Sinds de invoering van de meldplicht datalekken (1 januari 2016) zijn bij de Autoriteit Persoonsgegevens (AP) ongeveer zevenhonderd meldingen binnengekomen. Van die meldingen worden er ruim 450 nader bekeken. Ongeveer veertig zaken zijn in behandeling. In die gevallen heeft de autoriteit een onderzoek ingesteld.
Dat vertelt voorzitter van de Autoriteit Persoonsgegeven Jacob Kohnstamm in gesprek met Computable. Kohnstamm vertelt dat er nog geen boetes zijn opgelegd. ‘Dat kan alleen bij zaken die na 1 januari 2016 zijn opgestart.’
Kohnstamm verwacht veel van de preventieve werking die van van een boete uitgaat. Maar sluit niet uit dat er ook organisaties beboet gaan worden ‘We zijn geen papieren tijger en zullen ook onze tanden laten zien.’
Niet versleuteld
Meldingen die bij de autoriteit binnenkomen hebben vaak te maken met onversleutelde gegevens op externe datadragers. Zoals recent gebeurde met medische gegevens bij het Antoni van Leeuwenhoek Ziekenhuis. Daar kwam data op straat doordat een onderzoeker privacygevoelige informatie kopieerde op een externe schijf die vervolgens werd gestolen.
Kohnstamm vind dan ook dat organisaties scherper moeten toezien op het versleutelen van data en zo een hoop problemen kunnen voorkomen.
Brandoefening
Kohnstamm hoopt dat bedrijven periodiek hun informatiebeveiligingsbeleid en de werking daarvan zullen testen zoals dat nu bijvoorbeeld gebruikelijk is bij een brandoefening. In plaats van brandveiligheid en procedures voor evacuatie moet dan de informatiebeveiliging worden gecontroleerd en worden nagegaan of processen voor informatiebeveiliging goed worden nageleefd.
Het voorbeeld van het Antoni van Leeuwenhoek Ziekenhuis is maar het topje van de ijsberg als we kijken naar het delen van privacy gevoelige informatie binnen datasets, de eerste vraag gaat of er toestemming van de patiënt was om deze informatie aan derden te verstrekken. De tweede vraag om wie er toestemming heeft gegeven om een niet geanonimiseerde dataset voor onderzoek te gebruiken en de derde vraag welke maatregelen er genomen worden om herhaling te voorkomen.
Het versleutelen van een overdrachtelijk medium is geen medicijn voor het probleem, zelfs als de schijf niet gestolen was is er sprake van een datalek. Data portabiliteit van kofferbak naar PC mist namelijk beide controle op de toegang tot informatie. Want hoe wil het Antoni van Leeuwenhoek Ziekenhuis de retentie eisen (opt-out recht om vergeten te worden) invullen als deze data overal rondslingert?
Ondertussen smelt namelijk de ijsberg en vormt een ‘datalake’ waaruit onderzoekers graag met een rietje informatie zuigen, iets dat alleen kan als deze data geanonimiseerd is. Grappige is dat dit wel gedaan wordt als je een onderzoek doet naar het declaratiegedrag van bestuurders maar blijkbaar niet met medische dossiers.
Volkomen eens met de constatering van Kohnstamm.
Elke organisatie zou nu toch wel moeten weten dat er twee zaken van blijvend belang zijn.
Protocollen
Een protocol hoe om te gaan met data van de organisatie en een regelmatige controle hierop. En een simulatie hoe om te gaan met incidenten die data betreft. In meer dan 75% van de organisaties is er geen eenduidig protocol aanwezig nog een uit te voeren scenario bij constatering van een incident.
Hier wijs ik dan weer graag naar de betreffende IT ICT professionals die dit gewoon als een standaard tussen de oren en op het netvlies dienen te hebben.
Heb ik het hier nog maar even niet over de opportunity dit als betaald element onder de aandacht van de klanten te brengen. Voor mij als IT professional nog steeds een verbazingwekkend gegeven.