41% van datalekken door e-mail naar verkeerde persoon!

Nováccent

In het nieuws is gemeld dat ruim 41% van de datalekken bij Gemeentes ontstaat doordat er persoonsgegevens zijn verstuurd naar de verkeerde ontvanger.

Deze gebruikersfout is heel snel gemaakt. Het gebeurt ons allemaal wel eens. De functionaliteit van Outlook en andere mailprogramma’s zijn heel handig in het automatisch aanvullen van de namen als je het emailadres intypt. Als je een bekende naam ziet dan is het drukken op verzenden wel heel snel gedaan, het kwaad is dan al geschiedt. Als je dat meteen in de gaten hebt, dan kan je nog proberen de email terug te trekken, maar in 9 van de 10 gevallen heb je het niet in de gaten.

Het is feitelijk een fenomeen dat al enkele jaren bestaat. Tot nu toe is er weinig aandacht aan besteed, aangezien er geen sancties bestaan als een dergelijke fout wordt gemaakt.

Met de komst van de AVG en GDPR ligt dat in één keer heel anders. Men moet zich in één keer de vraag stellen, waarom stuur ik deze mail met persoonsgegevens naar de betreffende ontvanger. Is deze bewerking geregistreerd? Is het onderdeel van een bedrijfsproces? Is er een PIA uitgevoerd. Zijn de principes Privacy by design en Privacy by default gehanteerd? Heeft de ontvanger (van de externe partij) wel een bewerkersovereenkomst getekend? Hoe regel ik het recht op vergeten te worden?

Kortom heel veel vragen die in één keer beantwoord moeten worden. We zijn als eindgebruikers vaak ook niet bewust van de wettelijke verplichtingen. Het mailen van een bestand is een actie die we dagelijks uitvoeren zonder er bij na te denken. We staan er ook niet bij stil als er in de bijlage toevallig persoonsgegevens zijn opgenomen.

Natuurlijk moeten we de gebruiker er op wijzen dat ze voorzichtiger moeten zijn, zeker als het gaat om het versturen van persoonsgegevens. Opleiden en verhogen van awareness zijn hiervoor de instrumenten.

Het is echter ook mogelijk om gebruikers technisch te ondersteunen en hiermee te voorkomen dat gegevens in verkeerde handen vallen. Mogelijkheden hiervoor zijn:

  • Classificatie en labelen van de documenten met persoonsgegevens. Dit kan geautomatiseerd plaatsvinden op basis van het herkennen van de gegevens die in het document staan. Het voordeel hiervan is dat documenten dan altijd herkend worden via de metadata van het document.
  • Via datadiscovery en DLP tools kan men ervoor zorgen dat men inzicht krijgt in data die verstuurd wordt. Indien bijvoorbeeld een document gelabeld is als privacy vertrouwelijk dan kan een DLP systeem dit herkennen en blokkeren als het document naar een onbekend email adres wordt verstuurd.
  • Tot slot kan men documenten met zeer gevoelige persoonlijke gegevens (zoals schulden, ziektebeeld, etc.) beveiligen op documentniveau. Hiermee wordt het document versleuteld en van rechten voorzien. Alleen vooraf geautoriseerde gebruikers kunnen het document inzien. Indien een document dan per ongeluk naar een verkeerd adres wordt verstuurd, dan kan de ontvanger deze informatie niet inzien. Het blijft wel een datalek, maar de impact is laag aangezien het document niet kan worden gelezen door de ontvanger.

Zoals in het begin is aangegeven: een ongeluk zit in een klein hoekje. Een fout is zo gemaakt! Deze fouten kunnen verstrekkende gevolgen hebben vanaf mei 2018, wanneer de AVG ook gehandhaafd gaat worden. Het is belangrijk om nu al goed na te denken hoe men dit risico kan reduceren. Een combinatie van maatregelen in de zin van awareness, training, duidelijke procedures en waar nodig aangevuld met technische maatregelen kan uitkomst bieden.

Heeft u behoefte aan een goede start ter voorbereiding op de AVG? Schrijf u dan nu in voor de workshop over de AVG die wij gezamenlijk met onze partner BeOne organiseren op 1 juni, er zijn nog enkele plaatsen beschikbaar: Van Wbp naar AVG: Ligt uw organisatie op schema?.

Stef Liethoff, Managing Partner Nováccent

data-competence security-services managed-ict innovation-center