Meldplicht datalekken: creëer een veilige meldcultuur

Sinds de Meldplicht Datalekken van kracht is gegaan, heeft de Autoriteit Persoonsgegevens tal van meldingen verwerkt. Toch is het zeer waarschijnlijk slechts het topje van de ijsberg. Veel in potentie ernstige datalekken worden onder de pet gehouden, met alle risico’s van dien. Onverstandig: organisaties zijn niet gebaat bij een zwijgcultuur. Maar hoe verander je dat?

Lees Blog

Datalekken zijn een van de grootste cyberdreigingen van dit moment. Natuurlijk sowieso voor de organisatie die persoonsgegevens verwerkt. De boetes die AP kan uitdelen zijn met een maximumbedrag van 820.000 euro of 10 procent van de omzet beslist niet kinderachtig. Daarbij komt dat een ernstig datalek vaak gepaard gaat met herstelkosten, kosten voor forensisch onderzoek, en niet onbelangrijk: imagoschade. De gevolgen voor de betrokkenen zijn in potentie nog desastreuzer. Het vrijgegeven van privacygevoelige informatie kan een grote klap zijn voor iemands persoonlijke levenssfeer.

Voorkomen is beter dan genezen

Het is dus in eerste plaats er alles aan gelegen om datalekken zoveel mogelijk te voorkomen. Niet voor niets heeft de overheid allerlei spelregels opgesteld waar organisaties aan moeten voldoen. Geen enkele organisatie die persoonsgegevens verwerkt komt onder de verplichting van een degelijk privacybeleid uit.

Ondanks alle inspanningen is een datalek nooit 100% uit te sluiten. Mensen maken nu eenmaal fouten, hoe goed ze ook zijn getraind of hoe bewust ze ook zijn van de risico’s. In zo’n geval is het belangrijk dat een datalek aan het licht komt. Een organisatie heeft de wettelijke en morele plicht er alles aan te doen de gevolgen te beperken en herhaling te voorkomen. Maar wat als een datalek nooit aan het licht komt, omdat de medewerker het niet opmerkt of zelfs bewust achterhoudt?

Bereidheid verschilt

De bereidheid om datalekken te melden verschilt enorm per organisatie. Dat zegt niet altijd alles over de mate waarin ze voldoen aan de privacywetgeving, of hoe goed ze hun zaken op orde hebben wat betreft beveiliging. Het kan ook liggen aan de heersende cultuur, waarin medewerkers datalekken liever achterhouden, of zelfs niet opmerken.

Een kwalijke zaak. Het nooit doen van een melding kan voor de AP een reden zijn een organisatie extra in de gaten te houden. Met alle mogelijke gevolgen van dien wanneer het misgaat. Constateert het AP een datalek waarvan nooit melding is gemaakt, dan kan het de organisatie ernstige nalatigheid verwijten. De boete kan dan al snel richting het maximale bedrag gegaan, zeker wanneer dit meer dan eens gebeurt. Het devies is dan ook: beter een melding te veel dan een melding te weinig.

Het niet maken van een datalekmelding door medewerkers kan een aantal oorzaken hebben.

1. De medewerker is bang voor represailles van hogerhand

Sommige organisaties heerst een angstcultuur, waar fouten door medewerkers worden afgestrafd met een forse preek, of erger. In zo’n cultuur zijn medewerkers al snel bang om fouten toe te geven. Hij of zij zal in zo’n geval een datalek veroorzaakt door eigen fouten dan ook onder de pet houden.

2. Er heerst een ‘niet-klikken’-cultuur

Bij collega’s onderling kan er een cultuur heersen waarbij mensen elkaar de hand boven het hoofd houden. Het is dan ‘niet kies’ om de fouten van een ander te melden. Wordt een datalek veroorzaakt door een ander, dan zullen zijn collega’s ook niet ‘klikken naar de baas’. Dit is feitelijk een exponent van een angstcultuur, waar fouten worden gezien als slecht en vermijdbaar.

