‘De AVG is de nieuwe millenniumbug.’ Die vrees werd vaak uitgesproken tijdens de eerste twaalf maanden waarin de privacywetgeving van kracht was. Maar terwijl de aan de ene kant de klachten bij de Autoriteit Persoonsgegevens binnenstroomden, vond het grote publiek vooral dat de AVG veel geschreeuw en weinig wol was. Maar zie, inmiddels zijn de eerste boetes zijn uitgedeeld en de AVG staat inmiddels weer hoog op ieders agenda.
Ondanks het bewustzijnvan de AVG gaat er vrijwel geen dag voorbij waarop er geen datalek in het nieuws is – en de gevolgen lijken alleen maar groter te worden. Het recente rapport ‘Cost of a Data Breach’ door IBM en Ponemon berekende dat de gemiddelde schade van een datalek met 1,5 procent is gestegen naar 3,92 miljoen dollar.
Ciso’s werken hard aan een oplossing van dit probleem, maar weten inmiddels ook niet goed meer waar ze de sleutel hiervoor kunnen vinden. Goed begrijpen waarom datalekken nog steeds voorkomen is een logisch startpunt van deze zoektocht. Maar wanneer er mensen zijn betrokken, blijken zaken minder zwart-wit te zijn dan je op het eerste oog zou verwachten.
Waarom-vraag beantwoorden
Er is veel aandacht en analyse besteed aan het type en de frequentie van datalekken, maar er is maar weinig focus op de vraag waarom een datalek ontstaat. Wanneer het gaat om cyberaanvallen of kwaadaardige datalekken kunnen we vrij snel motivaties bedenken, zoals financieel of politiek gewin, sabotage van concurrentie of eenvoudigweg emotie (bijvoorbeeld wraakgevoelens). De link tussen deze motivaties en de acties die hier het gevolg van zijn, mogen dan onwenselijk zijn – ze zijn tegelijkertijd ook verklaarbaar.
Wanneer het gaat om niet-kwalijke datalekken veroorzaakt door werknemers, wordt het complexer om zulke heldere motivaties aan te wijzen. Maar alleen door het waarom achter een datalek te begrijpen, kunnen er maatregelen worden genomen om het risico erop te verkleinen.
Daarom is er recentelijk een onderzoek uitgevoerd in samenwerking met onderzoeksbureau Opinion Matters, waarbij meer dan vijfhonderd cio’s en it-leidinggevenden in zowel de Verenigde Staten als Groot-Brittannië werden ondervraagd. Vrijwel alle respondenten (95 procent) maakten zich zorgen over de dreiging van binnenuit. En een meerderheid erkende dat ze vermoedden dat hun werknemers bedrijfsgegevens aan risicovolle situaties hadden blootgesteld in de afgelopen twaalf maanden, of dat nou per ongeluk (79 procent) of opzettelijk (61 procent) was.
Daarnaast hebben we meer dan vierduizend werknemers dezelfde vragen gesteld en daar komt een heel ander beeld uit naar voren: 92 procent zegt niet per ongeluk data te hebben gelekt en 91 procent geeft aan niet opzettelijk een datalek te hebben veroorzaakt.
Zo’n duidelijk contrast laat zien dat werknemers ofwel niet willen toegeven dat ze onzorgvuldig met data zijn omgegaan, ofwel zich er niet bewust van zijn.
Het probleem van onbewust data lekken is een precaire discussie. Het is niet alleen een zaak van bijvoorbeeld niet weten dat ze gevoelige data met de verkeerde personen hebben gedeeld. Het draait ook om de vraag of werknemers vinden dat ze recht hebben op toegang tot bepaalde informatie en gemachtigd zijn om deze gegevens bijvoorbeeld uit een beveiligde omgeving te halen. Want ook op die manier ontstaat een lek, bijvoorbeeld wanneer een werknemer contactgegevens van klanten meeneemt naar een nieuwe werkgever.
