Meldplicht datalekken: creëer een veilige meldcultuur

Sinds de Meldplicht Datalekken van kracht is gegaan, heeft de Autoriteit Persoonsgegevens tal van meldingen verwerkt. Toch is het zeer waarschijnlijk slechts het topje van de ijsberg. Veel in potentie ernstige datalekken worden onder de pet gehouden, met alle risico’s van dien. Onverstandig: organisaties zijn niet gebaat bij een zwijgcultuur. Maar hoe verander je dat?

Lees Blog

Datalekken zijn een van de grootste cyberdreigingen van dit moment. Natuurlijk sowieso voor de organisatie die persoonsgegevens verwerkt. De boetes die AP kan uitdelen zijn met een maximumbedrag van 820.000 euro of 10 procent van de omzet beslist niet kinderachtig. Daarbij komt dat een ernstig datalek vaak gepaard gaat met herstelkosten, kosten voor forensisch onderzoek, en niet onbelangrijk: imagoschade. De gevolgen voor de betrokkenen zijn in potentie nog desastreuzer. Het vrijgegeven van privacygevoelige informatie kan een grote klap zijn voor iemands persoonlijke levenssfeer.

Voorkomen is beter dan genezen

Het is dus in eerste plaats er alles aan gelegen om datalekken zoveel mogelijk te voorkomen. Niet voor niets heeft de overheid allerlei spelregels opgesteld waar organisaties aan moeten voldoen. Geen enkele organisatie die persoonsgegevens verwerkt komt onder de verplichting van een degelijk privacybeleid uit.

Ondanks alle inspanningen is een datalek nooit 100% uit te sluiten. Mensen maken nu eenmaal fouten, hoe goed ze ook zijn getraind of hoe bewust ze ook zijn van de risico’s. In zo’n geval is het belangrijk dat een datalek aan het licht komt. Een organisatie heeft de wettelijke en morele plicht er alles aan te doen de gevolgen te beperken en herhaling te voorkomen. Maar wat als een datalek nooit aan het licht komt, omdat de medewerker het niet opmerkt of zelfs bewust achterhoudt?

Bereidheid verschilt

De bereidheid om datalekken te melden verschilt enorm per organisatie. Dat zegt niet altijd alles over de mate waarin ze voldoen aan de privacywetgeving, of hoe goed ze hun zaken op orde hebben wat betreft beveiliging. Het kan ook liggen aan de heersende cultuur, waarin medewerkers datalekken liever achterhouden, of zelfs niet opmerken.

Een kwalijke zaak. Het nooit doen van een melding kan voor de AP een reden zijn een organisatie extra in de gaten te houden. Met alle mogelijke gevolgen van dien wanneer het misgaat. Constateert het AP een datalek waarvan nooit melding is gemaakt, dan kan het de organisatie ernstige nalatigheid verwijten. De boete kan dan al snel richting het maximale bedrag gegaan, zeker wanneer dit meer dan eens gebeurt. Het devies is dan ook: beter een melding te veel dan een melding te weinig.

Het niet maken van een datalekmelding door medewerkers kan een aantal oorzaken hebben.

1. De medewerker is bang voor represailles van hogerhand

Sommige organisaties heerst een angstcultuur, waar fouten door medewerkers worden afgestrafd met een forse preek, of erger. In zo’n cultuur zijn medewerkers al snel bang om fouten toe te geven. Hij of zij zal in zo’n geval een datalek veroorzaakt door eigen fouten dan ook onder de pet houden.

2. Er heerst een ‘niet-klikken’-cultuur

Bij collega’s onderling kan er een cultuur heersen waarbij mensen elkaar de hand boven het hoofd houden. Het is dan ‘niet kies’ om de fouten van een ander te melden. Wordt een datalek veroorzaakt door een ander, dan zullen zijn collega’s ook niet ‘klikken naar de baas’. Dit is feitelijk een exponent van een angstcultuur, waar fouten worden gezien als slecht en vermijdbaar.

3. De medewerker heeft het lek niet opgemerkt

Dit is misschien wel de meest voorkomende reden van het niet doen van een melding bij een datalek. Medewerkers weten simpelweg niet altijd wat een datalek is, laat staan hoe ze er een kunnen herkennen. Gebrek aan kennis en bewustzijn is hier dus de oorzaak van het achterwege blijven van een melding.

