ZBC Kennisbank

Datalek is vaak juist geen menselijke fout

 

Als het gaat om informatiebeveiliging of privacy, wordt de mens vaak gezien als de zwakste schakel. In het geval van een incident heeft hij zich niet gehouden aan de regels of wat stoms uitgehaald. De persoon in kwestie krijgt een reprimande, de procedures worden zo mogelijk aangescherpt en men gaat over tot de orde van de dag.

Als er sprake is van een menselijke fout, dan is dit een voor de hand liggende reactie en in ieder geval een reactie. Maar het is een reactie op de automatische piloot. En het geeft aan, dat de organisatie niets heeft geleerd van het incident. Laten we dit concretiseren aan de hand van een voorbeeld van een incident dat begin 2016 plaatsvond.

Hogeschool lekt persoonsgegevens van 4400 studenten

Omroep Gelderland maakte bekend dat Hogeschool <QQQQ> de persoonlijke gegevens van zo’n 4400 studenten per ongeluk heeft rondgemaild. Volgens de omroep gaat het om onder meer het woonadres, de telefoonnummers, e-mailadressen en het BSN-nummer van de studenten. Een woordvoerster van de hogeschool heeft het bericht bevestigd.
Volgens de woordvoerster werd het Excel-sheet met de gegevens per ongeluk toegevoegd als bijlage bij een e-mail die door het Student Service Centre aan studenten werd gestuurd. Nadat studenten hierover aan de bel hadden getrokken, heeft het College van Bestuur alle betrokkenen op de hoogte gebracht. Studenten zijn opgeroepen het bestand te verwijderen. De hogeschool heeft de Autoriteit Persoonsgegevens op de hoogte gesteld. Het College van Bestuur heeft studenten verder opgeroepen zich te melden als ze in de problemen zijn gekomen door het rondsturen van het bestand. De woordvoerster sprak van een menselijke fout. “Ik werk hier 23 jaar en het is de eerste keer dat zoiets gebeurt.” Verder gaf ze aan dat niemand heeft gemeld in de problemen te zijn gekomen.

Is dit een menselijke fout?

Op het eerste gezicht lijkt dit een bedrijfsongeval, dat natuurlijk altijd kan voorkomen en dat op een nette manier is afgehandeld. De dader is getraceerd, de betrokkenen zijn geïnformeerd en daarmee is de kous af. Bewust heb ik hier de naam van de Hogeschool weggelaten. Het zou immers iedere Hogeschool kunnen overkomen. Maar feitelijk is hier meer aan de hand. En geen journalist heeft voldoende kennis van zaken om dat te zien.
Als er al sprake is van een menselijke fout, dan ligt deze bij de privacy officer van de Hogeschool. Die heeft zitten slapen. Blijkbaar weet hij/zij niet, dat toepassing van ‘privacy by design’ behoort tot zijn takenpakket, zoals de EU-verordening die binnenkort van kracht wordt, uitdrukkelijk vermeldt.
Het ontbreken van deze toepassing is de belangrijkste reden, dat dit incident heeft kunnen plaatsvinden. Misschien dacht de Hogeschool klaar te zijn met het benoemen van een privacy officer en het onderwerp privacy hiermee af te kunnen voeren van de agenda van de directie. Dit is echter allerminst het geval. De privacy officer is niet primair de waakhond voor de privacy wet. Veel belangrijker is, dat hij/zij er met zijn of haar advisering voor zorgt, dat privacy incidenten voorkomen worden of minimaal de ernst van een incident wordt verminderd. (Zie ‘Toegevoegde waarde van een Privacy Officer of FG’.)

Drie gouden regels van privacy en security by design

Populair gezegd zijn er voor privacy (en security) by design drie gouden regels:

  1. vertrouwelijke data die je niet hebt, hoef je ook niet te beveiligen;
  2. scheid vertrouwelijke data;
  3. sleep niet met vertrouwelijke data.

In het genoemde voorbeeld werd tegen alle drie deze regels gezondigd.

  1. Het BSN-nummer is een bijzonder persoonsgegeven dat zo goed mogelijk beschermd moet worden en dus niet in de dagelijkse operatie gebruikt mag worden. Daarvoor heb je het student-id.
  2. In de database van de studentendossiers zal er ongetwijfeld een scheiding zijn tussen identificerende gegevens van de student en hun vertrouwelijke gegevens. Via een export naar Excel wordt deze scheiding echter doorbroken en dat geldt zeker als dit Excel bestand als zelfstandig bestand wordt opgeslagen.
  3. Mail is ongeschikt voor bestandsuitwisseling. Niet duidelijk is op welke manier het Excel bestand als bijlage bij de mail werd toegevoegd. Maar duidelijk moet in elk geval zijn, dat als je informatie per mail aan iemand verstuurt, er al gauw sprake is van een tiental kopieën op mailservers en ontvangende apparaten (laptop, tablet, smartphone) en als je die informatie naar 4400 studenten stuurt, je al gauw zo’n 50.000 kopieën creëert van dat ene bestand. Iedere organisatie die dergelijk hoeveelheden mails verstuurt, zou moeten weten dat je in de mail een link stuurt naar het bewuste bestand. Dat heeft ook nog als voordeel, dat je weet wie daadwerkelijk heeft doorgeklikt om het bestand te bekijken.

Kortom, het zou gewoon niet moeten kunnen, dat een medewerker een dergelijke fout maakt. Ik beschouw deze fout dus veel meer als een fout in de beveiliging van privacygevoelige gegevens dan als een menselijke fout.

Het functioneren van de privacy officer is vaak het probleem

Hoewel er veel aandacht in de media is voor privacy, gaat het vaak over de verkeerde dingen. Het gaat over schandalen, schuldigen en boetes. Kortweg, het gaat over incidenten. En men gaat voorbij aan het feit dat het vermijden van privacy incidenten een kwestie is van het onderkennen van risico’s en het formuleren van beleidsuitgangspunten, die zoveel mogelijk uitgaan van privacy by design. Want dat is veiliger. Procedures houden niets tegen. Bovendien voorkom je hiermee dat medewerkers volgestopt moeten worden met regeltjes, waarvan de naleving ook nog gecontroleerd moet worden, en verder dat er geen verband is tussen de maatregelen en de zwaarte van de risico’s, waardoor de regels vaak als onzinnig worden beschouwd en dus niet handhaafbaar zijn.
Een goed functionerende privacy officer, een privacy officer die in de eerste plaats werkt als beoordelaar van risico’s en als management adviseur, is in staat om deze ongein te voorkomen. Hij moet dan wel de kennis en de vaardigheden hebben om zijn rol op een goede manier in te vullen. Als dit niet he geval is , zal hij/ zij weinig meer zijn dan een politie agent zonder bevoegdheden, die er niet aan bijdraagt dat de organisatie beter omgaat met privacy vraagstukken. 

Via een pragmatische aanpak ondersteunt ZBC organisaties om hun privacy op orde te krijgen of een ISO 27001 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 1 juli 2016


One Response to “Datalek is vaak juist geen menselijke fout”

  1. Nevile Wilder schreef:

    “zou moeten weten dat je in de mail een link stuurt naar het bewuste bestand.”

    Nou niet echt.., als je als organisatie het op linkjes klikken (die gebruikers naar een mogelijke malicious web-site kunnen doorsturen) wilt ontmoedigen… Afleren dus dat klikken op linkjes!!!

    Beter is het op de webspace een speciale ruimte hiervoor in te richten met een duidelijke naam waarnaar in de mail kan worden verwezen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *