Datalek gemeente Amersfoort; de lessons learned!


Sinds 1 januari 2016 is de nieuwe wet Meldplicht Datalekken van kracht. Deze wet houdt in dat alle organisaties, waaronder gemeenten, binnen 72 uur melding moeten maken bij de Autoriteit Persoonsgegevens wanneer er een datalek heeft plaatsgevonden waarbij persoonsgegevens gelekt zijn. Daarbij is het uiteraard wel van belang en noodzakelijk dat iedereen binnen de gemeente weet wanneer er sprake is van een datalek en wanneer je hier dus melding van moet maken.

van moet maken. Doe je dit niet, dan kan dit ernstige nadelige gevolgen hebben voor je gemeente. Zoals ook gebeurde bij de gemeente Amersfoort…

Niks aan de hand?

Toen ambtenaren van de gemeente Amersfoort eind januari 2016 een e-mail met gevoelige informatie van ruim 1900 inwoners ‘per ongeluk’ naar een verkeerd e-mailadres stuurden, wisten zij namelijk niet dat er officieel sprake was van een datalek en deden zij dus ook geen melding bij de Autoriteit Persoonsgegevens. Simpelweg de ontvanger vragen het bericht niet te openen en direct te vernietigen, leek hen afdoende. Niks aan de hand, toch? Het tegenovergestelde bleek echter waar… niet de gemeente zelf, maar de ontvanger heeft namelijk melding gemaakt van een gemeentelijk datalek bij de Autoriteit Persoonsgegevens. Een aantal maanden later, in april, werd de verantwoordelijk wethouder Fleur Imming, vervolgens voor uitleg gebeld door de Autoriteit Persoonsgegevens. Toen was het kwaad echter al geschied, met als gevolg dat dit incident uitlekte naar de (landelijke) pers en volop in het nieuws kwam.

Wees alert!

Naar aanleiding van dit incident is er een extern onderzoek verricht naar het datalek. Volgens de onderzoekers waren de ambtenaren niet op de hoogte van het protocol rondom de Meldlicht Datalekken en waren zij van mening dat zij goed gehandeld hadden. Waar is het fout gegaan en wat had de gemeente Amersfoort zelf kunnen (of moeten) doen om dit te voorkomen? Het hebben van een protocol had het datalek zelf uiteraard niet kunnen voorkomen, maar het kan wel helpen bij het op de juiste wijze rapporteren van het datalek. De wet Meldplicht Datalekken is een belangrijk onderwerp, zeker gezien het feit dat, zo blijkt uit ervaring, een datalek vaak ontstaat door onzorgvuldig handelen van een medewerker. Kortom, twee belangrijke stappen zijn dus 1. het opstellen van een protocol en intern communiceren over het feit dat dit protocol er is en 2. het vergroten van het bewustzijn van de medewerkers op dit vlak. Want wanneer medewerkers een datalek moeten melden, moeten zij wel eerst weten wat een datalek is, hoe te handelen in geval van een datalek en wat zij hier zelf aan kunnen doen om dit te voorkomen.

Lessons learned

In het onderzoeksrapport wordt een aantal aanbevelingen en lessons learned gegeven. Ik zet ze graag voor je op een rij, in mijn eigen volgorde van belangrijkheid:

  1. Stel een draaiboek op voor de omgang met beveiligingsincidenten en datalekken en communiceer ook met regelmaat intern over het feit dat dit draaiboek er is. Communiceer ook welke stappen collega’s moeten nemen in het geval zich een incident of datalek voordoet.
  2. Zorg dat je een datalek, indien er persoonsgegevens zijn gelekt, altijd binnen 72 uur meldt bij de Autoriteit Persoonsgegevens.
  3. Zorg voor bewustwording bij de medewerkers. Dus communiceer met regelmaat over het onderwerp en toets deze kennis ook.
  4. Communiceer altijd zelf naar de betrokken partijen/personen over het incident en zet hierbij altijd de ‘slachtoffers’ centraal. Hierdoor bepaal je zelf wat er gecommuniceerd wordt in plaats van dat anderen dat doen.
  5. Laat een Privacy Impact Analyse (PIA) uitvoeren en implementeer de adviezen.
  6. Stel een Privacy- en Informatiebeveiligingsbeleid op. Hierbij is het belangrijk om ook de onderlinge relaties tussen deze twee beleidskaders op te nemen.

Tenslotte kun je er ook voor kiezen om voorzorgsmaatregelen te treffen, bijvoorbeeld door er voor te zorgen dat wanneer je vertrouwelijke gegevens vanaf je computer mailt, de gegevens altijd versleuteld zijn. Dit is mogelijk door implementatie van versleutelde e-mail. Zijn er geen mogelijkheden om versleutelde e-mail binnen de gemeente te versturen? Wissel (versleutelde) bestanden dan altijd uit via een interne (veilige) uitwissel website of een veilige (encrypted) USB-stick, waarbij links tijdelijk geldig zijn en documenten worden afgeschermd met een wachtwoord. Hierdoor is de inhoud niet toegankelijk voor derden.

Meer weten?

Neem dan contact met ons op. Informatiebeveiliging Gemeenten, kan ondersteunen bij:

  • Het geven van trainingen op het gebied van bewustwording op informatiebeveiligingsvlak en privacy.
  • Het opstellen van procedures ten behoeve van beveiligingsincidenten en datalekken.
  • Het opstellen van een informatiebeveiligings- en privacybeleid.
  • Het uitvoeren van een PIA.

Neem ook eens een kijkje op onze nieuwe site www.ib-p.nl. Wij helpen u graag!

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.