Een maand extra werk door een tikfoutje

Slordige ambtenaren kosten overheid miljoenen euro’s

Het aantal datalekken in het openbaar bestuur neemt sinds de invoering van Meldplicht Datalekken flink toe. Gemeenten zijn sinds januari 2016 verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. In 2016, het eerste jaar, werden er in totaal 825 datalekken in het openbaar bestuur gemeld, waarvan 533 bij gemeenten voorkwamen. In het eerste half jaar van 2017 werden er al 940 datalekken in het openbaar bestuur gemeld, meer dan een verdubbeling ten opzichte van vorig jaar.

Uit een rondvraag van Binnenlands Bestuur onder 37 gemeenten blijkt dat de verwerking van een datalek gemiddeld zo’n vier werkdagen kost. Uitschieters van meerdere weken of zelfs maanden aan extra werk komen geregeld voor. In totaal gaven de ondervraagde gemeenten 231 datalekken op. Melden en verwerken van deze lekken hebben de gemeenten in totaal 7414 mensuren gekost, ofwel ruim 32 uur per lek.

De meeste datalekken (41 procent) ontstaan door persoonsgegevens die per ongeluk aan een verkeerde ontvanger zijn groverstuurd, zo blijkt uit informatie van de Autoriteit Persoonsgegevens. Persoonsgegevens die per ongeluk zijn gepubliceerd, vormen 13 procent van de datalekken. Kwijtgeraakte of gestolen apparaten of papieren met persoonsgegevens hebben met 10 procent ook een belangrijk aandeel. Brieven of pakketten met persoonsgegevens die zijn kwijtgeraakt of geopend retour zijn ontvangen, vormen 6 procent. Zo’n 5 procent van de datalekken bestaat uit geslaagde hackpogingen met ransomware of phishing.

Enorme verschillen
Het aantal mensuren kan per datalek enorm verschillen, zo blijkt uit de rondvraag. Sommige gemeenten zijn in een een halve dag klaar, maar er zijn ook gemeenten zoals Nijmegen of Delft (zie onder) die meerdere weken of maanden kwijt zijn geweest aan één datalek. Bij een aantal gemeenten, waaronder Enschede, loopt dat aantal uren zelfs zo fors op dat er tweehonderd uur werk is ontstaan door één verkeerde bijlage van een verstuurde e-mail.

Het verwerken van een datalek bestaat uit meer dan alleen het controleren of een melding inderdaad een datalek is. Ambtenaren moeten een advies geven aan de verantwoordelijke manager, alles moet worden geregistreerd en betrokkenen moeten worden geïnformeerd. Vaak wordt er ook nog extern advies ingewonnen en worden er maatregelen genomen die datalekken in de toekomst moeten voorkomen. Daarbij valt te denken aan bewustwordingscampagnes en encryptie (het coderen of decoderen van gegevens).

Van de ondervraagde gemeenten gaf een handjevol aan dat er naast eigen loonkosten ook externe kosten zijn gemaakt. Meestal ging het om bedragen van enkele tienduizenden euro’s. Een privacyfunctionaris gaf eerder tegen Binnenlands Bestuur aan dat gemeenten in de beginfase van de Meldplicht Datalekken misschien ‘te overspannen’ zijn. Veel meldingen blijken achteraf niet nodig. Een drietal gemeenten geeft aan dat de werklast bij een datalek erg hoog kan zijn.

Volgens Eelco de Winter, controller sociaal domein bij de gemeente Enschede, is de hoeveelheid werk voor bepaalde verplichtingen ‘buitenproportioneel’. Hij stelt voorop dat het melden van een datalek te allen tijde moet gebeuren. ‘Transparantie is vereist. De burger behoort ervan te weten als er iets mis is gegaan. Een gemeente is vanwege de Meldplicht Datalekken verplicht om iedere betrokkene ook persoonlijk te informeren.’

Dat verplicht persoonlijk informeren van betrokkenen is ook het onderdeel waar het meeste werk in gaat zitten, zo stelt De Winter. ‘In sommige gevallen kan het aantal betrokkenen enorm oplopen. Je kan je afvragen of het persoonlijk informeren dan wel in verhouding staat tot de rest van de werkzaamheden.’

Phishingmail
Hij illustreert wat er kan gebeuren. ‘Stel dat een ambtenaar op een phishingmail klikt. Zoiets komt bij gemeenten nog wel eens voor. De gemeente moet dan alle correspondentie met iedere contactpersoon in zijn mailbox langsgaan en daarbij controleren of er in al zijn mails en aangehechte bestanden geen persoonsgegevens voorkomen. Een gigantische klus die soms amper uitvoerbaar is.’

Daarnaast brengt het persoonlijk informeren volgens De Winter vaak ook een grote onrust met zich mee bij cliënten. ‘Met name bij de cliënten van de Jeugdzorg, die bijvoorbeeld niet willen dat anderen van hun hulpvraag weten.’ Inwoners op een minder rechtstreekse wijze informeren over wat er fout is gegaan ziet De Winter meer zitten. ‘Ik vind dat de focus vooral op herstelwerkzaamheden moet liggen.’

zorgplan kwijt
Functionaris Gegevensbescherming Klaas Akkerman van de DDFKgemeenten (Dantumadiel, Dongeradiel, Ferwerderadiel en Kollumerland) licht toe dat zijn gemeenten te maken hebben gehad met een verkeerd e-mailadres en een verkeerde bijlage van een e-mail. Ook werden er bij ingebruikname van een nieuw digitaal platform per ongeluk persoonsgegevens verspreid op een gedeelte dat ook voor ambtenaren van andere afdelingen toegankelijk was. De gemeente was bij elk van deze datalekken zo’n twaalf uur bezig. ‘De gegevens bleven daarbij wel binnen de ambtelijke setting, er zijn hierbij geen gegevens op straat komen te liggen’, aldus Akkerman.

