Al geruime tijd zijn organisaties verplicht om hun datalekken te melden. In 2017 werden er dan ook in totaal 10.009 meldingen gedaan bij de Autoriteit Persoonsgegevens. Dit getal ligt echter véél lager dan het reële aantal. Uit onderzoek blijkt echter dat mensen het herkennen van datalekken lastig vinden. Dit houdt in dat veel lekken niet worden gemeld, waardoor mensen niet weten dat hun gegevens zijn gelekt én de organisatie een boete riskeert. Wat is nou precies het probleem, en wat doet u eraan?
Previder onderzocht met diverse datalek-scenario’s of mensen wisten of het een datalek betrof of niet. Wat zou u antwoorden op onderstaande scenario’s?
- “Op de ledenbijeenkomst van een politieke partij ligt de ledenlijst in de ontvangstruimte. Op deze lijst dienen mensen te tekenen voor hun aanwezigheid. Ze moeten hun naam, adres en e-mailadres opgeven. Is hier sprake van een datalek?”In dit scenario is sprake van een datalek. Had u het juist, net als 47,1% van de deelnemers van het onderzoek?
- ‘’Een dierenasiel is getroffen door een alles verwoestende brand. Hoewel de dieren gered zijn, gingen alle gegevens wel verloren. Er is geen complete en actuele back-up van die data.’’In dit scenario zijn gegevens verloren. Ook bij het verloren gaan van gegevens, is er sprake van een datalek. Slechts 32,9% van de respondenten had dit juist.
- “De directeur van een grote, landelijke loterij heeft een usb-stick verloren. Op deze usb-stick stond een kopie met alle adresgegevens van de deelnemers aan de loterij. De usb-stick was wel voorzien van encryptie. Is hier sprake van een datalek dat bij de Autoriteit Persoonsgegevens gemeld moet worden?”Het merendeel dacht dat dit lek gemeld moest worden. Echter, wanneer verloren data versleuteld is, hoeft het lek niet gemeld te worden. De versleuteling moet wel voldoen aan bepaalde eisen en de gegevens moeten nadrukkelijk kopieën zijn.
Awareness binnen de gehele organisatie
Bij Audittrail vinden het ook niet vreemd dat mensen moeite hebben met het herkennen van datalekken. Er zitten flink wat haken en ogen aan het herkennen van een datalek (en wanneer het geen datalek is). Hoe goed bent u in het herkennen van datalekken? Had u bovenstaande scenario’s juist beantwoordt? En uw collega’s? Kunnen zij ook datalekken herkennen? Want ook zij kunnen per ongeluk datalekken, of een datalek tegenkomen tijdens hun werkzaamheden. Hoe zorgt u ervoor dat uw collega’s juist een helpende factor worden in het herkennen en melden van datalekken? Wij zien veel organisaties dit probleem aanpakken door de Awareness binnen organisaties naar een hoger niveau te tillen. Denk hierbij aan informatieve Awarenesscampagnes, maar ook aan Kennissessies en Pubquizen. Hiermee kunt u collega’s helpen om kennis te vergaren over het herkennen én melden van datalekken. Is de kennis wel aanwezig, maar is er juist behoefte aan gedragsverandering? Denken uw collega’s bijvoorbeeld dat ze al goed zijn in het herkennen van datalekken? Dan is het goed (en ook leuk) om Social Engineering in te zetten. Denk bijvoorbeeld aan een Phishingtest, Mystery Guest en USB-test. De uitkomsten zijn vaak spraakmakend, zowel bij goede resultaten als bij minder goede resultaten. Het doel wordt altijd bereikt: het zet mensen aan het denken over hun eigen kennis en handelen.
Audittrail ondersteunt
Heeft u ondersteuning nodig op het gebied van privacy, datalekken en awareness? Laat ons het weten via een mailtje of telefoontje. Weet u nog niet precies wat uw organisatie nodig heeft, en ontvangt u graag advies vanuit ons? Paul en Dennis komen graag koffie bij u drinken. Nodigt u ze uit?