In 2016 ontvangt de Autoriteit Persoonsgegevens (AP) bijna 5700 meldingen van datalekken. De gezondheidssector is koploper met het aantal meldingen. Bijna 30 procent van alle datalekken (1645 meldingen) komt uit deze branche. De sectoren financiële dienstverlening (ruim 17 procent) en openbaar bestuur (15 procent) sluiten de top drie af. Verder kwam 11,6 procent van de meldingen van de sector informatie en communicatie. Dat blijkt uit het jaarverslag van de AP.
‘Dat de meeste meldingen uit de zorgsector komen, wil niet zeggen dat zich hier de ergste overtreders bevinden’, schrijft de AP in het jaarverslag. ‘Vaak gaat het in deze branche om gevoelige persoonsgegevens zoals gezondheidsgegevens, financiële gegevens en/of het burgerservicenummer (bsn). Organisaties in deze sectoren moeten, gezien de aard van de gegevens, eerder een melding doen.’
Onderzoek en boetes
Op basis van de bijna 5700 meldingen heeft de AP in ruim vierduizend gevallen een eerste, oriënterend onderzoek gedaan. Ruim honderd organisaties kregen naar aanleiding hiervan een waarschuwing van de autoriteit. In tientallen gevallen startte de AP een diepgaander onderzoek.
Bij het niet naleven van wettelijke verplichtingen kan de AP besluiten om gebruik te maken van de bevoegdheid een last onder bestuursdwang of een last onder dwangsom op te leggen. In 2016 is twintig keer een procedure gestart om een last onder dwangsom op te leggen. Veelal nemen de onderzochte bedrijven en organisaties al maatregelen om de geconstateerde overtredingen te beëindigen voordat de AP daadwerkelijk een last onder dwangsom oplegt. Daarnaast mag de autoriteit een bestuurlijke boete opleggen van maximaal 820.000 euro. In 2016 heeft de AP hier geen gebruik van gemaakt.
2017
In Nederland geldt de Wet bescherming persoonsgegevens enkel nog maar in 2017. Vanaf 2018 is namelijk Europese privacywetgeving (de Algemene verordening gegevensbescherming, AVG of in het Engels GDPR) van toepassing. Nederlandse organisaties hierover voorlichten staat in 2017 bovenaan de agenda van de AP. Daarnaast staan profilering (gebruikersprofielen opstellen op basis van gegevens), verwerking van bijzondere persoonsgegevens (zoals medische gegevens) en de beveiliging van persoonsgegevens op de agenda van de autoriteit.
Meest voorkomende lekken
De AP maakt een overzicht van de meest voorkomende datalekken. Dat betreft het kwijtraken van een usb-stick met persoonsgegevens of een laptop of smartphone waar persoonsgegevens op staan die gestolen is. Maar het kan ook zijn dat post of een e-mail met persoonsgegevens bij een verkeerde ontvanger terecht komt of dat een klant in het klantenportaal de verkeerde gegevens bezit.
Je kunt nu eenmaal niet voor elk incident iets roepen. Ook niet betreffende het aantal wat hier word genoemd aangezien het onbekend is tegen welk getal je het over alle bij elkaar opgetelde handelingen moet plaatsen. Natuurlijk is elk incident er eentje teveel. Daarover geen misverstand.
Wat mij nog steeds verbaast, na meer dan dertig jaar de ontwikkelingen in digitale en mechanische automatisering. van zeer nabij, meemakend, dat menig organisatie nog steeds niet nadenkt over iets heel eenvoudigs.
E2E proces
Een End 2 End proces stelt eenvoudig wie op welk moment waar verantwoordelijk voor is. Mandetoir. Namelijk, dat je je nooit of te nimmer meer verschuilt achter een procesje, procedure, zegt dat jij er niets aan kunt doen, had kunnen doen omdat omdat omdat….
Een eenvoudig E2E proces zegt feitelijk het volgende:
‘U bent te allen tijde verantwoordelijk voor het proces waar u deel van uit maakt en zich in bevind. Te allen tijde is het uw taak verantwoordelijkheid te nemen zorg te dragen voor een goede procesgang. Het is uw verantwoordelijkheid elk hiaat of omissie meteen op te nemen en tot het eind en oplossing te volgen. ‘
Hier staat eenvoudig, zie je een fout, zie je iets ontbreken, zie je een situatie die problemen voor anderen kan opleveren? Mooi! Je bent dan verantwoordelijk dit meteen aan te kaarten en als Eigenaar van het betreffende probleem, dit tot afsluiten of oplossen te volgen. Het heet gewoon ‘Ownership’ en het nemen van verantwoordelijkheid. Voor jezelf, voor anderen.
Dit geld ook over het nadenken over het gebruik en inzet van IT en data. Hele eenvoudige stappen voorkomen namelijk veel problemen. Data op USB sticks? Prima, zolang het geen bedrijfsgevoelige data is en al helemaal geen persoonlijke data.
Email? Alleen veilig bevonden lijsten.
Transport van sensitieve data? Gewoon on line, beveiligde verbinding, waarbij zender en ontvanger vast staan.
Het zijn zeer eenvoudige zaken die menig IT dienstenleverancier klaarblijkelijk de organisaties die zij bedienen, nog steeds niet bij brengen. Ik vraag me dan telkens weer af? Waarom? U bent de expert, u heeft een zorgplicht.
Beste René,
De meeste mitigerende maatregelen tegen datalekkage kosten gewoonweg resources ofwel geld. Zolang de proceseigenaar geen of onvoldoende middelen tot zijn/haar beschikking heeft zal een keuze gemaakt worden. De keuze is de zogenaamde “risk appetite”. Ondanks de zorgplicht zal degene die het procesbudget beheerd overtuigd moeten zijn van de zin voor de investering. De voorgestelde oplossing dat de proceseigenaar tevens financiele verantwoordelijkheid krijgt en daarop wordt afgerekend lijkt opportuun, maar dekt naar mijn mening de lading niet.
De uiteindelijke verantwoording ligt bij de leiding. Zij zijn het de organisatie verplicht om toe te zien op een juiste behandeling van de gegevens. Zij kunnen de middelen beschikbaar stellen om maatregelen te treffen. Een goed uitgeruste proceseigenaar met voldoende middelen speelt een belangrijke rol om tijdig omissies te adresseren.
Dan is het nog steeds een kwestie van kosten en baten. Vandaar de hoge boetes volgens de richtlijnen van GDPR.