3. De medewerker heeft het lek niet opgemerkt

Dit is misschien wel de meest voorkomende reden van het niet doen van een melding bij een datalek. Medewerkers weten simpelweg niet altijd wat een datalek is, laat staan hoe ze er een kunnen herkennen. Gebrek aan kennis en bewustzijn is hier dus de oorzaak van het achterwege blijven van een melding.

4. De medewerker maakt een verkeerde inschatting van de ernst van de situatie

‘Ach, m’n e-mail is bij de verkeerde persoon beland. Ik stuur er wel een mailtje achteraan dat deze niet voor hem bedoeld was.’ Vaak wordt de ernst van een datalek schromelijk onderschat, waardoor een melding onterecht uitblijft. Ook hier geldt dat er sprake is van onvoldoende bewustzijn rondom de risico’s.

5. De medewerker wil wel melding maken, maar weet niet precies hoe

Het maken van een melding gaat volgens een bepaalde standaardprocedure. Wanneer medewerkers daar niet mee bekend zijn, kan de neiging ontstaan het maar helemaal niet te doen.

Meldcultuur realiseren

Genoeg argumenten dus om van een zwijgcultuur naar een meldcultuur te bewegen. Dat kan op een aantal manieren.

1. Werken aan betere security- en privacy-awareness

Je medewerkers moeten natuurlijk wel weten wat een datalek is en wat niet, zodat ze de ‘meldingswaardige’ gevallen herkennen. Een awareness-programma is dan ook onmisbaar voor iedere organisatie serieus persoonsgegevens verwerkt.

2. Niet straffen, maar belonen

Medewerkers moeten het gevoel krijgen dat ze datalekken kunnen melden, zonder dat daar direct schuine blikken of zelfs represailles oplevert. Draai het om: beloon medewerkers die fouten van zichzelf of anderen toegeven en open zijn over geconstateerde datalekken. Druk iedereen op het hart dat fouten maken nu eenmaal onvermijdelijk is. Geef hen bij meldingen complimenten en waardering: je medewerkers zijn immers de voelsprieten van de organisatie als het gaat om het herkennen van dergelijke zaken. Maar ook aan de gehele organisatie duidelijk dat het melden van fouten van anderen geen ‘klikken’ is, maar in belang van de gehele organisatie.

3. Vraag pro-actief naar incidenten

Medewerkers kunnen het idee krijgen dat het management niet geïnteresseerd is in data-incidenten. Dat kan een reden zijn om incidenten niet door te geven. Door zelf pro-actief te vragen naar de stand van zaken voorkom je die instelling.

4. Documenteer de meldprocedure

Het moet te allen tijde duidelijk zijn hoe de meldprocedure precies in zijn werk gaat. Documenteer deze en zorg ervoor dat die informatie voor iedere betrokken medewerker gemakkelijk toegankelijk is.

Voorkom een cultuur van ontkenning, onwetendheid en wegkijken, en begin vandaag nog met de transformatie!

GDPR: deze misvattingen staan compliance in de weg

In mei 2018 is het zover: dan gaat de General Data Protection Regulation (GDPR), ofwel Algemene Verordening Gegevensbescherming (AVG), van kracht. Vanaf dat moment moeten organisaties die persoonsgegevens verwerken aan nog strengere wet- en regelgeving voldoen dat nu het geval is. Toch reageren veel organisaties nog laconiek en wordt het onderwerp omgeven door de nodige misverstanden. Deze 5 bemoeilijken het compliancetraject.

Voldoen aan de privacywetgeving: meer dan encryptie en een bewerkersovereenkomst

Het zijn twee veelgehoorde aanbevelingen in de discussie rondom de privacywetgeving: stel een bewerkersovereenkomst op en versleutel gevoelige data. Volgens sommige instanties is dat zelfs voldoende voor compliance. Niets is minder waar: dit zijn slechts twee elementen uit een veel groter pakket aanbevolen of zelfs verplichte maatregelen.

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!