Datalekken in het nieuws: Hoe Zivver in 2022 18.000 vergelijkbare BCC-fouten voorkwam

De datalekken van afgelopen week

Deze week zijn er weer twee pijnlijke incidenten geweest in Nederland waarbij medewerkers per ongeluk veel ontvangers in de CC (Carbon Copy) hebben gezet in plaats van de BCC (Blind Carbon Copy). Bij het Hoogheemraadschap Hollands Noorderkwartier (HHNK) stonden bijvoorbeeld 300 genodigden voor een afscheidsreceptie in de CC in plaats van de BCC. Bij pensioenfonds ABP waren er ook 500 ontvangers van een mail in de CC gezet in plaats van de BCC. Beide gevallen waren het gevolg van menselijke fouten.

Een ‘BCC-fout’ kan grote gevolgen hebben

Wat de impact is van genoemde datalekken is, weten we (nog) niet. Maar dergelijke "BCC-fouten" kunnen ernstige gevolgen hebben. Een voorbeeld is het datalek bij het Britse Ministerie van Defensie anderhalf jaar geleden. Een medewerker stuurde per ongeluk een e-mail naar alle in Afghanistan achtergebleven vertalers die voor de Engelse overheid werkten, met instructies over hoe ze het land zo snel mogelijk konden verlaten. Helaas werden alle vertalers in de CC gezet, zonder veilige e-mail en zonder authenticatie. Dit bracht het leven van deze vertalers in gevaar. Een ander recent voorbeeld is de Schotse gezondheidsdienst NHS Highland, waarbij een medewerker per ongeluk 37 patiënten met HIV een mail stuurde voor een afspraak, waarbij alle ontvangers in de CC stonden, waardoor iedereen te weten kwam dat ze HIV hadden.

De omvang van 'BCC-fouten' in Nederland is niet bekend.

Helaas weten we niet precies hoeveel datalekken in Nederland worden veroorzaakt door het verkeerd gebruik van BCC. Het deze week uitgebrachte jaarlijkse overzicht van gemelde datalekken in Nederland toont aan dat het aantal datalekken veroorzaakt door een ‘e-mail met persoonsgegevens verstuurd aan verkeerde ontvanger(s) of verstuurd met ontvangers in het aan-veld of in de cc’ in 2022 met 74% is toegenomen. Deze categorie omvat eigenlijk drie verschillende soorten datalekken:

• Het versturen van een e-mail met vertrouwelijke informatie, zoals bijlagen met BSN-nummers of salarisgegevens.
• Het per ongeluk sturen van een e-mail naar de verkeerde persoon, bijvoorbeeld een verkeerde "Jan" of "Marieke".
• Het versturen van een e-mail met ontvangers in het AAN- of CC-veld in plaats van het BCC-veld.

Hierdoor weten we dus niet precies hoeveel datalekken in Nederland worden veroorzaakt door het verkeerd gebruik van de BCC. Hierbij een oproep aan de AP om deze oorzaken verder uitgesplitst (of de ruwe anonieme data) te delen, zoals de ‘Engelse AP’, de Information Commissioner's Office (ICO), doet in een interactief dashboard. Hiermee kunnen organisaties nog beter leren van de fouten van anderen. #sharingiscaring.

Voorkomen van menselijke fouten door trainingen is niet effectief

Het trainen van medewerkers is een veelgebruikte aanpak om dit soort fouten te voorkomen. Bedrijven investeren in bewustwordingsprogramma's en trainingssessies om werknemers op de hoogte te brengen van de juiste procedures. Echter, uit onderzoek blijkt dat training alleen beperkt effectief is. Slechts 36% van de medewerkers geeft aan iets te hebben geleerd van de training, terwijl 33% aangeeft niets te hebben geleerd. Daarnaast heeft 31% van de medewerkers zelfs geen training gehad of bijgewoond. Mensen blijven mensen en zullen nog steeds fouten maken, vooral onder tijdsdruk of wanneer ze te veel informatie moeten verwerken.

Gebruiksvriendelijke en effectieve beslissingsondersteuning als oplossing

Om menselijke fouten effectief te voorkomen, moeten we verder gaan dan alleen training. Het implementeren van beslissingsondersteuning is een waardevolle aanvulling. Deze systemen kunnen werknemers helpen bij het nemen van de juiste beslissingen op het gebied van gegevensbescherming, bijvoorbeeld door automatisch aan te bevelen om BCC te gebruiken bij het verzenden van e-mails naar grote groepen ontvangers. Door menselijke beslissingen te ondersteunen met slimme software kunnen we de kans op fouten aanzienlijk verminderen. Het is belangrijk dat deze systemen gebruiksvriendelijk zijn (niet blokkeren, onnodige pop-ups of onnodige retourmailtjes) en effectief werken (niet melden wanneer niet waardevol).

Zivver voorkomt nu al jaarlijks 18.000 BCC fouten in Nederland

Zivver biedt in haar product al jaren beslissingsondersteuning met slimme regels om ook dit soort BCC-fouten te voorkomen. Ongeveer 6000 organisaties die klant zijn bij Zivver maken al gebruik van deze 'BCC-regel'. Uit analyse blijkt dat Zivver op dit moment (peildatum 6 juni) 1.500 BCC-fouten per maand, oftewel 18.000 per jaar voorkomt! Deze gegevens zijn echter nog een onderschatting, omdat sommige klanten de logging die nodig is voor de analyse hebben uitgezet.

Gratis beslissingsondersteuning ter voorkoming van BCC-fouten

De incidenten van het afgelopen weekend hebben ons bevestigd in onze missie en ook opnieuw gewezen op de kwetsbaarheid van menselijke fouten bij het omgaan met gevoelige informatie. Dit is pijnlijk, des te meer dat deze fout eenvoudig is te voorkomen met beslissingsondersteuning aan medewerkers.

Als reactie op recente incidenten biedt Zivver nu gratis activering van de BCC-regel aan organisaties die al klant zijn, maar deze regel nog niet hebben geactiveerd. Zivver wil organisaties helpen bij het voorkomen van deze basale fouten en roept op tot samenwerking om datalekken te voorkomen. #samendatalekkenvoorkomen!

Als je meer wilt weten over deze regel of andere slimme regels die datalekken met verschillende oorzaken voorkomen, laat dan een reactie achter en we zullen contact met je opnemen!