Uit het onderzoek blijkt dat bijna een derde van de werknemers (29 procent) ervan overtuigd is dat zij het recht hebben om data te bezitten van een bedrijf waar ze hebben gewerkt, en 60 procent is niet van mening dat de organisatie het exclusieve bezitsrecht heeft op deze data. Vooral jongeren zien data als gemeengoed: in de leeftijdscategorie 16-24 jaar gaf 33 procent aan dat organisaties bedrijfsdata exclusief bezitten, tegenover 51 procent van de respondenten van 65 jaar en ouder.
Bewustzijn en voorlichting zijn favoriet wanneer het gaat om de aanpak van niet-kwaadaardige lekken binnen de organisatie. Een stevige fundering van bewustzijn rondom cybersecurity kan vervelende situaties als gevolg van nalatigheid voorkomen. Werknemers kunnen eveneens worden bijgespijkerd in het onderwerp databezit, bijvoorbeeld in welke data in bezit van het bedrijf blijft wanneer een werknemer vertrekt. Een dergelijke voorlichting is met name van belang voor de nieuwe generaties van ‘social savvy’ werknemers, die in hun privéleven makkelijker omgaan met het delen van persoonlijke gegevens.
Maar met voorlichting alleen gaan organisaties het niet redden, fouten maken blijft immers menselijk.
Technologie kan helpen
Respondenten in het onderzoek die aangaven verantwoordelijk te zijn voor een datalek is ook gevraagd wat hiervan de oorzaak was. De meest genoemde redenen: fouten door snelheid (48 procent), werken onder hoge druk (30 procent) en vermoeidheid (29 procent). De meest genoemde redenen voor bewuste datalekken: het niet beschikken over de juiste tools om data veilig te delen (55 procent) en het meenemen van data naar een nieuwe baan (23 procent).
Dit inzicht helpt ons te begrijpen welke rol technologie speelt in het voorkomen van datalekken. Nieuwe machine learning- en graph database-technologieën maken het mogelijk om het moment te identificeren waarop de kans groter wordt dat werknemers de fout ingaan, per ongeluk of expres. Zo kunnen gebruikers en toezichthouders snel worden gewaarschuwd dat er een lek zou kunnen ontstaan, en kan dit zelfs voorkomen worden.
De inzet van deze technologie verkleint niet alleen de kans op een lek, maar ook de mogelijke impact ervan. Uit het eerder aangehaalde onderzoek ‘The Cost of a Data Breach’ blijkt dat beveiligingstechnologieën zoals encryptie en data loss prevention software zorgen voor lagere schadeposten bij een datalek. Encryptie heeft de grootste impact, met een schadevermindering van gemiddeld 360.000 dollar. Automatisering van security, waarbij technologieën zoals machine learning en analytics worden ingezet, leidt tot een afname van gemiddeld 2,5 miljoen dollar per datalek.
Geen nieuwe millenniumbug
Iemand die dagelijks bezig is met cybersecurity kan de AVG-wetgeving en de gevolgen niet negeren. Maar hoe verder mensen afstaan van een ciso en zijn securityteam, hoe lager het bewustzijn is voor de wetgeving. Het probleem is echter dat de AVG daar geen rekening mee houdt: de wet geldt voor iedereen, en over een goede bescherming van data valt niet te onderhandelen.
Zoals blijkt uit onderzoek, is er geen wondermiddel beschikbaar waarmee datalekken definitief gestopt kunnen worden. Dat geldt zeker voor lekken die worden veroorzaakt door werknemers, in al hun complexiteit. Maar de AVG heeft het afgelopen jaar bewezen dat datalekken niet de nieuwe millenniumbug zijn – ciso’s moeten werknemers blijven voorlichten en voorzien van het juiste gereedschap waarmee non-compliance wordt voorkomen. Om dit te bereiken, moeten ciso’s de problemen aanpakken die werknemers ervaren bij het delen van data. Wanneer ciso’s er niet 100 procent op kunnen vertrouwen dat personeel de juiste beslissingen neemt, moeten ze kijken naar welke technologieën die beslissing het best in hun plaats kan nemen.
