#Cybersecurity

Menselijk handelen als de oorzaak van datalekken?

Zoals recent bij de GGD ook is gebleken, veroorzaken mensen een groot deel van datalekken. De GGD werd onlangs slachtoffer van een ongelukkige samenloop van twee situaties: Toegang door teveel medewerkers én het makkelijk kunnen exporteren van gegevens. Daardoor konden de gegevens van ‘op corona geteste’ mensen verhandeld worden.

In 2019 rapporteerde de Autoriteit Persoonsgegevens bijna 27.000 meldingen van datalekken. Naar schatting wordt twee derde daarvan veroorzaakt door menselijk handelen. Toch hebben organisaties qua beveiligingsmaatregelen met name een focus op maatregelen van technische aard. Dat had de GGD natuurlijk ook beter moeten doen, bijvoorbeeld door in een vroeg stadium na te denken over wie toegang heeft tot welke gegevens (autorisatie). De focus op technische maatregelen is natuurlijk goed en verstandig, maar er zal óók aandacht moeten zijn voor de meer organisatorische maatregelen, zoals het bewustzijnsniveau van de medewerkers op de vloer. Technische maatregelen zijn namelijk veel effectiever als deze ook goed worden nageleefd en toegepast.

De GGD had daarnaast met een goed uitgevoerde Data Protection Impact Assessment (DPIA) deze kwesties in een vroeg stadium kunnen detecteren. Een DPIA uitgevoerd op een dergelijk systeem waarin op grote schaal bijzondere persoonsgegevens worden verwerkt, draagt bij aan meer ‘privacy by design’. Door in een vroeg stadium Privacy Professionals te betrekken, een DPIA uit te voeren en de maatregelen serieus te implementeren, voorkom je misschien niet alle beveiligingsincidenten. Maar technische én organisatorische maatregelen, het investeren in het kennisniveau van medewerkers en het bijdragen aan een gezond meldingsklimaat helpt wel degelijk bij het voorkomen ervan.
Passende technische en organisatorische maatregelen voorkomen dat het vertrouwen richting publiek en betrokkenen onevenredig wordt geschaad. Gegevens zijn van mensen en daar moeten we zorgvuldig mee omgaan.