Datalek gemeente Amersfoort; de lessons learned!


Sinds 1 januari 2016 is de nieuwe wet Meldplicht Datalekken van kracht. Deze wet houdt in dat alle organisaties, waaronder gemeenten, binnen 72 uur melding moeten maken bij de Autoriteit Persoonsgegevens wanneer er een datalek heeft plaatsgevonden waarbij persoonsgegevens gelekt zijn. Daarbij is het uiteraard wel van belang en noodzakelijk dat iedereen binnen de gemeente weet wanneer er sprake is van een datalek en wanneer je hier dus melding van moet maken.

van moet maken. Doe je dit niet, dan kan dit ernstige nadelige gevolgen hebben voor je gemeente. Zoals ook gebeurde bij de gemeente Amersfoort…

Niks aan de hand?

Toen ambtenaren van de gemeente Amersfoort eind januari 2016 een e-mail met gevoelige informatie van ruim 1900 inwoners ‘per ongeluk’ naar een verkeerd e-mailadres stuurden, wisten zij namelijk niet dat er officieel sprake was van een datalek en deden zij dus ook geen melding bij de Autoriteit Persoonsgegevens. Simpelweg de ontvanger vragen het bericht niet te openen en direct te vernietigen, leek hen afdoende. Niks aan de hand, toch? Het tegenovergestelde bleek echter waar… niet de gemeente zelf, maar de ontvanger heeft namelijk melding gemaakt van een gemeentelijk datalek bij de Autoriteit Persoonsgegevens. Een aantal maanden later, in april, werd de verantwoordelijk wethouder Fleur Imming, vervolgens voor uitleg gebeld door de Autoriteit Persoonsgegevens. Toen was het kwaad echter al geschied, met als gevolg dat dit incident uitlekte naar de (landelijke) pers en volop in het nieuws kwam.

Wees alert!

Naar aanleiding van dit incident is er een extern onderzoek verricht naar het datalek. Volgens de onderzoekers waren de ambtenaren niet op de hoogte van het protocol rondom de Meldlicht Datalekken en waren zij van mening dat zij goed gehandeld hadden. Waar is het fout gegaan en wat had de gemeente Amersfoort zelf kunnen (of moeten) doen om dit te voorkomen? Het hebben van een protocol had het datalek zelf uiteraard niet kunnen voorkomen, maar het kan wel helpen bij het op de juiste wijze rapporteren van het datalek. De wet Meldplicht Datalekken is een belangrijk onderwerp, zeker gezien het feit dat, zo blijkt uit ervaring, een datalek vaak ontstaat door onzorgvuldig handelen van een medewerker. Kortom, twee belangrijke stappen zijn dus 1. het opstellen van een protocol en intern communiceren over het feit dat dit protocol er is en 2. het vergroten van het bewustzijn van de medewerkers op dit vlak. Want wanneer medewerkers een datalek moeten melden, moeten zij wel eerst weten wat een datalek is, hoe te handelen in geval van een datalek en wat zij hier zelf aan kunnen doen om dit te voorkomen.

Lessons learned

In het onderzoeksrapport wordt een aantal aanbevelingen en lessons learned gegeven. Ik zet ze graag voor je op een rij, in mijn eigen volgorde van belangrijkheid:

  1. Stel een draaiboek op voor de omgang met beveiligingsincidenten en datalekken en communiceer ook met regelmaat intern over het feit dat dit draaiboek er is. Communiceer ook welke stappen collega’s moeten nemen in het geval zich een incident of datalek voordoet.
  2. Zorg dat je een datalek, indien er persoonsgegevens zijn gelekt, altijd binnen 72 uur meldt bij de Autoriteit Persoonsgegevens.
  3. Zorg voor bewustwording bij de medewerkers. Dus communiceer met regelmaat over het onderwerp en toets deze kennis ook.
  4. Communiceer altijd zelf naar de betrokken partijen/personen over het incident en zet hierbij altijd de ‘slachtoffers’ centraal. Hierdoor bepaal je zelf wat er gecommuniceerd wordt in plaats van dat anderen dat doen.
  5. Laat een Privacy Impact Analyse (PIA) uitvoeren en implementeer de adviezen.
  6. Stel een Privacy- en Informatiebeveiligingsbeleid op. Hierbij is het belangrijk om ook de onderlinge relaties tussen deze twee beleidskaders op te nemen.

Tenslotte kun je er ook voor kiezen om voorzorgsmaatregelen te treffen, bijvoorbeeld door er voor te zorgen dat wanneer je vertrouwelijke gegevens vanaf je computer mailt, de gegevens altijd versleuteld zijn. Dit is mogelijk door implementatie van versleutelde e-mail. Zijn er geen mogelijkheden om versleutelde e-mail binnen de gemeente te versturen? Wissel (versleutelde) bestanden dan altijd uit via een interne (veilige) uitwissel website of een veilige (encrypted) USB-stick, waarbij links tijdelijk geldig zijn en documenten worden afgeschermd met een wachtwoord. Hierdoor is de inhoud niet toegankelijk voor derden.

Meer weten?

Neem dan contact met ons op. Informatiebeveiliging Gemeenten, kan ondersteunen bij:

  • Het geven van trainingen op het gebied van bewustwording op informatiebeveiligingsvlak en privacy.
  • Het opstellen van procedures ten behoeve van beveiligingsincidenten en datalekken.
  • Het opstellen van een informatiebeveiligings- en privacybeleid.
  • Het uitvoeren van een PIA.

Neem ook eens een kijkje op onze nieuwe site www.ib-p.nl. Wij helpen u graag!

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog