Menselijk handelen als de oorzaak van datalekken?

Zoals recent bij de GGD ook is gebleken, veroorzaken mensen een groot deel van datalekken. De GGD werd onlangs slachtoffer van een ongelukkige samenloop van twee situaties: Toegang door teveel medewerkers én het makkelijk kunnen exporteren van gegevens. Daardoor konden de gegevens van ‘op corona geteste’ mensen verhandeld worden.

In 2019 rapporteerde de Autoriteit Persoonsgegevens bijna 27.000 meldingen van datalekken. Naar schatting wordt twee derde daarvan veroorzaakt door menselijk handelen. Toch hebben organisaties qua beveiligingsmaatregelen met name een focus op maatregelen van technische aard. Dat had de GGD natuurlijk ook beter moeten doen, bijvoorbeeld door in een vroeg stadium na te denken over wie toegang heeft tot welke gegevens (autorisatie). De focus op technische maatregelen is natuurlijk goed en verstandig, maar er zal óók aandacht moeten zijn voor de meer organisatorische maatregelen, zoals het bewustzijnsniveau van de medewerkers op de vloer. Technische maatregelen zijn namelijk veel effectiever als deze ook goed worden nageleefd en toegepast.

De GGD had daarnaast met een goed uitgevoerde Data Protection Impact Assessment (DPIA) deze kwesties in een vroeg stadium kunnen detecteren. Een DPIA uitgevoerd op een dergelijk systeem waarin op grote schaal bijzondere persoonsgegevens worden verwerkt, draagt bij aan meer ‘privacy by design’. Door in een vroeg stadium Privacy Professionals te betrekken, een DPIA uit te voeren en de maatregelen serieus te implementeren, voorkom je misschien niet alle beveiligingsincidenten. Maar technische én organisatorische maatregelen, het investeren in het kennisniveau van medewerkers en het bijdragen aan een gezond meldingsklimaat helpt wel degelijk bij het voorkomen ervan.
Passende technische en organisatorische maatregelen voorkomen dat het vertrouwen richting publiek en betrokkenen onevenredig wordt geschaad. Gegevens zijn van mensen en daar moeten we zorgvuldig mee omgaan.

Wat is een DPIA precies, waarom is het een effectieve manier om beveiliginsincidenten te voorkomen, en hoe en wanneer implementeer je een DPIA? Deze vragen worden in één van de modules van de opleiding tot ‘Certified Privacy Professional Europe (CIPP/E)’ behandeld. Wil je gegronde kennis opdoen over onder andere de Digital Protection Impact Assessment en nog veel meer essentiële informatie over privacy in Europa? Kijk dan hier voor meer informatie of schrijf je direct in!

Ook interessant:

Lees meer

#CybersecurityHackers en hacks

12 tips om je als hotel en gast te wapenen tegen hackers vanuit Booking.com

Hackers hebben een paar maanden geleden via Booking.com inloggegevens van hotels buitgemaakt. Vervolgens probeerden zij gasten te bestelen met phishingmails (met valse betalingslink), blijkt uit een artikel van BNR. Mogelijk zijn duizenden hotels doelwit!

Lees meer

#Cybersecurity

Aan de slag met cybersecurity tijdens de Cyber Security Maand

Elk jaar staat de maand oktober in het teken van cybersecurity. De gehele maand vragen diverse organisaties, wereldwijd, aandacht voor...

Naam	Aanbieder	Doel	Vervaldatum
CookieConsent	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 jaar

Naam	Aanbieder	Doel	Vervaldatum
_ga	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	2 jaar
_gat	privacy1.nl	Gebruikt door Google Analytics om verzoeksnelheid te vertragen.	1 dag
_gid	privacy1.nl	Registreert een uniek ID die wordt gebruikt om statistische gegevens te genereren over hoe de bezoeker de website gebruikt.	1 dag
collect	google-analytics.com	Gebruikt om gegevens naar Google Analytics te versturen over het apparaat en het gedrag van de bezoeker.	Sessie