4. De medewerker maakt een verkeerde inschatting van de ernst van de situatie

‘Ach, m’n e-mail is bij de verkeerde persoon beland. Ik stuur er wel een mailtje achteraan dat deze niet voor hem bedoeld was.’ Vaak wordt de ernst van een datalek schromelijk onderschat, waardoor een melding onterecht uitblijft. Ook hier geldt dat er sprake is van onvoldoende bewustzijn rondom de risico’s.

5. De medewerker wil wel melding maken, maar weet niet precies hoe

Het maken van een melding gaat volgens een bepaalde standaardprocedure. Wanneer medewerkers daar niet mee bekend zijn, kan de neiging ontstaan het maar helemaal niet te doen.

Meldcultuur realiseren

Genoeg argumenten dus om van een zwijgcultuur naar een meldcultuur te bewegen. Dat kan op een aantal manieren.

1. Werken aan betere security- en privacy-awareness

Je medewerkers moeten natuurlijk wel weten wat een datalek is en wat niet, zodat ze de ‘meldingswaardige’ gevallen herkennen. Een awareness-programma is dan ook onmisbaar voor iedere organisatie serieus persoonsgegevens verwerkt.

2. Niet straffen, maar belonen

Medewerkers moeten het gevoel krijgen dat ze datalekken kunnen melden, zonder dat daar direct schuine blikken of zelfs represailles oplevert. Draai het om: beloon medewerkers die fouten van zichzelf of anderen toegeven en open zijn over geconstateerde datalekken. Druk iedereen op het hart dat fouten maken nu eenmaal onvermijdelijk is. Geef hen bij meldingen complimenten en waardering: je medewerkers zijn immers de voelsprieten van de organisatie als het gaat om het herkennen van dergelijke zaken. Maar ook aan de gehele organisatie duidelijk dat het melden van fouten van anderen geen ‘klikken’ is, maar in belang van de gehele organisatie.

3. Vraag pro-actief naar incidenten

Medewerkers kunnen het idee krijgen dat het management niet geïnteresseerd is in data-incidenten. Dat kan een reden zijn om incidenten niet door te geven. Door zelf pro-actief te vragen naar de stand van zaken voorkom je die instelling.

4. Documenteer de meldprocedure

Het moet te allen tijde duidelijk zijn hoe de meldprocedure precies in zijn werk gaat. Documenteer deze en zorg ervoor dat die informatie voor iedere betrokken medewerker gemakkelijk toegankelijk is.

Voorkom een cultuur van ontkenning, onwetendheid en wegkijken, en begin vandaag nog met de transformatie!

Is de accountant verwerkingsverantwoordelijke of verwerker?

Accountants krijgen vanaf 25 mei zonder uitzondering te maken met de nieuwe Europese privacywetgeving (AVG/GDPR). Wat dat precies betekent voor de dagelijkse praktijk, hangt voor een groot deel af van een belangrijke factor: of de accountant tijdens een opdracht de rol van externe verwerker of die van verwerkingsverantwoordelijke aanneemt.

Voorbereid op de AVG? ‘We zijn ermee bezig’

Veel organisaties hanteren een te nauwe blik als het gaat om de voorbereidingen voor de AVG/GDPR. Gevaarlijk, want met een enkelzijdige focus is compliance in vrijwel alle gevallen onhaalbaar. Wij zetten de belangrijkste aandachtsgebieden op een rij.

Mag ik nog mailings versturen onder de nieuwe privacywetgeving?

Mailings versturen naar je zorgvuldig opgebouwde contactenlijst. Het is één van de bekende manieren om op het netvlies te blijven van je doelgroep en nieuwe business te genereren. Maar mag dat nog wel onder de nieuwe Europese privacywetgeving (AVG / GDPR)?

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

Whitepaper GDPR

Download de Whitepaper GDPR

Wilt u meer weten over de Privacywetgeving, de AVG/GDPR en de concequenties voor uw organisatie? Vul dan uw naam en e-mailadres in. U ontvangt vervolgens een e-mail met daarin een download-link.

Bedankt voor het aanvragen van de Whitepaper. Check uw e-mail... ook uw SPAM-box.