Datalek gemeente Amersfoort; de lessons learned!

Sinds 1 januari 2016 is de nieuwe wet Meldplicht Datalekken van kracht. Deze wet houdt in dat alle organisaties, waaronder gemeenten, binnen 72 uur melding moeten maken bij de Autoriteit Persoonsgegevens wanneer er een datalek heeft plaatsgevonden waarbij persoonsgegevens gelekt zijn. Daarbij is het uiteraard wel van belang en noodzakelijk dat iedereen binnen de gemeente weet wanneer er sprake is van een datalek en wanneer je hier dus melding van moet maken.

van moet maken. Doe je dit niet, dan kan dit ernstige nadelige gevolgen hebben voor je gemeente. Zoals ook gebeurde bij de gemeente Amersfoort…

Niks aan de hand?

Toen ambtenaren van de gemeente Amersfoort eind januari 2016 een e-mail met gevoelige informatie van ruim 1900 inwoners ‘per ongeluk’ naar een verkeerd e-mailadres stuurden, wisten zij namelijk niet dat er officieel sprake was van een datalek en deden zij dus ook geen melding bij de Autoriteit Persoonsgegevens. Simpelweg de ontvanger vragen het bericht niet te openen en direct te vernietigen, leek hen afdoende. Niks aan de hand, toch? Het tegenovergestelde bleek echter waar… niet de gemeente zelf, maar de ontvanger heeft namelijk melding gemaakt van een gemeentelijk datalek bij de Autoriteit Persoonsgegevens. Een aantal maanden later, in april, werd de verantwoordelijk wethouder Fleur Imming, vervolgens voor uitleg gebeld door de Autoriteit Persoonsgegevens. Toen was het kwaad echter al geschied, met als gevolg dat dit incident uitlekte naar de (landelijke) pers en volop in het nieuws kwam.

Wees alert!

Naar aanleiding van dit incident is er een extern onderzoek verricht naar het datalek. Volgens de onderzoekers waren de ambtenaren niet op de hoogte van het protocol rondom de Meldlicht Datalekken en waren zij van mening dat zij goed gehandeld hadden. Waar is het fout gegaan en wat had de gemeente Amersfoort zelf kunnen (of moeten) doen om dit te voorkomen? Het hebben van een protocol had het datalek zelf uiteraard niet kunnen voorkomen, maar het kan wel helpen bij het op de juiste wijze rapporteren van het datalek. De wet Meldplicht Datalekken is een belangrijk onderwerp, zeker gezien het feit dat, zo blijkt uit ervaring, een datalek vaak ontstaat door onzorgvuldig handelen van een medewerker. Kortom, twee belangrijke stappen zijn dus 1. het opstellen van een protocol en intern communiceren over het feit dat dit protocol er is en 2. het vergroten van het bewustzijn van de medewerkers op dit vlak. Want wanneer medewerkers een datalek moeten melden, moeten zij wel eerst weten wat een datalek is, hoe te handelen in geval van een datalek en wat zij hier zelf aan kunnen doen om dit te voorkomen.

Lessons learned

In het onderzoeksrapport wordt een aantal aanbevelingen en lessons learned gegeven. Ik zet ze graag voor je op een rij, in mijn eigen volgorde van belangrijkheid:

  1. Stel een draaiboek op voor de omgang met beveiligingsincidenten en datalekken en communiceer ook met regelmaat intern over het feit dat dit draaiboek er is. Communiceer ook welke stappen collega’s moeten nemen in het geval zich een incident of datalek voordoet.
  2. Zorg dat je een datalek, indien er persoonsgegevens zijn gelekt, altijd binnen 72 uur meldt bij de Autoriteit Persoonsgegevens.
  3. Zorg voor bewustwording bij de medewerkers. Dus communiceer met regelmaat over het onderwerp en toets deze kennis ook.
  4. Communiceer altijd zelf naar de betrokken partijen/personen over het incident en zet hierbij altijd de ‘slachtoffers’ centraal. Hierdoor bepaal je zelf wat er gecommuniceerd wordt in plaats van dat anderen dat doen.
  5. Laat een Privacy Impact Analyse (PIA) uitvoeren en implementeer de adviezen.
  6. Stel een Privacy- en Informatiebeveiligingsbeleid op. Hierbij is het belangrijk om ook de onderlinge relaties tussen deze twee beleidskaders op te nemen.

Tenslotte kun je er ook voor kiezen om voorzorgsmaatregelen te treffen, bijvoorbeeld door er voor te zorgen dat wanneer je vertrouwelijke gegevens vanaf je computer mailt, de gegevens altijd versleuteld zijn. Dit is mogelijk door implementatie van versleutelde e-mail. Zijn er geen mogelijkheden om versleutelde e-mail binnen de gemeente te versturen? Wissel (versleutelde) bestanden dan altijd uit via een interne (veilige) uitwissel website of een veilige (encrypted) USB-stick, waarbij links tijdelijk geldig zijn en documenten worden afgeschermd met een wachtwoord. Hierdoor is de inhoud niet toegankelijk voor derden.

Meer weten?

Neem dan contact met ons op. Informatiebeveiliging Gemeenten, kan ondersteunen bij:

  • Het geven van trainingen op het gebied van bewustwording op informatiebeveiligingsvlak en privacy.
  • Het opstellen van procedures ten behoeve van beveiligingsincidenten en datalekken.
  • Het opstellen van een informatiebeveiligings- en privacybeleid.
  • Het uitvoeren van een PIA.

Neem ook eens een kijkje op onze nieuwe site www.privacy-gemeenten.nl. Wij helpen u graag!

Suwinet: alertheid medewerkers is noodzaak!
Mens, techniek en organisatie. Ook in de verantwoording?

Copyright © 2014-2019 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap