‘De AVG is de nieuwe millenniumbug.’ Die vrees werd vaak uitgesproken tijdens de eerste twaalf maanden waarin de privacywetgeving van kracht was. Maar terwijl de aan de ene kant de klachten bij de Autoriteit Persoonsgegevens binnenstroomden, vond het grote publiek vooral dat de AVG veel geschreeuw en weinig wol was. Maar zie, inmiddels zijn de eerste boetes zijn uitgedeeld en de AVG staat inmiddels weer hoog op ieders agenda.
Ondanks het bewustzijnvan de AVG gaat er vrijwel geen dag voorbij waarop er geen datalek in het nieuws is – en de gevolgen lijken alleen maar groter te worden. Het recente rapport ‘Cost of a Data Breach’ door IBM en Ponemon berekende dat de gemiddelde schade van een datalek met 1,5 procent is gestegen naar 3,92 miljoen dollar.
Ciso’s werken hard aan een oplossing van dit probleem, maar weten inmiddels ook niet goed meer waar ze de sleutel hiervoor kunnen vinden. Goed begrijpen waarom datalekken nog steeds voorkomen is een logisch startpunt van deze zoektocht. Maar wanneer er mensen zijn betrokken, blijken zaken minder zwart-wit te zijn dan je op het eerste oog zou verwachten.
Waarom-vraag beantwoorden
Er is veel aandacht en analyse besteed aan het type en de frequentie van datalekken, maar er is maar weinig focus op de vraag waarom een datalek ontstaat. Wanneer het gaat om cyberaanvallen of kwaadaardige datalekken kunnen we vrij snel motivaties bedenken, zoals financieel of politiek gewin, sabotage van concurrentie of eenvoudigweg emotie (bijvoorbeeld wraakgevoelens). De link tussen deze motivaties en de acties die hier het gevolg van zijn, mogen dan onwenselijk zijn – ze zijn tegelijkertijd ook verklaarbaar.
Wanneer het gaat om niet-kwalijke datalekken veroorzaakt door werknemers, wordt het complexer om zulke heldere motivaties aan te wijzen. Maar alleen door het waarom achter een datalek te begrijpen, kunnen er maatregelen worden genomen om het risico erop te verkleinen.
Daarom is er recentelijk een onderzoek uitgevoerd in samenwerking met onderzoeksbureau Opinion Matters, waarbij meer dan vijfhonderd cio’s en it-leidinggevenden in zowel de Verenigde Staten als Groot-Brittannië werden ondervraagd. Vrijwel alle respondenten (95 procent) maakten zich zorgen over de dreiging van binnenuit. En een meerderheid erkende dat ze vermoedden dat hun werknemers bedrijfsgegevens aan risicovolle situaties hadden blootgesteld in de afgelopen twaalf maanden, of dat nou per ongeluk (79 procent) of opzettelijk (61 procent) was.
Daarnaast hebben we meer dan vierduizend werknemers dezelfde vragen gesteld en daar komt een heel ander beeld uit naar voren: 92 procent zegt niet per ongeluk data te hebben gelekt en 91 procent geeft aan niet opzettelijk een datalek te hebben veroorzaakt.
Zo’n duidelijk contrast laat zien dat werknemers ofwel niet willen toegeven dat ze onzorgvuldig met data zijn omgegaan, ofwel zich er niet bewust van zijn.
Het probleem van onbewust data lekken is een precaire discussie. Het is niet alleen een zaak van bijvoorbeeld niet weten dat ze gevoelige data met de verkeerde personen hebben gedeeld. Het draait ook om de vraag of werknemers vinden dat ze recht hebben op toegang tot bepaalde informatie en gemachtigd zijn om deze gegevens bijvoorbeeld uit een beveiligde omgeving te halen. Want ook op die manier ontstaat een lek, bijvoorbeeld wanneer een werknemer contactgegevens van klanten meeneemt naar een nieuwe werkgever.
Uit het onderzoek blijkt dat bijna een derde van de werknemers (29 procent) ervan overtuigd is dat zij het recht hebben om data te bezitten van een bedrijf waar ze hebben gewerkt, en 60 procent is niet van mening dat de organisatie het exclusieve bezitsrecht heeft op deze data. Vooral jongeren zien data als gemeengoed: in de leeftijdscategorie 16-24 jaar gaf 33 procent aan dat organisaties bedrijfsdata exclusief bezitten, tegenover 51 procent van de respondenten van 65 jaar en ouder.
Bewustzijn en voorlichting zijn favoriet wanneer het gaat om de aanpak van niet-kwaadaardige lekken binnen de organisatie. Een stevige fundering van bewustzijn rondom cybersecurity kan vervelende situaties als gevolg van nalatigheid voorkomen. Werknemers kunnen eveneens worden bijgespijkerd in het onderwerp databezit, bijvoorbeeld in welke data in bezit van het bedrijf blijft wanneer een werknemer vertrekt. Een dergelijke voorlichting is met name van belang voor de nieuwe generaties van ‘social savvy’ werknemers, die in hun privéleven makkelijker omgaan met het delen van persoonlijke gegevens.
Maar met voorlichting alleen gaan organisaties het niet redden, fouten maken blijft immers menselijk.
Technologie kan helpen
Respondenten in het onderzoek die aangaven verantwoordelijk te zijn voor een datalek is ook gevraagd wat hiervan de oorzaak was. De meest genoemde redenen: fouten door snelheid (48 procent), werken onder hoge druk (30 procent) en vermoeidheid (29 procent). De meest genoemde redenen voor bewuste datalekken: het niet beschikken over de juiste tools om data veilig te delen (55 procent) en het meenemen van data naar een nieuwe baan (23 procent).
Dit inzicht helpt ons te begrijpen welke rol technologie speelt in het voorkomen van datalekken. Nieuwe machine learning- en graph database-technologieën maken het mogelijk om het moment te identificeren waarop de kans groter wordt dat werknemers de fout ingaan, per ongeluk of expres. Zo kunnen gebruikers en toezichthouders snel worden gewaarschuwd dat er een lek zou kunnen ontstaan, en kan dit zelfs voorkomen worden.
De inzet van deze technologie verkleint niet alleen de kans op een lek, maar ook de mogelijke impact ervan. Uit het eerder aangehaalde onderzoek ‘The Cost of a Data Breach’ blijkt dat beveiligingstechnologieën zoals encryptie en data loss prevention software zorgen voor lagere schadeposten bij een datalek. Encryptie heeft de grootste impact, met een schadevermindering van gemiddeld 360.000 dollar. Automatisering van security, waarbij technologieën zoals machine learning en analytics worden ingezet, leidt tot een afname van gemiddeld 2,5 miljoen dollar per datalek.
Geen nieuwe millenniumbug
Iemand die dagelijks bezig is met cybersecurity kan de AVG-wetgeving en de gevolgen niet negeren. Maar hoe verder mensen afstaan van een ciso en zijn securityteam, hoe lager het bewustzijn is voor de wetgeving. Het probleem is echter dat de AVG daar geen rekening mee houdt: de wet geldt voor iedereen, en over een goede bescherming van data valt niet te onderhandelen.
Zoals blijkt uit onderzoek, is er geen wondermiddel beschikbaar waarmee datalekken definitief gestopt kunnen worden. Dat geldt zeker voor lekken die worden veroorzaakt door werknemers, in al hun complexiteit. Maar de AVG heeft het afgelopen jaar bewezen dat datalekken niet de nieuwe millenniumbug zijn – ciso’s moeten werknemers blijven voorlichten en voorzien van het juiste gereedschap waarmee non-compliance wordt voorkomen. Om dit te bereiken, moeten ciso’s de problemen aanpakken die werknemers ervaren bij het delen van data. Wanneer ciso’s er niet 100 procent op kunnen vertrouwen dat personeel de juiste beslissingen neemt, moeten ze kijken naar welke technologieën die beslissing het best in hun plaats kan nemen.
Axel van Drongelen, general manager Benelux Egress Software
Beste Ano Niem (en anderen die hun eigen naam niet durven gebruiken)
Is het niet veel fijner om als persoon van vlees en bloed, met open vizier de discussies te voeren? Wat is er mis met de naam die je ouders je hebben gegeven? Wat is er mis met een discussie met open vizier? Als je mening hout snijdt mag je er toch voor uitkomen? Of heb je zo weinig vertrouwen in het recht op vrije expressie dat je jezelf anonimiseert? Heb toch wat vertrouwen in jezelf, je naam en je mening en stop met dat bangelijke verschuilen. En voel je daarbij gesteund door onze rechtstaat, die dat recht voor de volle 100% ondersteunt, nota bene in de Grondwet!
@PaVaKe
Je schrijft … en wat als je niet eens IT medewerkers hebt, maar een vereniging of stichting hebt die volledig draait op vrijwilligers …..
Tja, dat is precies mijn punt. Wie zorgt er voor jouw datahygiëne (en dus voor jouw AVG-compliance) als je de kennis niet in huis hebt? Daarin heeft de AVG een heel oneerlijk effect: Eigenlijk dwingt de AVG zulke clubs terug naar de papieren administratie, c.q. brengt de AVG illegale situaties tot stand waar je als club niet eens weet van hebt. En dat kan toch niet de bedoeling zijn. Zelfs niet als “iedereen geacht wordt de wet te kennen”. Kennelijk verwacht de wetgever dat je bepaalde expertise in huis hebt, zonder dat daar voorzieningen tegenover staan voor wie dat (ongewild) niet heeft.
