Datalekken zijn een realiteit waar geen enkele gemeente volledig aan ontkomt. Hoe goed processen ook zijn ingericht, fouten en incidenten blijven mogelijk. Het verschil zit in hoe je ermee omgaat. Een gemeente die haar privacy op orde heeft, beschikt over een actueel privacybeleid en duidelijke procedures. Daarmee worden datalekken snel gesignaleerd, zorgvuldig afgehandeld en worden de gevolgen voor betrokkenen zoveel mogelijk beperkt.
Alledaagse praktijk
Datalekken zijn helaas een alledaagse praktijk. Bij een cyberaanval binnen een groot telecombedrijf werden persoonsgegevens van miljoenen klanten buitgemaakt, waaronder namen, adressen en zelfs bankrekening- en identificatiegegevens. En bij een gemeente vond een datalek plaats als gevolg van een menselijke fout. Interne gespreksverslagen van commissies werden per ongeluk op een niet-afgeschermd deel van de website geplaatst, waardoor vertrouwelijke gegevens tijdelijk openbaar waren. De Autoriteit Persoonsgegevens (AP) spreekt van een zorgwekkende ontwikkeling als het gaat over datadiefstal door ransomware. Hackers nemen computersystemen van organisaties over en ‘bevriezen’ de data in de systemen, om vervolgens losgeld te eisen. Deze datadiefstal kwam in 2024 ongeveer twee keer zo vaak voor als in 2023, schat de AP.
Impact van datalekken
De gevolgen van een datalek verschillen nogal. Gegevens kunnen jarenlang worden misbruikt voor phishing, misleiding, fraude en identiteitsmisbruik. Naast de mogelijke gevolgen voor gedupeerde betrokkenen, kan het ook leiden tot financiële schade en reputatieschade van de organisatie. Het groeiend aantal datalekken benadrukt nog eens extra dat alleen het voorkomen van datalekken niet genoeg is. Organisaties zullen zich vooral goed voor moeten bereiden op een datalek. Denk daarbij aan het informeren van betrokken personen, het treffen van maatregelen om de risico’s te beperken en een tijdige melding aan de toezichthouder.
Van risico naar regie
Hier komt de privacy adviseur in beeld. Deze professional zorgt ervoor dat privacy in schriftelijk beleid wordt vastgelegd en bovenal werkbaar is in de praktijk. Ook het vergroten van de bewustwording onder medewerkers en inrichten van processen behoort tot de taken. Alles met het doel om organisaties goed voor te bereiden op een mogelijk datalek en de noodzakelijke handelingen die hieruit voortkomen. Van risico naar regie betekent ook lering trekken uit privacy incidenten. Oftewel: wat is de oorzaak van het datalek, komt dit vaker voor in de organisatie en in hoeverre zetten we toekomstige acties of maatregelen in om risico’s te beperken? Denk daarbij aan bijvoorbeeld extra bewustwording voor beveiligd mailen of het aanscherpen van een procedure.
Investeren in vertrouwen
Het vertrouwen in de overheid is helaas nog altijd laag. Een datalek draagt uiteraard niet bij om dit vertrouwen te herwinnen. Zeker wanneer er gevoelige gegevens zijn gelekt en waarbij de opvolging niet correct en tijdig gebeurt. Een georganiseerde privacy aanpak draagt bij in de zorgvuldige omgang met persoonsgegevens van inwoners en partners. Dat versterkt het vertrouwen in gemeenten. Haute Equipe is een adviesbureau dat de publieke sector ondersteunt, met ruime ervaring in privacyvraagstukken binnen de overheid. Onze privacy adviseurs helpen om risico’s te verkleinen, processen te verbeteren en te voldoen aan wet- en regelgeving. Een goed voorbeeld daarvan is de bijdrage van één van onze privacy adviseurs. Als Functionaris Gegevensbescherming (FG) hielp Selma een gemeente om beter grip te krijgen op datalekken.
Selma Albayrak
Zo hielp ik als FG een gemeente bij grip op datalekken
Op basis van datalekmeldingen beoordeelde ik het soort incident, de impact voor de betrokkene en de oorzaak van het lek. Het registreren van datalekmeldingen gaf structuur en liet patronen zien. Dat hielp om verbeteringen gerichter door te voeren.
Daar waar nodig informeerde ik betrokkenen over eventuele privacy risico’s. En welke maatregelen ze zelf konden treffen om verdere schade te voorkomen. Ook zorgde ik dat risicovolle datalekken tijdig en op de juiste manier werden gemeld bij de AP.
Tot slot creëerde ik bewustzijn rondom gegevensbescherming. Ik adviseerde zowel het college van B&W als de gemeentesecretaris. Deze adviezen richtten zich zowel op het verbeteren van processen als op het versterken van de privacy cultuur.
