Beloon de melder van een datalek!

Er zijn organisaties die zeggen dat zij nooit een datalek hebben. Dat is gewoonweg niet mogelijk. In elke organisatie komen datalekken voor. Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) zijn in 2018 ruim 20.000 datalekken gemeld. Ook constateert de Autoriteit Persoonsgegevens (AP) dat niet alle meldplichtige datalekken door organisaties worden gemeld. Dit is een ernstige zaak!

En toch is het begrijpelijk dat datalekken (intern) niet worden gemeld, want medewerkers weten meestal niet eens wat een datalek is. Het aantal meldingen dat bij een organisatie binnenkomt, is juist een goede graadmeter om te zien hoe het er intern voor staat met betrekking tot het bewustzijn van mensen. Want hoe meer meldingen, hoe groter het privacy bewustzijn!

Wie durft een datalek te melden?
Datalekken verzwijgen kan ontstaan doordat binnen de organisatie een cultuur heerst waarbij mensen zich niet vrij of veilig genoeg voelen een datalek te melden. Mogelijk hanteert de organisatie het beleid om mensen te ‘straffen’ indien zij een datalek veroorzaken. Angst voor een mogelijke sanctie vanuit de organisatie is niet geheel onterecht, als je weet dat een menselijke fout vaak ten grondslag ligt aan een datalek.

Het creëren van een veilige meldcultuur is daarom erg belangrijk. Alleen al omdat het iedereen kan overkomen. Denk bijvoorbeeld aan een e-mail naar een verkeerd mailadres. Je kunt dan je notebook wel dichtklappen en hopen dat het de volgende dag over is, maar dat is natuurlijk niet het geval.

Angstcultuur
Als er een cultuur heerst waarbij mensen niet durven toe te geven dat zij per ongeluk een e-mailbericht naar een verkeerde ontvanger hebben gestuurd of per ongeluk een poststuk aan een verkeerde ontvanger hebben afgegeven met daarin (gevoelige) persoonsgegevens, loop je als organisatie een groot risico. Volgens de AP zijn deze twee genoemde voorbeelden dan ook het type datalek dat het meest voorkomt.

Straf je personeel niet vanwege het veroorzaken van een datalek, maar bedank hen voor het melden van een datalek. Door veilig gedrag te belonen, creëer je een veilige cultuur waarin mensen niet bang zijn om fouten te melden. Doordat mensen hier open over durven te zijn, helpt dit de organisatie om maatregelen te nemen om datalekken in de toekomst te voorkomen.

Iedereen weet wat een datalek is
Een andere voorwaarde is om de mensen binnen de organisatie te informeren over wat een datalek is en voorbeelden van datalekken met enige regelmaat aan te halen. Een document waarin een datalek procedure beschreven staat is mooi. Maar als dit niet bekend is bij het personeel en zij zich niet bewust zijn van de risico’s, is het document niets waard!

Informeer en betrek je medewerkers. Doe dit niet als een eenmalige actie, maar bedenk een programma waarin het personeel continue wordt herinnerd en daardoor de samenhang ook gaat zien. Oude onveilige gewoontes veranderen kost nu eenmaal veel tijd

Lotte Swaters
CDPO (Certified Data Protection Officer)
ICT Spirit

Gerelateerd nieuws

Realisatie door Internetbureau Creative ICT