Axel van Drongelen, general manager Benelux Egress Software
Een club die de gegevenshuishouding goed op orde heeft kan vrij gemakkelijk voldoen aan de eisen die de AVG stelt. Maar wat als je gegevenshuishouding te wensen overlaat?
Hoe ga je bijvoorbeeld het recht op vergetelheid realiseren als je bijvoorbeeld niet precies weet in welke systemen persoonsgegevens van welke personen zitten? Hoe weet je wat een datalek is als je geen overzicht kunt krijgen van welke gebruikers(-groepen) bij welke gegevens kunnen? En hoe ga je dat inregelen als je IT-medewerkers geen overzicht hebben?
AVG-compliance begint dus heel gewoon bij datahygiene. En hoe weet je hoe het daarmee is gesteld? En heb je de kennis daarover beschikbaar?
@Stef … en wat als je niet eens IT medewerkerks hebt, maar een vereniging of stichting hebt die volledig draait op vrijwilligers …..
(gelukkig scheelt het dat de meeste verenigingen/stichtingen geen “gevoelige” informatie nodig hebben om hun organisatie draaiende te houden)
@PaVaKe
De meeste verenigingen hebben ledenlijsten. Daar staan gegevens op die AVG gevoelig zijn, zoals naam, contactgegevens, geboortedatum, rekeningnummer, betalingshistorie, …
@Frank: stukje tekst van de site van de autoriteit persoonsgegevens ter verduidelijking van wat ik bedoelde:
Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.
@PaVaKe
Duidelijk!
De gemiddelde vereniging heeft deze info niet nodig, en heeft deze dan ook niet (als het goed is). Tenzij je de administratie van de Protestants-christelijke kettingrokersvereniging in handen hebt, dan is de kans groot dat de leden een christelijke achtergrond plus long- en hartklachten hebben.
Tot voor kort was het heel normaal dat je “gewone” persoonsgegevens van clubleden gewoon via de mail kreeg. Ik ben benieuwd wat nu de status van de gegevensbeveiliging is…
@Frank: om je een idee te geven wat we bij de vereniging waar ik lid ben gedaan hebben:
– in plaats van email adressen aan trainers / coaches te geven hebben we voor ieder team een mail-alias aangemaakt waarnaar gemaild kan worden, via onze server wordt het dan doorgestuurd naar de leden en/of hun ouders
– als vereniging geven we geen telefoonnummers meer uit; we laten de teams (indien daar behoefte aan is) zelf whatsapp groepen aanmaken
PaVaKe: Deze lijn van gedachten en voorbeelden zijn precies wat mensen nodig hebben. Gewoon simpele praktische informatie die helpt om makkelijker aan de wetgeving te voldoen. Natuurlijk is het geheel wat complexer, maar het is een goed begin. Pas als het makkelijk behapbaar is ontstaan de kans dat er een gedragsverandering optreedt.
PaVaKe, waarom in hemelnaam whatsapp, een deel van Facebook en amerikaans.
Er zijn toch altenativen zoals signal.
@Jan van Leeuwen … ’t is wat ze zelf willen gebruiken. Whatsapp is onder de jeugd nog steeds populair, dus dat gebruiken ze. We verplichten ze tot niets. Als ze liever postduiven gebruiken mag dat ook bij wijze van spreken
Beste Ano Niem, alias Ewout Dekkinga, Principal Architect bij Fuijitsu …. als je onze vereniging en de Nevobo niet kent, is het misschien beter te zwijgen in plaats van dit soort onzin te verkopen.
Bij het volleybal mag je na een rode kaart gewoon weer de volgende wedstrijd mee spelen namelijk; in het ergste geval moet er een boete betaald worden en dat wordt in dat geval netjes als “boete” geadministreerd in onze boekhouding, zonder vermelding van de persoon.
Ik weet niet wat je wil bereiken met dit soort reacties, maar het effect is wat mij betreft averechts