Datalek: een duur foutje
De hoeveelheid datalekken bij de overheid stijgt al jaren, en die stijging lijkt maar niet af te nemen. De werklast neemt daarom ook toe.
De werklast als gevolg van datalekken stijgt bij gemeenten al jaren. En dat blijft de komende jaren zo, toont gezamenlijk onderzoek aan van Binnenlands Bestuur, AG Connect en iBestuur. Een aantal gemeenten slaat alarm.
Werklast voor gemeenten blijft toenemen
De hoeveelheid datalekken bij de overheid stijgt al jaren, en die stijging lijkt maar niet af te nemen. In 2017 werden er 484 datalekken bij het openbaar bestuur gemeld. In 2021 zijn dat er bijna 5.000. Vrijwel altijd gaat het om menselijke fouten, zoals een verkeerde bijlage in een mail, een e-mail naar een verkeerd adres of een verkeerd verstuurde brief, zo wordt duidelijk uit de antwoorden. Een foutje dat leidt tot een datalek is in een seconde gemaakt, maar daarna begint een tijdrovend proces waarbij meerdere afdelingen van een organisatie moeten aanhaken om de melding compleet te maken.
Uit een onderzoek van Binnenlands Bestuur, AG Connect en iBestuur onder 63 gemeenten ontstaat het beeld dat gemeenten zich de afgelopen jaren veel beter bewust zijn geworden van datalekken. Het is volgens gemeenten zelfs de voornaamste oorzaak van de stijging. Organisaties zien dat vaak als positief: meer datalekken is een bevestiging van het verhoogde bewustzijn. Maar er zijn ook zorgen over de werklast die door al die meldingen blijft toenemen. 53 van de 63 gemeenten voorzien dat die trend de komende jaren doorzet. Vier gemeenten vinden de huidige werklast al niet meer uitvoerbaar.
‘Het aantal datalekken waarbij sprake is van een risico bedraagt nog geen kwart van het totaal aantal datalekken. In die zin staat de werklast niet in verhouding tot het beoogde doel’, zo geeft een woordvoerder van gemeente Amsterdam aan. ‘Maar elk datalek moet serieus genomen worden en hoewel bij de overgrote meerderheid geen sprake is van een risico, moeten deze wel worden uitgezocht, bijgehouden worden in de administratie en waar nodig gemeld bij de Autoriteit Persoonsgegevens (AP).’
Ten goede
Ondanks de stijgende werklast heeft de verplichting van het melden van een datalek ook een hoop ten goede veranderd, zien gemeenten. In mei 2018 werd de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Gemeenten kregen de tijd om te wennen aan de nieuwe verplichtingen, zoals het melding maken van een datalek. Organisaties moesten bovendien een Functionaris Gegevensbescherming aannemen die intern toezicht houdt op de meldingen en de organisatie van de nodige kennis voorziet. Het personeel kreeg te maken met bewustwordingscampagnes en maatregelen om gegevens beter te beschermen. Het bekende briefje met een Wifi-wachtwoord verdween van de (meeste) prikborden op kantoor.
De eerste maanden na de invoering van de AVG waren nogal chaotisch, aldus deskundigen. Doordat veel gemeenten de benodigde kennis nog niet in huis hadden, leidde de strengere privacywet tot hoge kosten voor externe inhuur en veel onduidelijkheden, bleek ook uit onderzoek van Binnenlands Bestuur uit 2017. Zo’n vier jaar later lijkt de situatie onder controle en is de afhandeling van datalekken meer gestroomlijnd. Organisaties zijn aan de AVG gewend geraakt.
Afhandeling kost gemiddeld 2,5 tot 4 uur
Uit het onderzoek wordt duidelijk dat de afhandeling van datalekken een werklast meebrengt van zo’n 2,5 tot 4 uur, afhankelijk van de ernst. In bijzondere gevallen kan de werklast veel verder oplopen. Daarbij neemt het aantal meldingen jaarlijks fors toe, blijkt uit jaarlijkse cijfers van de AP. En vooral daar gaan veel uren in zitten. De gemeente Gemert- Bakel herkent dit beeld. ‘Burgers worden zelf meer alert. Daarnaast wordt er een meldingsbereidheid ervaren bij de ambtenaren. Dit is een trend waar we heel blij mee zijn als gemeente, ondanks dat dit extra werkzaamheden voor ons als gemeente betekent. Los daarvan merken we als gemeente dat we sneller en adequater leren reageren op datalekken.’
Veel winst
Komt er ooit een einde aan die stijgende werklast? Senior-adviseur Floor Terra van Privacy Company was zelf enkele jaren geleden betrokken de opzet van het meldloket voor datalekken en de processen; nu werkt hij als senior-adviseur en voert hij onder meer privacy-onderzoeken uit bij grote techbedrijven in opdracht van de overheid. Sinds de AVG in werking is, ziet Terra zowel positieve als negatieve ontwikkelingen. ‘Natuurlijk is het zo dat gemeenten datalekken beter opmerken en daar in de loop van de tijd handiger en efficiënter mee omgaan. Op basis van het nieuwe bewustzijn mag je ervan uitgaan dat er minder datalekken zullen ontstaan, maar het is ook zo dat datalekken door de toegenomen kennis beter worden opgemerkt.’
Terra denkt dat er vooral nog winst te behalen valt bij het meldproces. ‘Het is een uitgebreid formulier dat handmatig moet worden ingevuld en dat kan in mijn ogen een stuk beter. De administratieve werklast is erg hoog. Het formulier moet langs meerdere afdelingen en dat kost natuurlijk tijd.’
De ontwikkeling van een intern managementsysteem waarbij met behulp van API (application programming interface) via één klik gegevens kunnen worden doorgezet, zou kunnen helpen, denkt Terra. ‘Ik vind eerlijk gezegd dat zo’n systeem er al had moeten zijn, maar de AP blijft kiezen voor handmatig melden.’ Volgens Terra gebeurt het nog regelmatig dat organisaties er pas halverwege het invullen achter komen dat er nog allerlei zaken moeten worden uitgezocht, waarvoor andere afdelingen in de organisatie moeten worden ingeschakeld. ‘Het is in principe goed dat deze vragen beantwoord moeten worden, omdat dit er ook voor zorgt dat organisaties zichzelf zo blijven evalueren. Maar het kost wel een paar uur extra’, aldus Terra.
Hoogleraar recht en de informatiemaatschappij Gerrit Jan Zwenne (Universiteit Leiden) sluit zich aan bij Terra. ‘De AP stelt nu dat een melding in vijftien tot dertig minuten kan worden gemaakt, maar binnen die tijd zal het vrijwel onmogelijk zijn om een melding af te ronden. Het zou heel plezierig zijn wanneer er API wordt ontwikkeld waarmee een organisatie datalekken in het eigen systeem kan verwerken en snel kan doorzetten naar het meldpunt.’
Tijdrovend klusje
Zwenne kijkt op van de tijd die gemeenten kwijt zijn aan een melding: 2,5 tot 4 uur. ‘Je bent daarna nog niet klaar. Vaak moet je naderhand je melding nog aanpassen omdat er dan een beter beeld is ontstaan van het datalek.’ De AP heeft volgens Zwenne een aantal verbeteringen doorgevoerd, waaronder het opnieuw mogelijk maken van bulkmeldingen [die eerder waren afgeschaft, red.]. Maar melden blijft een tijdrovend klusje. Een bulkmelding maakt het bijvoorbeeld voor verzekeraars en pensioenfederaties mogelijk om gelijksoortige meldingen ‘op te sparen’ en periodiek te melden.
Zwenne ziet in de dagelijkse praktijk ook weleens datalekken langskomen waarbij er slechts een beperkt risico geldt. ‘Datalekken moeten gemeld worden, tenzij er geen risico is voor betrokkenen. In gevallen met een hoog risico, moet het lek ook aan de betrokkenen zelf worden gemeld.
Een boete van de AP kan torenhoog zijn
Daar zit een gelaagdheid in die voor organisaties vaak niet helemaal duidelijk is.’ Sommige meldingen zijn wat Zwenne betreft niet nodig. ‘Een aantekening in de eigen registers kan dan genoeg zijn. Toch worden ze gemeld omdat de onzekerheid groot is: een boete van de AP kan torenhoog zijn.’
Zwenne geeft als voorbeeld een mail met persoonsgegevens waarbij Outlook automatisch het adres van de ontvanger invult. ‘Dat gaat niet altijd goed. Het overkomt ons allemaal weleens. Maar een melding hoeft niet nodig zijn als de ontvanger te vertrouwen is en meteen bevestigt dat hij het bericht niet heeft geopend en direct heeft verwijderd. De voorwaarde is wel dat je de ontvanger op zijn woord kunt vertrouwen, daar zit een onzekerheid.’
Wat Zwenne betreft is het groeiend aantal meldingen zowel positief als negatief uit te leggen. ‘Gemeenten zijn er veel tijd aan kwijt, maar het geeft ook aan dat zij datalekken serieus nemen. Ik heb de indruk dat overheden hierin verder zijn dan andere organisaties die niet altijd hun datalekken melden. Die komen er dan mee weg. Het hoeft dus niet te betekenen dat gemeenten hun gegevens slechter beschermen dan andere organisaties.’
Heel saai
‘Mensen maken nu eenmaal fouten’, zegt Terra. Er zou wat hem betreft eigenlijk een stap verder moeten worden gedacht: beter ingerichte systemen die fouten onmogelijk maken. ‘Een verkeerd verstuurde e-mail dient goed te worden afgehandeld met een melding, maar wat doen organisaties om te voorkomen dat deze fouten überhaupt gemaakt worden?’ Hij ziet ook een belangrijke rol voor de media en de politiek rondom datalekken.
‘Er is veel negatieve aandacht voor gemaakte fouten. Maar datalekken horen eigenlijk heel saai te zijn: het gebeurt nu eenmaal. De focus van de media en de politiek moet niet liggen op de fout zelf, maar op het proces erna: worden betrokkenen goed geïnformeerd? Is het lek opgelost? Er zijn gemeenten, zoals Lochem, die hun fout niet stilhouden, maar juist zo veel mogelijk aan anderen proberen te laten te zien hoe je met fouten kunt omgaan en wat de verbeterpunten voor de organisatie zijn.’
Kosten lopen snel op
Voor de kosten van een datalek houden gemeenten zo’n 50 tot 80 euro per gewerkt uur aan. Daarmee komen de kosten per gemeente meestal uit op enkele duizenden euro’s per jaar. Dat staat los van de kostbare bewustwordingscampagnes voor de hele gemeentelijke organisatie. Alkmaar gaf bijvoorbeeld 400.000 euro uit aan een dergelijke campagne. De gemeente Utrecht schat in dat een ‘klein onderzoek’ zo’n 400 euro kost, maar de kosten van een ‘groot onderzoek’ naar een datalek kunnen makkelijk oplopen tot 25.000 euro. Dat is exclusief preventieve maatregelen. Gemeenten maken nog weinig kosten aan externe inhuur voor datalekken. Er zijn uitzonderingen: Sûdwest-Fryslan en Terneuzen waren respectievelijk 15.000 en 9.000 euro kwijt aan extern advies.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.