Datalek is vaak een menselijke fout

Vorige week verscheen het bericht dat er sinds de invoering van de wet meldplicht datalekken bijna iedere dag een lek gemeld is door een gemeente. Uitgaande van in totaal ongeveer 1000 datalekken per eind mei, komt het neer op 6 tot 7 meldingen van een datalek per dag.

Het is lastig om de cijfers te interpreteren zonder aanvullende informatie. In hetzelfde bericht werd gesteld dat de Autoriteit Persoonsgegevens na de zomer met een rapport komt. Ik ben erg benieuwd naar de inhoud van dat rapport. In de tussentijd kunnen we even kijken naar de datalek cijfers in Engeland (zolang ze nog lid zijn van de EU). In Engeland hebben ze namelijk al langer te maken met de brede meldplicht datalekken.
 

De Information Commissioner’s Office (de Britse AP) houdt data bij van het aantal datalekken per sector en de oorzaak van het datalek. Ik raad iedereen aan eens een kijkje te nemen op www.ico.org.uk. Er staan praktische tips en handleidingen op, die ook voor Nederlandse organisaties zeer bruikbaar zijn. De Britse Data Protection Act is vergelijkbaar met de Nederlandse Wbp, omdat deze op dezelfde Europese Richtlijn is gebaseerd.
 

Ok, terug naar de cijfers. Uit de Britse cijfers blijkt dat in het eerste kwartaal van 2016 in totaal 448 datalekken zijn gemeld, waarvan het grootste gedeelte afkomstig uit de gezondheidssector. De gedecentraliseerde overheid staat op de tweede plek met 43 meldingen in de genoemde periode. Dit zijn wel lagere aantallen dan in Nederland, maar de boete is daar ook aanzienlijk lager (1000 pond) en daarom de motivatie om te melden misschien ook. Wat ik eigenlijk interessanter vind, is de oorzaak van het datalek. De top drie is: verlies of diefstal van papieren, verkeerd adresseren van post of fax en verkeerd adresseren van een email. Deze drie oorzaken zijn samen goed voor bijna 200 datalekken in het eerste kwartaal. Een andere opvallende (en dat is eigenlijk de aanvoerder op de lijst) is de restcategorie. Hierbij gaat het om gevallen waarbij emails met persoonsgegevens niet zijn beveiligd met een wachtwoord en gevallen waarin werkgerelateerde persoonsgegevens op een niet zakelijke computer werden gebruikt. Tja, hoe verhouden deze laatste zich tot het ‘BYOD’ principe dat veel organisaties tegenwoordig hanteren?

De conclusie die je hieruit kan trekken is dat het overgrote deel van de datalekken in Engeland wordt veroorzaakt door menselijke fouten en misschien zelfs wel gewoon door slordigheid. Ik denk dat dit ook voor Nederland geldt, maar kan dat pas met zekerheid zeggen nadat het rapport hierover van de AP is gepubliceerd. Advies voor de tussentijd: even dubbelchecken of je mail, fax of brief wel goed is geadresseerd. Voorkomt een hoop gedoe.