Stef, de AP is geen boze boeman en het kost echt geen enorme tijd voor een vrijwilliger om zich in de AVG een beetje te verdiepen en te kijken hoe andere verenigingen dat doen.
Als er al een straf komt van AP dan is dat veelal doordat een organisatie meermalen laat zien niet zijn best te willen doen. Het principe is heel simpel. Je neemt wat maatregelen om de gegevens van je leden te beschermen en bent daar transparant over. Daarnaast heb je wat uit te leggen als je gevoelige data vastlegt die niet relevant is en is het netjes als je individueel toestemming vraagt voor het plaatsen van foto’s van leden op bijv. de website of social media.
Als je Sportlink gebruikt (ken het niet) en je slaat daar data van leden om, dan moet je dat vermelden in je transparantie (lees: privacyverklaring) en heb je een verwerkingsovereenkomst met die partij nodig en of heldere overeenkomst waarin dit is vastgelegd.
Hoe je vooral aan de geest van de wet en zorg dat je kan aantonen dat je in ieder geval een beetje je best doet. Dan is er niets aan de hand en bovendien gewoon een goed gevoel dat je de regeltjes een beetje kent.
Reactie van Ano Niem vind ik niet heel gek gesteld. En zolang de reactie netjes is, heb ik er geen probleem mee dat iemand er voor kiest niet zijn naam te plaatsen.
Ik ben voor de AVG, tja en dat het mogelijk groepen benadeeld hoort daar dan maar bij.
@Henri … sportlink is de omgeving die door veel sportbonden gebruikt wordt om o.a. de ledenadministratie te doen. Als vereniging hebben we een verwerkingsoverenkomst met de bond; de bond op haar beurt weer met sportlink.
@Stef … het is inderdaad taaie kost. Via de sportbond en een 3e partij hebben we wel hulp gekregen, zoals voorbeeldteksten voor een privacyverklaring en een vragenlijst om te kijken waar je allemaal aan moet voldoen. Het meeste werk bleek uiteindelijk alle toestemmingsformulieren ondertekend en wel terug te krijgen.
Pascal van K.
Betreffende geloofwaardigheid is het handig als je ook kunt bewijzen dat je gedaan hebt wat je gezegd hebt te zullen gaan doen. Het is erg opvallend dat je pas met de bekentenis over hulp vanuit de sportbond (en derden) komt nadat ik in een eerdere reactie gewezen heb op het AVG stappenplan van NeVoBo. En eerste stap hierin is het identificeren van de processen binnen de vereniging waarin persoonsgegevens verwerkt worden.
De disciplinaire straf met de rode kaart was hierin een voorbeeld en het is dus leuk dat je me probeert aan te vallen op details maar als penningmeester ken je de regels voor het voeren van een deugdelijke administratie. Ik zie dat de baten van boetes op de balans van de bond staan en neem daarom aan dat het bonnetje ervan wordt vastgelegd in de administratie van NeVoBo en dat is naar alle waarschijnlijkheid Sportlink omdat dit dus het gecontracteerde systeem van gegevensuitwisseling is tussen de bond en verenigingen.
We verschillen dan ook van mening over het effect van mijn reactie want ik zie de discussie veranderen doordat we het opeens over de gecontracteerde oplossingen voor de formele gegevensuitwisseling hebben in plaats van de ‘Shadow IT’ van niet-gecontracteerde oplossingen zoals Whatsapp. En een gecontracteerd systeem hierin is Sportlink waar het ‘gratis’ gebruik nogal betrekkelijk is als we kijken naar nieuwe verdienmodellen van sportbonden.
@Stef
Natuurlijk kan mijn expertise in twijfel getrokken worden door mijn anonimiteit maar het is nogal hypocriet om het pseudoniem van Pa Va Ke in de discussie te accepteren terwijl het om de inhoud gaat en niet de persoon.
