Skip to main content

Datalek gemeente Amersfoort; de lessons learned!

| IB&P | ,

Sinds 1 januari 2016 is de nieuwe wet Meldplicht Datalekken van kracht. Deze wet houdt in dat alle organisaties, waaronder gemeenten, binnen 72 uur melding moeten maken bij de Autoriteit Persoonsgegevens wanneer er een datalek heeft plaatsgevonden waarbij persoonsgegevens gelekt zijn. Daarbij is het uiteraard wel van belang en noodzakelijk dat iedereen binnen de gemeente weet wanneer er sprake is van een datalek en wanneer je hier dus melding van moet maken.

van moet maken. Doe je dit niet, dan kan dit ernstige nadelige gevolgen hebben voor je gemeente. Zoals ook gebeurde bij de gemeente Amersfoort…

Niks aan de hand?

Toen ambtenaren van de gemeente Amersfoort eind januari 2016 een e-mail met gevoelige informatie van ruim 1900 inwoners ‘per ongeluk’ naar een verkeerd e-mailadres stuurden, wisten zij namelijk niet dat er officieel sprake was van een datalek en deden zij dus ook geen melding bij de Autoriteit Persoonsgegevens. Simpelweg de ontvanger vragen het bericht niet te openen en direct te vernietigen, leek hen afdoende. Niks aan de hand, toch? Het tegenovergestelde bleek echter waar… niet de gemeente zelf, maar de ontvanger heeft namelijk melding gemaakt van een gemeentelijk datalek bij de Autoriteit Persoonsgegevens. Een aantal maanden later, in april, werd de verantwoordelijk wethouder Fleur Imming, vervolgens voor uitleg gebeld door de Autoriteit Persoonsgegevens. Toen was het kwaad echter al geschied, met als gevolg dat dit incident uitlekte naar de (landelijke) pers en volop in het nieuws kwam.

Wees alert!

Naar aanleiding van dit incident is er een extern onderzoek verricht naar het datalek. Volgens de onderzoekers waren de ambtenaren niet op de hoogte van het protocol rondom de Meldlicht Datalekken en waren zij van mening dat zij goed gehandeld hadden. Waar is het fout gegaan en wat had de gemeente Amersfoort zelf kunnen (of moeten) doen om dit te voorkomen? Het hebben van een protocol had het datalek zelf uiteraard niet kunnen voorkomen, maar het kan wel helpen bij het op de juiste wijze rapporteren van het datalek. De wet Meldplicht Datalekken is een belangrijk onderwerp, zeker gezien het feit dat, zo blijkt uit ervaring, een datalek vaak ontstaat door onzorgvuldig handelen van een medewerker. Kortom, twee belangrijke stappen zijn dus 1. het opstellen van een protocol en intern communiceren over het feit dat dit protocol er is en 2. het vergroten van het bewustzijn van de medewerkers op dit vlak. Want wanneer medewerkers een datalek moeten melden, moeten zij wel eerst weten wat een datalek is, hoe te handelen in geval van een datalek en wat zij hier zelf aan kunnen doen om dit te voorkomen.

Lessons learned

In het onderzoeksrapport wordt een aantal aanbevelingen en lessons learned gegeven. Ik zet ze graag voor je op een rij, in mijn eigen volgorde van belangrijkheid:

  1. Stel een draaiboek op voor de omgang met beveiligingsincidenten en datalekken en communiceer ook met regelmaat intern over het feit dat dit draaiboek er is. Communiceer ook welke stappen collega’s moeten nemen in het geval zich een incident of datalek voordoet.
  2. Zorg dat je een datalek, indien er persoonsgegevens zijn gelekt, altijd binnen 72 uur meldt bij de Autoriteit Persoonsgegevens.
  3. Zorg voor bewustwording bij de medewerkers. Dus communiceer met regelmaat over het onderwerp en toets deze kennis ook.
  4. Communiceer altijd zelf naar de betrokken partijen/personen over het incident en zet hierbij altijd de ‘slachtoffers’ centraal. Hierdoor bepaal je zelf wat er gecommuniceerd wordt in plaats van dat anderen dat doen.
  5. Laat een Privacy Impact Analyse (PIA) uitvoeren en implementeer de adviezen.
  6. Stel een Privacy- en Informatiebeveiligingsbeleid op. Hierbij is het belangrijk om ook de onderlinge relaties tussen deze twee beleidskaders op te nemen.

Tenslotte kun je er ook voor kiezen om voorzorgsmaatregelen te treffen, bijvoorbeeld door er voor te zorgen dat wanneer je vertrouwelijke gegevens vanaf je computer mailt, de gegevens altijd versleuteld zijn. Dit is mogelijk door implementatie van versleutelde e-mail. Zijn er geen mogelijkheden om versleutelde e-mail binnen de gemeente te versturen? Wissel (versleutelde) bestanden dan altijd uit via een interne (veilige) uitwissel website of een veilige (encrypted) USB-stick, waarbij links tijdelijk geldig zijn en documenten worden afgeschermd met een wachtwoord. Hierdoor is de inhoud niet toegankelijk voor derden.

Meer weten?

Neem dan contact met ons op. Informatiebeveiliging Gemeenten, kan ondersteunen bij:

  • Het geven van trainingen op het gebied van bewustwording op informatiebeveiligingsvlak en privacy.
  • Het opstellen van procedures ten behoeve van beveiligingsincidenten en datalekken.
  • Het opstellen van een informatiebeveiligings- en privacybeleid.
  • Het uitvoeren van een PIA.

Neem ook eens een kijkje op onze nieuwe site www.ib-p.nl. Wij helpen u graag!

IB&P
Laatste berichten van IB&P (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.
Verder lezen

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.
Verder lezen

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.
Verder lezen

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.
Verder lezen

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…
Verder lezen

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…
Verder lezen