Het is inmiddels bijna een jaar geleden dat de AVG (Algemene Verordening Gegevensbescherming) of GDPR (General Data Protection Regulation) in werking trad. Dit hield voor zowel publieke instellingen als bedrijven in dat zij hun dagelijkse processen hierop moesten aanpassen, extra maatregelen moesten treffen en specialistische kennis moesten inzetten om hen te ondersteunen bij het duiden van de impact op hun eigen organisatie. Boetes die kunnen oplopen tot €20.000.000 of 4% van de jaaromzet schrokken dusdanig af, dat vele organisaties bovenstaande handelingen hebben verricht om sancties te voorkomen. Al deze goede bedoelingen en inspanningen ten spijt, is het in het afgelopen jaar niet altijd goed gegaan.
Menselijke fouten
Over 2018 zijn er liefst 20.881 datalekken gemeld, zo bericht de toezichthoudende instantie Autoriteit Persoonsgegevens (AP). In veruit de meeste gevallen (63%) gaat het om het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Op de tweede plek staat het kwijtraken of de diefstal van een laptop of USB-stick (14%). De meeste datalekken hebben dus te maken met een menselijke handeling. Kortom, het gaat niet zozeer om de vraag of er een register van verwerkingen bestaat (overigens wel vaak verplicht), of dat de privacyverklaring beschikbaar is, maar veel meer om de handelingen die leiden tot het op straat komen van bepaalde persoonsgegevens.
Laten we dit eens bekijken in aantallen. 63% van 20.881 zijn 13.155 meldingen van het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. In het huidige digitale tijdperk zal dit in veruit de meeste gevallen per e-mail zijn gebeurd. Alleen in Nederland betekent dit dus dat er ruim 36 meldingen van dit type datalek per dag zijn gemeld. Let op: gemelde datalekken. Ongetwijfeld bestaan naast deze ruim 36 meldingen per dag ook een groot aantal datalekken die niet zijn gemeld, aan de ene kant omdat dit in niet alle gevallen verplicht is maar wellicht ook omdat dit mogelijk schade voor het bedrijf betekent of dat het datalek niet als zodanig wordt herkend of onderkend. Het kwijtraken of de diefstal van een laptop of USB-stick heeft voor ruim 2900 (2.923) meldingen van een datalek gezorgd; ruim 8 meldingen per dag.
Neem effectieve maatregelen
Hoe zorgt u ervoor dat het risico van een (nieuw) datalek bij uw organisatie wordt geminimaliseerd? Welke organisatorische en technische maatregelen zijn van belang om – waar liggen de quick wins? – te voorkomen dat persoonsgegevens via de mail naar verkeerde geadresseerden worden gestuurd of een USB-stick in een trein achterblijft?
Op 28 mei a.s. bespreek ik deze vraagstukken samen met Marian te Riet (advocaat privacy recht) van Damsté Advocaten tijdens de lezing “de AVG: Waar staan we nu na 1 jaar?”. Daar waar Marian de belangrijkste juridische veranderingen en vraagstukken aankaart, richt ik mij op de technische vereisten, gevolgen en de manier waarop dit op zowel technisch als organisatorisch vlak voorkomen kan worden. Bent u geïnteresseerd in een alomvattend antwoord in omgang met de AVG? Dan nodig ik u hierbij van harte uit om aanwezig te zijn. U kunt u via onderstaande knop aanmelden.
Ja, ik meld me graag aan