Menselijk handelen als de oorzaak van datalekken? – Privacy1 Skip to content

Menselijk handelen als de oorzaak van datalekken?

Zoals recent bij de GGD ook is gebleken, veroorzaken mensen een groot deel van datalekken. De GGD werd onlangs slachtoffer van een ongelukkige samenloop van twee situaties: Toegang door teveel medewerkers én het makkelijk kunnen exporteren van gegevens. Daardoor konden de gegevens van ‘op corona geteste’ mensen verhandeld worden.

In 2019 rapporteerde de Autoriteit Persoonsgegevens bijna 27.000 meldingen van datalekken. Naar schatting wordt twee derde daarvan veroorzaakt door menselijk handelen. Toch hebben organisaties qua beveiligingsmaatregelen met name een focus op maatregelen van technische aard. Dat had de GGD natuurlijk ook beter moeten doen, bijvoorbeeld door in een vroeg stadium na te denken over wie toegang heeft tot welke gegevens (autorisatie). De focus op technische maatregelen is natuurlijk goed en verstandig, maar er zal óók aandacht moeten zijn voor de meer organisatorische maatregelen, zoals het bewustzijnsniveau van de medewerkers op de vloer. Technische maatregelen zijn namelijk veel effectiever als deze ook goed worden nageleefd en toegepast.

De GGD had daarnaast met een goed uitgevoerde Data Protection Impact Assessment (DPIA) deze kwesties in een vroeg stadium kunnen detecteren. Een DPIA uitgevoerd op een dergelijk systeem waarin op grote schaal bijzondere persoonsgegevens worden verwerkt, draagt bij aan meer ‘privacy by design’. Door in een vroeg stadium Privacy Professionals te betrekken, een DPIA uit te voeren en de maatregelen serieus te implementeren, voorkom je misschien niet alle beveiligingsincidenten. Maar technische én organisatorische maatregelen, het investeren in het kennisniveau van medewerkers en het bijdragen aan een gezond meldingsklimaat helpt wel degelijk bij het voorkomen ervan.
Passende technische en organisatorische maatregelen voorkomen dat het vertrouwen richting publiek en betrokkenen onevenredig wordt geschaad. Gegevens zijn van mensen en daar moeten we zorgvuldig mee omgaan.

Wat is een DPIA precies, waarom is het een effectieve manier om beveiliginsincidenten te voorkomen, en hoe en wanneer implementeer je een DPIA? Deze vragen worden in één van de modules van de opleiding tot ‘Certified Privacy  Professional Europe (CIPP/E)’ behandeld. Wil je gegronde kennis opdoen over onder andere de Digital Protection Impact Assessment en nog veel meer essentiële informatie over privacy in Europa? Kijk dan hier voor meer  informatie of schrijf je direct in!

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Contact

Lübeckweg 2
9723 HE Groningen

050-2113424
hallo@privacy1.nl

Volg ons

Onze nieuwsbrief