Datalek? “Show me, don’t tell me”


We hebben de zomervakantie nog niet eens volledig achter ons gelaten en in toenemende mate komen er al weer (vermeende) datalekken bij ons Datalek Loket binnen (gemiddeld 7 per week). Voorbeelden van (vermeende) datalekken die wij als Lumen Group en als FG/DPO in ons werk tegenkomen zijn:

  • In een openbare prullenbak is een groot aantal papieren dossiers gestopt met vertrouwelijke en bijzondere personeelsgegevens (waarmee kinderen vervolgens spelen en van de papieren iets bouwen in de speeltuin).
  • Iemand is zijn telefoon kwijt die hij/zij ook voor je werk gebruikt met daarin telefoonnummers van collega’s.
  • Door een fout in het toekennen of intrekken van toegangsrechten in een systeem met persoonsgegevens hebben onbevoegden toegang.
  • Een (onbeveiligde) werklaptop is gestolen in de trein.
  • Iemand stuurt een e-mail met persoonsgegevens naar een verkeerd e-mailadres.
  • Het netwerk is gehackt en niet uit te sluiten is dat persoonsgegevens worden ingezien of gestolen.
  • Kopiëren door onbevoegden van gemaakte camerabeelden van een diefstal (dat vervolgens op social media weer wordt gedeeld).
  • Per ongeluk openbaar zetten van een bestand of directory met persoonsgegevens of juist door dit per ongeluk op internet te publiceren.
  • Overnemen van persoonlijke mailbox door hackers / phishing (waarna geldsommen worden gevraagd aan alle aanwezigen in de mailbox).
  • Op de gang zetten van dozen papieren dossiers met personeelsgegevens en klantgegevens.
  • Open laten staat van een website met directe toegang tot een systeem met persoonsgegevens door niet af te sluiten op een computer in de openbare bibliotheek.

Dit geeft ons aan dat de bewustwording groeit en illustreert tevens de absolute noodzaak van de naleving van de AVG/GDPR en het risicobeheer daaromheen. Veel organisaties zijn daarin flinke slagen aan het maken, maar er zijn ook nog veel organisaties die (veel) te weinig doen.

Organisaties lopen risico’s als zij bij een onverhoopt datalek niet kunnen laten zien (‘show’) dat dit een incident is, dat plaatsvindt binnen een omgeving waarin privacy- en informatiebeveiliging alle aandacht krijgt.

De Autoriteit Persoonsgegevens (AP) kan bij een gemeld datalek getriggerd worden een onderzoek uit te voeren. Als daarin vervolgens geen structurele aanpak blijkt voor privacy en informatiebeveiliging, kan zij direct een boete toekennen bij voldoende ernst. Ook gebeurt het regelmatig dat reputatieschade wordt opgelopen door een organisatie doordat de feiten rondom het datalek in de pers zijn gekomen.

De AP, maar ook de FG/DPO, zal vragen naar structureel getroffen maatregelen en bewijs waaruit dit werkt. Ofwel; ‘show me, don’t tell me’.

Er komen allerlei soorten datalekken bij ons binnen. Kleine, maar ook grote en ‘tamelijk onhandige’ datalekken, zoals bijvoorbeeld waarbij personeelsdossiers in openbare prullenbakken worden aangetroffen.Dit maakt ons werk interessant maar liever voorkomen we datalekken met elkaar. Toch?

Uiteraard geldt ‘waar gehakt wordt vallen spaanders’ maar veelal is dit te voorkomen door het vergroten van de bewustwording van medewerkers. Heeft u ook een datalek? Neem dan snel contact met ons Datalek Loket om dit met elkaar te bespreken via 030- 889 65 75 of datalekloket@lumengroup.nl. Snel handelen voorkomt vaak veel erger!

Wilt u werken aan structurele verbeteringen in uw AVG aanpak, dan kunnen wij u als Lumen Group hierbij uiteraard ook verder helpen.