Uit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt dat gemeenten op wekelijkse basis te kampen hebben met een datalek. Ook commerciële partijen zoals energieleveranciers zijn steeds vaker slachtoffer. In dit blog lichten we drie recente gevallen van een datalek. Zo dweil je niet met de kraan open.
Meldplicht
Sinds het ingaan van de meldplicht datalekken zijn er 147 meldingen van datalekken bij gemeenten gemaakt. Het totaal aantal melding bedroeg in april bijna duizend. Hierbij zijn ook bedrijven inbegrepen. Deze cijfers tonen enerzijds aan dat een datalek een reëel gevaar is voor iedere organisatie. Anderzijds kan het zijn dat organisatie en overheden ‘overspannen’ reageren sinds intrede van de nieuwe wetgeving. Echter, geef hen eens ongelijk. Wanneer men een datalek vermoed, moet binnen 24 uur melding worden gemaakt bij de AP en de boetes kunnen oplopen tot 800.000 euro. Voorzichtigheid is in ieder geval geboden.
‘Datalek bij gemeente Utrecht treft tussen de 5.000 en 14.000 inwoners’
De gemeente Utrecht heeft in maart van dit jaar een datalek vastgesteld waarbij gegevens van 5.000 tot 140.000 Utrechters op het intranet van de gemeente beschikbaar waren. Het ging om 316 pagina’s met namen en persoonsgegevens. Uit een voorjaarsnota van de gemeente blijkt verder dat er tussen begin dit jaar en mei negen datalekken hebben plaatsgevonden. De gemeente stelt in diezelfde nota dat het risico op een datalek groot is. Daarom is er een bedrag van 800.000 euro gereserveerd voor eventuele boetes. Ook wil de gemeente vanaf 2017 jaarlijks 550.000 euro uitrekken om te voldoen aan de wetgeving datalekken.
‘Energie data van miljoenen Nederlanders gestolen’
Netbeheer Nederland en Energie Nederland melden in een persbericht dat de energiedata van twee miljoen huishoudens in handen is gekomen van een energieleverancier die hier geen toegang toe zou mogen hebben. Het gaat om gegevens zoals het jaarverbruik, type aansluiting, de einddatum van de contracten en adresgegevens. Er wordt gesproken van ‘vermoedelijke diefstal’. De betreffende energieleverancier zou volgens Netbeheer de data kunnen gebruiken om aanbiedingen voor een nieuw energiecontract per post te versturen.
‘Vermoedelijk datalek van 20GB bij gemeente Almelo’
Bij de gemeente Almelo is 20 gigabyte aan data naar buiten gekomen. De gemeente vermoedt dat de data doormiddel van Malware is buitgemaakt. Tubantia meldt dat de persoonsgevens afkomstig zijn van de netwerkomgeving Werkplein.
Oorzaken
Uit de bovenstaande praktijkvoorbeelden blijkt dat een datalek verschillende oorzaken kan hebben. Voor organisaties is het daarom lastig om een datalek volledig uit te sluiten. Zo kan de beveiliging van de data niet optimaal zijn of ligt de oorzaak in menselijk falen. De Wet bescherming persoonsgevens (Wbp) stelt een aantal randvoorwaarden voor de beveiliging, maar ook wanneer hieraan wordt voldaan is een datalek niet uit te sluiten.
Breng de controle terug naar IT
Wanneer een onvoorzien datalek daadwerkelijk plaatsvindt wil je jezelf en de organisatie niets kunnen verwijten. Met ownCloud breng je de controle terug naar IT. Vanuit een centrale locatie is het mogelijk om data veilig op te slaan en, indien nodig, ook beveiligd te delen. Verschillende gemeenten, zorginstellingen en ministeries maken al gebruik van ownCloud voor de opslag van (privacy) gevoelige data en informatie. Voor vragen over ownCloud kun je contact opnemen met Richard Groen.