Ano niem … als je het zo graag over de inhoud wil hebben, dan snap ik niet waarom je het nodig vindt te verwijzen naar linked In pagina’s van mensen (in andere discussie) of naar bestuursfuncties welke mensen in hun eigen tijd vervullen
en wat betreft mijn pseudoniem: ik kan mijn naam wel veranderen, maar de reacties gemaakt op de oude naam blijven onder die naam staan, vandaar dat ik er voor gekozen heb het pseudoniem te behouden
Henri,
Wat de penningmeester uit Best niet verteld is dat Sportlink voor de (persoons)gegevens uitwisseling tussen verenigingen gebruikt wordt omdat de wedstrijdadministraties hieruit gevuld worden. En dit gaat niet alleen om de gegevens van spelers maar ook van de vrijwilligers zoals scheidsrechters, trainers en coaches. Ik heb vanuit mijn rol als vrijwiliger veel te maken met een systeem zoals Sportlink welke een centrale rol in de gegevenshuishouding van duizenden verenigingen speelt omdat er veel meer in bijgehouden wordt dan alleen de ledenadministratie. Dit komt mede door individuele startgelden waarmee ik te maken heb welke aan de juiste sporter gekoppeld moeten worden. De functionaris met toegang tot Sportlink heeft daarom dan ook een geheimhoudingsplicht.
Naast bond en vereniging zijn er nog andere databegunstigers vanuit Sportlink en hier begint het probleem met de privacy. Wie privacyverklaring van sportbonden leest ziet dat er contracten zijn met commerciële partijen. En deze maken van de principes van moderne datasythese gebruik door de gegevens met elkaar te combineren tot profielen. Uiteindelijk is lidmaatschap van een vereniging namelijk een gegeven over een bepaalde interesse en zo’n gegeven kun je verrijken via een tracking cookie op de website of de telemetrie vanuit een app. Probleem met AVG is dat het recht op dataportabiliteit deze profielen uitsluit van overdracht en het recht op inzage vaak gericht moet zijn wat betekent dat je bekend moet zijn met de gegevenshuishouding door de processen te kennen.
De op 15 september geboren penningmeester uit Best heeft blijkbaar nog niet begrepen dat het koppelen van gegevens tot informatie leidt en daarover is een opkomende discussie. Zo leidt combinatie van geslacht, geboorteplaats en -datum statistisch tot een één-op-één identificatie (of je moet het duplicaat van een meerling zijn) en kan hieruit ook de ethniciteit herleid worden. En wie zich verdiept in de gegevenshuishouding begrijpt dat het niet alleen om de opslag gaat maar vooral de mogelijkheden van overdracht via koppelingen want daarin zitten nog weleens discriminerende algoritmen. De snelheid en lage kosten waarmee tegenwoordig de gegevensverzamelingen geanalyseerd kunnen worden voor hele andere doeleinden dan waarvoor de (persoons)gegevens verstrekt zijn is dan ook het grootste probleem van privacy.
Tja, met wie hebben we nu van doen? Bent u de Ano Niem van eerdere reacties of heb ik te maken met een andere persoon?
Namen hebben een nuttige eigenschap om iemand te identificeren. Door het gebruik van meerdere namen kan verwarring gemakkelijk ontstaan. Onder meer daarom beperk ik mezelf graag tot mijn eigen naam. Mijn kleine bijdrage aan het recht op weerwoord, wat iedere lezer moet kunnen uitoefenen. En het schept duidelijkheid…
GEWIJZIGD ANONIEM, Ik kan je helemaal volgen met je inhoudelijke redenering en wat je aankaart is zeer relevant! Daar zou een journalist naar moeten kijken, want hier zou zomaar een groter verhaal uit kunnen komen.
Wel jammer dat je weerstand oproept met het bashen van de penningmeester uit Best. Dat haalt de kracht uit jouw betoog.
@Stef, haha, namen en identificeren, daar kan GEWIJZIGD ANONIEM nog een heel epistel over schrijven 🙂 (hint: namen en identificatie zijn een slechte combinatie)
De vraag is even of het issue wat GEWIJZIGD ANONIEM aankaart aan de sportbond, de vereniging of sportlink ligt.
Wat ik daarmee bedoel te zeggen: bij het volleybal werken we met een digitaal wedstrijdformulier. Hierop zie ik alleen de naam en het relatienummer van de spelers van de tegenpartij. Bij aanvang van de wedstrijd worden naam en relatienummer gecontroleerd aan de hand van de spelerskaarten (fysieke pasjes) welke de spelers bij zich hebben.
Als vereniging hebben we dus geen inzage in verdere gegevens van tegenstanders of officials. Ook hebben de mensen die de wedstrijdformulieren invullen geen (directe) toegang tot sportlink; het invullen hiervan gebeurt middels een door de bond aangeboden omgeving.
Fenomenen als individuele startgelden kennen we niet, en bondscontributies en teamgelden worden als één factuur doorbelast naar de vereniging. Dito voor eventuele boetes die leden krijgen. Deze worden aan de vereniging gefactureerd, niet aan de leden.
Indien een contributie of boete niet voldaan wordt zal de vereniging dan ook aangesproken worden, en niet het individuele lid.