Skip to main content

Datalek gemeente Amersfoort; de lessons learned!


Sinds 1 januari 2016 is de nieuwe wet Meldplicht Datalekken van kracht. Deze wet houdt in dat alle organisaties, waaronder gemeenten, binnen 72 uur melding moeten maken bij de Autoriteit Persoonsgegevens wanneer er een datalek heeft plaatsgevonden waarbij persoonsgegevens gelekt zijn. Daarbij is het uiteraard wel van belang en noodzakelijk dat iedereen binnen de gemeente weet wanneer er sprake is van een datalek en wanneer je hier dus melding van moet maken.

van moet maken. Doe je dit niet, dan kan dit ernstige nadelige gevolgen hebben voor je gemeente. Zoals ook gebeurde bij de gemeente Amersfoort…

Niks aan de hand?

Toen ambtenaren van de gemeente Amersfoort eind januari 2016 een e-mail met gevoelige informatie van ruim 1900 inwoners ‘per ongeluk’ naar een verkeerd e-mailadres stuurden, wisten zij namelijk niet dat er officieel sprake was van een datalek en deden zij dus ook geen melding bij de Autoriteit Persoonsgegevens. Simpelweg de ontvanger vragen het bericht niet te openen en direct te vernietigen, leek hen afdoende. Niks aan de hand, toch? Het tegenovergestelde bleek echter waar… niet de gemeente zelf, maar de ontvanger heeft namelijk melding gemaakt van een gemeentelijk datalek bij de Autoriteit Persoonsgegevens. Een aantal maanden later, in april, werd de verantwoordelijk wethouder Fleur Imming, vervolgens voor uitleg gebeld door de Autoriteit Persoonsgegevens. Toen was het kwaad echter al geschied, met als gevolg dat dit incident uitlekte naar de (landelijke) pers en volop in het nieuws kwam.

Wees alert!

Naar aanleiding van dit incident is er een extern onderzoek verricht naar het datalek. Volgens de onderzoekers waren de ambtenaren niet op de hoogte van het protocol rondom de Meldlicht Datalekken en waren zij van mening dat zij goed gehandeld hadden. Waar is het fout gegaan en wat had de gemeente Amersfoort zelf kunnen (of moeten) doen om dit te voorkomen? Het hebben van een protocol had het datalek zelf uiteraard niet kunnen voorkomen, maar het kan wel helpen bij het op de juiste wijze rapporteren van het datalek. De wet Meldplicht Datalekken is een belangrijk onderwerp, zeker gezien het feit dat, zo blijkt uit ervaring, een datalek vaak ontstaat door onzorgvuldig handelen van een medewerker. Kortom, twee belangrijke stappen zijn dus 1. het opstellen van een protocol en intern communiceren over het feit dat dit protocol er is en 2. het vergroten van het bewustzijn van de medewerkers op dit vlak. Want wanneer medewerkers een datalek moeten melden, moeten zij wel eerst weten wat een datalek is, hoe te handelen in geval van een datalek en wat zij hier zelf aan kunnen doen om dit te voorkomen.

Lessons learned

In het onderzoeksrapport wordt een aantal aanbevelingen en lessons learned gegeven. Ik zet ze graag voor je op een rij, in mijn eigen volgorde van belangrijkheid:

  1. Stel een draaiboek op voor de omgang met beveiligingsincidenten en datalekken en communiceer ook met regelmaat intern over het feit dat dit draaiboek er is. Communiceer ook welke stappen collega’s moeten nemen in het geval zich een incident of datalek voordoet.
  2. Zorg dat je een datalek, indien er persoonsgegevens zijn gelekt, altijd binnen 72 uur meldt bij de Autoriteit Persoonsgegevens.
  3. Zorg voor bewustwording bij de medewerkers. Dus communiceer met regelmaat over het onderwerp en toets deze kennis ook.
  4. Communiceer altijd zelf naar de betrokken partijen/personen over het incident en zet hierbij altijd de ‘slachtoffers’ centraal. Hierdoor bepaal je zelf wat er gecommuniceerd wordt in plaats van dat anderen dat doen.
  5. Laat een Privacy Impact Analyse (PIA) uitvoeren en implementeer de adviezen.
  6. Stel een Privacy- en Informatiebeveiligingsbeleid op. Hierbij is het belangrijk om ook de onderlinge relaties tussen deze twee beleidskaders op te nemen.

Tenslotte kun je er ook voor kiezen om voorzorgsmaatregelen te treffen, bijvoorbeeld door er voor te zorgen dat wanneer je vertrouwelijke gegevens vanaf je computer mailt, de gegevens altijd versleuteld zijn. Dit is mogelijk door implementatie van versleutelde e-mail. Zijn er geen mogelijkheden om versleutelde e-mail binnen de gemeente te versturen? Wissel (versleutelde) bestanden dan altijd uit via een interne (veilige) uitwissel website of een veilige (encrypted) USB-stick, waarbij links tijdelijk geldig zijn en documenten worden afgeschermd met een wachtwoord. Hierdoor is de inhoud niet toegankelijk voor derden.

Meer weten?

Neem dan contact met ons op. Informatiebeveiliging Gemeenten, kan ondersteunen bij:

  • Het geven van trainingen op het gebied van bewustwording op informatiebeveiligingsvlak en privacy.
  • Het opstellen van procedures ten behoeve van beveiligingsincidenten en datalekken.
  • Het opstellen van een informatiebeveiligings- en privacybeleid.
  • Het uitvoeren van een PIA.

Neem ook eens een kijkje op onze nieuwe site www.ib-p.nl. Wij helpen u graag!

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…

Applicatiebeheer en de AVG: wat moet je weten?

Als applicatiebeheerder beheer je alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG?

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?