds sprake van een lek. Ook het uitwisselen van bestanden via publieke diensten vormt een potentieel risico.

Anderzijds is het verstandig software in te zetten die medewerkers op de achtergrond actief assisteert bij het maken van de juiste keuzes. Alleen als deze software de gebruiker niet in de weg zit en de werkzaamheden niet onnodig complex maakt, levert het een bijdrage aan een veilige werkomgeving. Als medewerkers echter extra handelingen moeten verrichten, zoals het handmatig versleutelen van bestanden, ervaren zij beveiliging als een last. Hierdoor zijn medewerkers eerder geneigd deze maatregelen te ontduiken en naar alternatieven te zoeken.

Communiceren doen we vanaf diverse apparaten en via meerdere kanalen. Goede beveiligingssoftware beveiligt daarom verschillende kanalen als e-mail en chat en het verzenden van bestanden, vanaf de desktop en mobiel. Daarnaast is een extra authenticatie belangrijk, zodat berichten alleen door de beoogde ontvanger zijn te lezen. Een extra identificatie, bijvoorbeeld via SMS is hiervoor een goede oplossing. Biedt de software daarnaast de mogelijkheid om e-mailberichten van afstand in te trekken, dan voldoe je aan de GDPR-wetgeving en norm NTA 7516 die je verplicht actie te ondernemen om datalekken te voorkomen en eventuele gevolgen te minimaliseren.

Checklist GDPR

In onze checklist staan precies die stappen beschreven die je moet nemen naar GDPR compliance. Het document gaat dieper in op zaken als het opstellen van een verwerkersovereenkomst, het verkrijgen van toestemming voor het verwerken van persoonsgegevens, de te nemen beveiligingsmaatregelen en de meldplicht datalekken.

Klik hier om de checklist GDPR te downloaden

Geschreven door
Picture of Francis Mustert

Francis Mustert

Francis studeerde Communicatiewetenschap aan de Universiteit van Amsterdam. Na haar stage bij Vodafone kreeg ze de smaak te pakken en startte zij haar Master Corporate Communication. Daarna ging zij in MKB aan de slag waar zij zelfstandig alle facetten van de marketing en communicatie opzette. Bij ZIVVER vindt ze de gedreven ondernemendheid aanstekelijk. Het meeste energie krijgt zij van kansen signaleren en ten volste benutten. Waarom? Omdat stilstand achteruitgang betekent. In haar vrije tijd staat Francis graag op het volleybalveld, maar geniet ook van de derde helft. Daarnaast maakt ze graag één keer per jaar een mooie reis.

Gepubliceerd op augustus 21, 2019

Laatst gewijzigd op december 11, 2019