Leestijd
10 minuten
Wat leer je?
Je leert enkele belangrijke begrippen kennen rondom datalekken en manieren waarop je datalekken zoveel als mogelijk kunt voorkomen.
Samenvatting
"Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens", zo omschrijft de Autoriteit Persoonsgegevens het. Een datalek kan dus het verlies van een USB-stick met persoonsgegevens zijn, maar ook het per ongeluk versturen van een serie e-mailadressen van collega's naar een externe leverancier.
Door bij het verzamelen en delen van persoonsgegevens steeds kritisch na te denken welke persoonsgegevens je strikt noodzakelijk nodig hebt voor het doel dat je nastreeft, deze weer op te ruimen als ze niet meer nodig zijn voor dat doel, de betrokkenen transparant over de verwerking te informeren en alle eerder besproken beveiligingsmaatregelen te treffen verklein je het risico op datalekken zoveel als mogelijk. Ook is het hierbij van belang om goed op de hoogte te zijn van de gedragsregels met betrekking tot de classificatie van informatie: welke handelingen mag je met welk type informatie uitvoeren?
En gaat het per ongeluk toch een keer mis, dan dien je de [afdeling invoegen] hiervan direct op de hoogte te stellen.
De 'Non-Official Cover List', ook wel bekend als de 'NOC-list', was de lijst met alle namen van geheime CIA operaties en de personen die daaraan deelnamen. Deze lijst vormde de basis van de film 'Mission Impossible', die Tom Cruise tot extreme handelingen bewoog om hem buit te maken...
Het stelen van de NOC-list zou voor de CIA het grootste datalek in hun bestaan betekenen. Alle operaties en alle infiltranten zouden daarmee in één keer bij de buitenwereld bekend raken. Gelukkig beschikken de meeste onderwijsinstellingen niet over dit soort top-secret materiaal, maar ook bij een onderwijsinstelling zijn er genoeg persoonsgegevens die je liever niet met onbevoegden wilt delen...
En eerlijk gezegd hoeft een datalek ook helemaal niet zo serieus te zijn om al vervelende gevolgen voor de betrokkenen te hebben. Het bewust of onbewust delen van gegevens zoals salarisschalen, medische gegevens of zelfs e-mailadressen is al een datalek. En een ongeluk zit in een klein hoekje, kijk maar eens naar dit voorbeeld:
Een medewerker op Personeelszaken laat per ongeluk het computerscherm open staan om even naar het toilet te gaan. Een collega loopt net langs, kijkt kort op het scherm en ziet daar een lijst met namen van collega's die in de volgende reorganisatie waarschijnlijk hun baan verliezen. Of een leidinggevende die per ongeluk een niet-beveiligd bestand met daarin een overzicht van alle beoordelingen van de teamleden naar het gehele team stuurt, in plaats van naar de HR-afdeling.
Zo snel en zo eenvoudig kan het gaan. Vaak zit er geen kwade opzet achter, maar een menselijke onhandigheid die grote gevolgen voor de betrokkenen kan hebben. Het principe 'Laat alleen de juiste mensen bij de juiste gegevens' klinkt dan ook heel logisch, maar vergt (vooral in de omgang met persoonsgegevens) een werkwijze die privacy en security bij iedere handeling voorop heeft staan. Gelukkig kun je de risico's op een datalek sterk verminderen door jezelf enkele eenvoudige routines aan te leren.
De Algemene Verordening Gegevensbescherming (AVG) gaat over persoonsgegevens. De eerste vraag is dan ook altijd: bij welke handeling(en) in mijn werkzaamheden verwerk ik persoonsgegevens? Alleen bij die handelingen is de AVG van toepassing. Bekijk eerst onderstaande algemene video over de AVG en lees daarna de belangrijkste punten voor een juiste omgang met de AVG binnen jouw werk.
