Het herkennen van een zogenaamd datalek blijft problematisch, zo blijkt uit een online steekproef onder 500 Nederlanders. Dit lijkt echter deels een semantische kwestie: er hoeft lang niet altijd data te ‘lekken’ eer er volgens de regelgeving sprake is van een datalek.

Deelnemers aan een online test van Previder beantwoordden gemiddeld slechts 62,3 procent van de vragen op juiste wijze. Dit terwijl organisaties verplicht zijn datalekken intern te registreren en in bepaalde gevallen te melden bij de Autoriteit Persoonsgegevens (AP).

“De meldplicht datalekken wordt op een aantal punten nog niet goed begrepen,” zegt Jeroen Renard, data protection officer van Odin Groep, het moederbedrijf van Previder. “Bedrijven zouden hun medewerkers extra voorlichting moeten geven om die situatie te verbeteren.”

Op drie vragen uit het onderzoek werd ruim onder het gemiddelde gescoord. Zo gaf op de volgende vraag gaf nog net niet de helft van de respondenten het juiste antwoord:

Op de ledenbijeenkomst van een politieke partij ligt de ledenlijst in de ontvangstruimte. Op deze lijst dienen mensen te tekenen voor hun aanwezigheid. Ze moeten hun naam, adres en e-mailadres opgeven. Is hier sprake van een datalek?

Dit is een veelvoorkomend scenario bij allerlei bedrijven. Er zijn intekenlijsten bij recepties, bijeenkomsten en events, en wat te denken van een online smoelenboek? Strikt genomen is hier sprake van een datalek, omdat er persoonsgegevens openbaar worden gemaakt aan iedereen die de lijst onder ogen krijgt.

Volgens data protection officer Renard is de foutscore op deze vraag goed te verklaren: “Het klinkt onschuldig: het bijhouden van aanwezigheid doen we immers al jaren via allerlei intekenlijsten op scholen, raadsvergaderingen of evenementen. Het kan toch geen kwaad dat de aanwezigen elkaars gegevens kunnen zien? Voor dit soort situaties moet je nu formeel een ander systeem hanteren waarbij dit niet meer mogelijk is. Maar vanuit het oogpunt van proportionaliteit is dit geen groot vergrijp, ook al denkt de Autoriteit Persoonsgegevens daar misschien anders over. Ik kan persoonlijk wel begrijpen dat bedrijven die papieren intekenlijsten ook in de toekomst gewoon blijven gebruiken, maar er zijn mooie professionele alternatieven.”

Een derde van de respondenten had het antwoord op de volgende vraag goed:

Een dierenasiel is getroffen door een alles verwoestende brand. Alle dieren zijn gered, maar alle gegevens, waaronder die van de klanten, zijn wel verloren gegaan. Het dierenasiel beschikt niet over een complete en actuele back-up van de gegevens. Is hier sprake van een datalek?

Bij deze vraag draait het met name om de manier waarop de respondenten de term ‘datalek’ interpreteren. Want worden er formeel data gelekt als ze verloren gaan? “Als er sprake is van gegevensverlies, en die gegevens niet in verkeerde handen vallen, is er toch ook sprake van een datalek”, zegt Renard. “Dit is gevoelsmatig onlogisch, want aan wie zijn immers de gegevens gelekt, als niemand er meer toegang tot heeft? Als bedrijf ben je verantwoordelijk voor de persoonlijke gegevens van je klanten, of het nu om een persoonlijk dossier bij een dierenasiel gaat of welke andere dienst ook. Het verliezen van hun data betreft dan toch echt een datalek.”

Ruim een kwart van de respondenten gaf het juiste antwoord op onderstaande vraag:

De directeur van een grote, landelijke loterij heeft een usb-stick verloren. Op deze usb-stick stond een kopie met alle adresgegevens van de deelnemers aan de loterij. De usb-stick was wel voorzien van encryptie. Is hier sprake van een datalek dat bij de Autoriteit Persoonsgegevens gemeld moet worden?

De vraag die misschien wel het meest voorkomende datalekscenario schetst, is ironisch genoeg ook de vraag waar de meeste fouten zijn gemaakt. Het merendeel van de respondenten dacht dat er sprake is van een datalek dat gemeld moet worden, terwijl dit niet per definitie het geval is.

“Als de verloren data op de usb-stick versleuteld zijn, hoef je dit datalek niet te melden”, zegt Renard. Je kunt in dit geval namelijk onrechtmatige verwerking uitsluiten. Er worden overigens wel bepaalde eisen gesteld aan de encryptie, en de gegevens moeten nadrukkelijk kopieën zijn. Maar als dit goed geregeld en gedocumenteerd is, dan is er geen sprake van een datalek.”

Dit is het vaste redactieaccount van IT Executive. Hierachter gaan meerdere redacteuren schuil. Je bereikt ons op redactie[at]it-executive.nl.

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter