Slordige medewerkers veroorzaken datalekken
Oeps! Verkeerd e-mailadres gebruikt en net na op ‘verzenden’ geklikt te hebben kom je er achter dat je mail onbedoeld bij een verkeerde ontvanger terecht komt. Als die mail persoonsgegevens bevat, dan is er officieel sprake van een datalek. Het is de meest voorkomende oorzaak van datalekken door de organisatie. Zo’n lek moet gemeld worden bij de Autoriteit Persoonsgegevens (AP) en die kregen in het eerste kwartaal van 2017 al 2300 meldingen van datalekken binnen.
Datalekken kunnen natuurlijk ook veroorzaakt worden door mega-hacks waarvan organisaties slachtoffer kunnen worden, maar het zijn vooral de vermijdbare oorzaken die een lek tot gevolg hebben zoals het onbedoeld versturen van persoonsgegevens aan een verkeerde ontvanger (45%) of het kwijtraken van telefoons, USB-sticks of andere gegevensdragers als cd-roms of papieren (15%).
De gevolgen van een verkeerd gestuurde e-mail zijn doorgaans beperkt, omdat het in 60 procent van de gevallen om minder dan 10 mensen gaat.
Anders ligt het bij de gevolgen van ransomeware of fouten bij klantportalen met forse klantenbestanden. Ze komen minder vaak voor, maar als het ‘raak’ is, dan is de groep die daar gevolgen van ondervind vele malen groter. Bij ransomeware wordt dat door AP geschat op 300.000 slachtoffers, voor de klantportalen op 480.000. Ransomware, hacking of phishing was in 7% van de gevallen de oorzaak van incidenten, en het tonen van verkeerde of te veel klantgegevens in klantportalen in 5%. De meeste meldingen kwamen uit de sector gezondheid en welzijn (27%), de financiële dienstverlening (21%) en het openbaar bestuur (20%).
Melden is verplicht
Sinds 1-1-2016 geldt de meldplicht datalekken. Het niet melden kan tot forse boetes voor de ondernemer leiden. De AP gaat onderzoek doen naar het niet melden, zodat het van nu nog het geven van waarschuwingen daadwerkelijk kan uitdraaien op het opleggen van fikse boetes.
Rol van de OR
Een regeling op het gebied van de registratie, bescherming en verwerking van persoonsgegevens is instemmingsplichtig. Op die manier heeft de ondernemingsraad een flinke vinger in de pap op het beleid rondom de bescherming van persoonsgegevens. Onderdeel daarvan kan zijn dat er een regeling is gemaakt hoe datalekken intern gemeld kunnen worden en hoe medewerkers geïnformeerd worden over de verplichting om zo’n onbedoelde ‘oeps’-mail eerst intern te melden. De ondernemer kan dan vervolgens de melding bij de AP doen.