De AVG is gebaseerd op zes principes, ook wel de vuistregels genoemd. Deze vuistregels zijn voor medewerkers belangrijk op het moment dat je met persoonsgegevens gaat werken. Door deze vuistregels consequent te hanteren verlaag je het risico op fouten in de omgang met persoonsgegevens.
Onderstaand zie je de zes vuistregels met steeds een bijbehorende vraag. Is tijdens je omgang met persoonsgegevens het antwoord op een van deze vragen 'nee', dan zul je een aanpassing in de manier waarop je persoonsgegevens verzamelt of deelt moeten doen. Bijvoorbeeld de betrokkenen beter informeren ('Transparantie'), de persoonsgegevens vernietigen ('Bewaartermijn') of bijvoorbeeld een 'nickname' in plaats van een echte naam te vragen in een bepaalde app ('Dataminimalisatie').
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens valt binnen de categorie datalek. De Algemene Verordening Gegevensbescherming heeft alleen betrekking op nog in leven zijnde personen. Wordt er bijvoorbeeld een archiefmap van de faculteit Archeologie met voor- en achternamen van overleden soldaten uit 1918 gestolen dan is er geen sprake van een datalek.
Een gestolen laptop of ander zakelijk apparaat hoeft ook niet direct een datalek te betekenen. Indien je met de laptop altijd en overal in de cloud hebt gewerkt en er geen bestanden lokaal staan is het feit dat je laptop gestolen is erg vervelend, maar het is geen datalek. Dat is natuurlijk anders in het geval van bijvoorbeeld een niet-encrypted USB-stick met medische dossiers of een papieren versie van het smoelenboek dat in onbevoegde handen belandt.
Wanneer is iets dan wel een datalek? In principe is dat niet aan jou om te bepalen. Dat klinkt vervelend, maar die verantwoordelijkheid ligt binnen onze organisatie bij [contactgegevens invoegen]. Het is dus zaak om iedere keer als er iets mis gaat rondom persoonsgegevens dit direct hier te melden. Doe je dat niet en de fout wordt later alsnog bekend, dan zijn de gevolgen daarvan voor de betrokkenen veelal groter dan in het geval er direct melding van was gedaan. Daarbij kan het zijn dat jouw organisatie het incident moet melden bij de Autoriteit Persoonsgegevens. Indien dit het geval is, moet dit zo snel mogelijk na het incident gebeuren; te laat melden kan jouw organisatie een forse boete opleveren. Meldt incidenten daarom direct bij [contactgegevens invoegen], ook als je niet zeker weet of het een datalek is, en niet pas uren of dagen later.
Wat zijn dan voorbeelden van mogelijke datalekken?
Classificatie is het toekennen van één of meerdere labels aan informatie (bijvoorbeeld informatie in een digitaal of papieren document, vertrouwelijke gesprekken, etc.), zodat je als medewerker weet op welke manier je met die informatie om mag/moet gaan. Bijvoorbeeld waar je een document mag publiceren, hoe groot het risico is indien een vertrouwelijk gesprek door een onbevoegde wordt beluisterd of een whiteboard met vertrouwelijke informatie dat door onbevoegden wordt bekeken. Door je bewust te zijn van de classificatie van informatie verklein je het risico op verkeerde verspreiding van de inhoud en daarmee op mogelijke datalekken. Lees hier [download-locatie toevoegen] welke classificaties we hanteren en welke omgangsvormen bij iedere classificatie horen.
Autorisatie bepaalt welke medewerker toegang tot welke informatie heeft. Iedere medewerker dient alleen toegang tot de informatie te hebben die voor de specifieke functie relevant is. Ga je bijvoorbeeld een bepaalde map in de cloud met collega's delen, let dan goed op dat alleen personen die geautoriseerd zijn tot de inhoud van die map toegang krijgen. Vraag je altijd af: wie kan erbij als ik bestanden in een bepaalde map zet? Is een slotje op de map voor extra beveiliging nodig? En wie zet ik allemaal in de CC als ik een gevoelig document rondstuur (en hen daarmee dus toegang tot dat document geef)?