In het nieuws is gemeld dat ruim 41% van de datalekken bij Gemeentes ontstaat doordat er persoonsgegevens zijn verstuurd naar de verkeerde ontvanger.
Deze gebruikersfout is heel snel gemaakt. Het gebeurt ons allemaal wel eens. De functionaliteit van Outlook en andere mailprogramma’s zijn heel handig in het automatisch aanvullen van de namen als je het emailadres intypt. Als je een bekende naam ziet dan is het drukken op verzenden wel heel snel gedaan, het kwaad is dan al geschiedt. Als je dat meteen in de gaten hebt, dan kan je nog proberen de email terug te trekken, maar in 9 van de 10 gevallen heb je het niet in de gaten.
Het is feitelijk een fenomeen dat al enkele jaren bestaat. Tot nu toe is er weinig aandacht aan besteed, aangezien er geen sancties bestaan als een dergelijke fout wordt gemaakt.
Met de komst van de AVG en GDPR ligt dat in één keer heel anders. Men moet zich in één keer de vraag stellen, waarom stuur ik deze mail met persoonsgegevens naar de betreffende ontvanger. Is deze bewerking geregistreerd? Is het onderdeel van een bedrijfsproces? Is er een PIA uitgevoerd. Zijn de principes Privacy by design en Privacy by default gehanteerd? Heeft de ontvanger (van de externe partij) wel een bewerkersovereenkomst getekend? Hoe regel ik het recht op vergeten te worden?
Kortom heel veel vragen die in één keer beantwoord moeten worden. We zijn als eindgebruikers vaak ook niet bewust van de wettelijke verplichtingen. Het mailen van een bestand is een actie die we dagelijks uitvoeren zonder er bij na te denken. We staan er ook niet bij stil als er in de bijlage toevallig persoonsgegevens zijn opgenomen.
Natuurlijk moeten we de gebruiker er op wijzen dat ze voorzichtiger moeten zijn, zeker als het gaat om het versturen van persoonsgegevens. Opleiden en verhogen van awareness zijn hiervoor de instrumenten.
Het is echter ook mogelijk om gebruikers technisch te ondersteunen en hiermee te voorkomen dat gegevens in verkeerde handen vallen. Mogelijkheden hiervoor zijn:
Zoals in het begin is aangegeven: een ongeluk zit in een klein hoekje. Een fout is zo gemaakt! Deze fouten kunnen verstrekkende gevolgen hebben vanaf mei 2018, wanneer de AVG ook gehandhaafd gaat worden. Het is belangrijk om nu al goed na te denken hoe men dit risico kan reduceren. Een combinatie van maatregelen in de zin van awareness, training, duidelijke procedures en waar nodig aangevuld met technische maatregelen kan uitkomst bieden.
Heeft u behoefte aan een goede start ter voorbereiding op de AVG? Schrijf u dan nu in voor de workshop over de AVG die wij gezamenlijk met onze partner BeOne organiseren op 1 juni, er zijn nog enkele plaatsen beschikbaar: Van Wbp naar AVG: Ligt uw organisatie op schema?.
Stef Liethoff, Managing Partner Nováccent
data-competence security-services managed-ict innovation-center