Hij vindt de hoeveelheid werk rondom een datalek best meevallen, maar de eerste paar keer is het lastig omdat er in het begin toch ‘een weg’ moet worden gevonden in de in te vullen formulieren. Het gemiddelde van vier volle werkdagen per datalek vindt hij ‘behoorlijk stevig’. De hoeveelheid werk hangt volgens Akkerman sterk samen met de omvang van het datalek en in hoeverre betrokkenen geïnformeerd moeten worden.

CISO Sjoukje Haitjema van gemeente Wageningen vindt de tijd die nodig is om uit te pluizen of een datalek maatregelen vergt ‘redelijk’, ook al is het soms erg veel werk. ‘Je zal zelf maar de persoon zijn van wie een zorgplan is kwijtgeraakt. Aandacht voor deze problematiek binnen de organisatie is altijd goed.’ Het valt Haitjema wel op dat het vaak ‘zoeken’ is wanneer andere partijen betrokken zijn bij het datalek. ‘Kunnen wij er iets aan doen dat de postbode een poststuk openmaakt omdat hij denkt dat het adres niet klopt? Of dat post niet aankomt? Of dat iemand een verkeerd e-mailadres opgeeft in een formulier?’, vraagt ze zich af. ‘Toch is het in die gevallen wel ons datalek.’

Haitjema vindt de hoeveelheid werk die de ingevoerde Meldplicht Datalekken heeft opgeleverd in sommige gevallen overdreven. ‘Zeker als blijkt dat er niets aan de hand is of als de impact beperkt is. Zelf zijn wij de meeste tijd kwijt aan het beoordelen of een melding inderdaad een datalek is en aan de vraag of we bewoners willen informeren.’ Het kan volgens Haitjema enorm helpen als er meer aanwijzingen komen van de Informatie Beveiligingsdienst of de Autoriteit Persoons - gegevens om te bepalen of een melding ook echt een datalek is.

‘Er is wel een overzicht van casussen waarbij is aangegeven waarom iets wel of geen datalek is. Van zo’n overzicht leer je veel, alleen al om alle varianten te ontdekken. Maandelijks een anoniem overzicht van alle meldingen en maatregelen vanuit de AP naar de CISO’s zou fijn zijn.’

Datalek-team
Privacyfunctionaris Wolfje Mijnders van de gemeente Veenendaal constateert eveneens dat gemeenten ‘flink aan het werk’ moeten bij een datalek. Het gemiddelde van vier werkdagen per datalek stemt overeen met de ervaringen van de gemeente Veenendaal. ‘Wanneer het niet te vaak in een jaar voorkomt, ervaar ik dit niet als onevenredig arbeidsintensief. Het resultaat van de meldplicht is dat er een kwetsbaarheid aan het licht is gekomen, die misschien nog niet eerder in beeld was. Dat is best zinvol en kan aanleiding zijn om soortgelijke kwetsbaarheden in de organisatie te onderzoeken.’

Mijnders denkt dat er nog wat te winnen valt met de efficiëntie van procedures bij het melden van een lek. ‘Het gaat erom de taken goed te af te spreken: wie coördineert het onderzoek naar een lek? Doet de CISO dit? Of de Functionaris Gegevensbescherming (FG) of toch de afdelingsmanager? Het is belangrijk eerst alle feiten goed op tafel te krijgen. In een grote organisatie moet je ervoor waken dat te veel mensen zich met het onderzoek gaan bemoeien en los van elkaar gaan werken.

Het kan zinnig zijn een speciaal datalek- team op te richten en onderling duidelijke afspraken te maken.’ De Autoriteit Persoonsgegevens laat in een reactie weten constant bezig te zijn met het aanpassen van formulieren, zodat de procedures in de toekomst soepeler verlopen. ‘Maar bij een datalek waarbij betrokkenen zijn benadeeld is het toch echt zaak om ze persoonlijk te informeren, een bericht op de website volstaat dan niet.’

Zelf ervaart de Autoriteit Persoonsgegevens ook een grote werkdruk door de Meldplicht Datalekken. Het blad Computable meldde in augustus dat de toezichthouder 2,5 tot 3,5 keer meer voltijdmedewerkers nodig zal hebben om alle taken en nieuwe bevoegdheden uit te voeren.

De werkzaamheden bij het toezichthouden en de controle op de naleving van regels gaan naar verwachting enorm verder stijgen als op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) Europees van kracht wordt. De organisatie zegt bezig te zijn met uitbreiden om de toegenomen werkdruk op te vangen. ‘De Meldplicht Datalekken is nu eenmaal een wet en gemeenten zullen eraan moeten voldoen.’

Op naar 1880 lekken
In de eerste helft van 2017 werden er 940 datalekken in het openbaar bestuur gemeld. Zet deze trend zich door dan zijn het er 1880 over heel 2017. Het gemiddelde aantal benodigde mensuren voor het melden en verwerken van een datalek is 32,1 uur. Dat impliceert dat er in 2017 in totaal 60.348 mensuren (1.880 datalekken maal 32,1 uur) aan moeten worden besteed. Voor een Functionaris Gegevens bescherming (schaal 12) betaalt de overheid op jaarbasis een kostendekkend loon van 89.000 euro. Omgerekend komt dat volgens de Handleiding Overheidstarieven 2017 neer op 80 euro per uur. De vermenigvuldiging van dit uurloon met het totale aantal geschatte mensuren voor 2017 resulteert in een bedrag van 4,6 miljoen euro aan loonkosten.