Nederlander scoort magere voldoende bij datalek-check

Nederlanders blijken opvallend vaak de mist in te gaan bij het herkennen van een datalek. Deelnemers van de datalekcheck van Previder beantwoordden gemiddeld 62,3 procent van de vragen goed. En dit is opmerkelijk, want in Nederland zijn bedrijven verplicht datalekken intern te registreren en in bepaalde gevallen hiervan melding te doen bij de Autoriteit Persoonsgegevens (AP).

Het onderzoek vond plaats in de aanloop naar de Algemene Verordening Gegevensbescherming (AVG/GDPR), en werd gehouden via een online enquête. Deelnemers konden hiermee hun kennis van de meldplicht datalekken testen op basis van tien scenario’s waarbij bedrijfsdata verloren gaan. Zo’n 500 personen vulden de enquête in en er werden daarbij veel foute antwoorden gegeven. Dit geeft te denken over de effectiviteit van de huidige situatie van de registratie/meldplicht rond datalekken.

“De meldplicht datalekken wordt op een aantal punten nog niet goed begrepen,” zegt Jeroen Renard, Data Protection Officer van Odin Groep, het moederbedrijf van Previder. “Bedrijven zouden hun medewerkers extra voorlichting moeten geven om die situatie te verbeteren.”

Drie instinkers

Op drie vragen uit het onderzoek werd ruim onder het gemiddelde gescoord. Op de volgende vraag gaf slechts 47,1 procent van de respondenten het juiste antwoord:

Op de ledenbijeenkomst van een politieke partij ligt de ledenlijst in de ontvangstruimte. Op deze lijst dienen mensen te tekenen voor hun aanwezigheid. Ze moeten hun naam, adres en e-mailadres opgeven. Is hier sprake van een datalek?

Dit is een veelvoorkomend scenario bij allerlei bedrijven. Er zijn intekenlijsten bij recepties, bijeenkomsten en events, en wat te denken van een online smoelenboek? Strikt genomen is hier sprake van een datalek, omdat er persoonsgegevens openbaar worden gemaakt aan iedereen die de lijst onder ogen krijgt. Volgens Jeroen Renard is het heel begrijpelijk dat veel mensen deze vraag fout beantwoordden: “Het klinkt onschuldig: het bijhouden van aanwezigheid doen we immers al jaren via allerlei intekenlijsten op scholen, raadsvergaderingen of evenementen. Het kan toch geen kwaad dat de aanwezigen elkaars gegevens kunnen zien? Voor dit soort situaties moet je nu formeel een ander systeem hanteren waarbij dit niet meer mogelijk is. Maar vanuit het oogpunt van proportionaliteit is dit geen groot vergrijp, ook al denkt de Autoriteit Persoonsgegevens daar misschien anders over. Ik kan persoonlijk wel begrijpen dat bedrijven die papieren intekenlijsten ook in de toekomst gewoon blijven gebruiken, maar er zijn mooie professionele alternatieven.”

Brand in het dierenasiel

Op de volgende vraag werd gemiddeld slechts 32,9 procent juist geantwoord:

Een dierenasiel is getroffen door een alles verwoestende brand. Alle dieren zijn gered, maar alle gegevens, waaronder die van de klanten, zijn wel verloren gegaan. Het dierenasiel beschikt niet over een complete en actuele back-up van de gegevens. Is hier sprake van een datalek?

Bij deze vraag draait het met name om de manier waarop de respondenten de term ‘datalek’ interpreteren. Want worden er formeel data gelekt als ze verloren gaan? Renard legt uit: “Als er sprake is van gegevensverlies, en die gegevens niet in verkeerde handen vallen, is er toch ook sprake van een datalek. Dit is gevoelsmatig onlogisch, want aan wie zijn immers de gegevens gelekt, als niemand er meer toegang tot heeft? Als bedrijf ben je verantwoordelijk voor de persoonlijke gegevens van je klanten, of het nu om een persoonlijk dossier bij een dierenasiel gaat of welke andere dienst ook. Het verliezen van hun data betreft dan toch echt een datalek.”

Verloren usb-stick

Op de volgende vraag gaven de minste deelnemers het juiste antwoord, slechts 26,5 procent:

De directeur van een grote, landelijke loterij heeft een usb-stick verloren. Op deze usb-stick stond een kopie met alle adresgegevens van de deelnemers aan de loterij. De usb-stick was wel voorzien van encryptie. Is hier sprake van een datalek dat bij de Autoriteit Persoonsgegevens gemeld moet worden?

De vraag die misschien wel het meest voorkomende datalekscenario schetst, is ironisch genoeg ook de vraag waar de meeste fouten zijn gemaakt. Het merendeel van de respondenten dacht dat er sprake is van een datalek dat gemeld moet worden, terwijl dit niet per definitie het geval is. Renard: “Als de verloren data op de usb-stick versleuteld zijn, hoef je dit datalek niet te melden. Je kunt in dit geval namelijk onrechtmatige verwerking uitsluiten. Er worden overigens wel bepaalde eisen gesteld aan de encryptie, en de gegevens moeten nadrukkelijk kopieën zijn. Maar als dit goed geregeld en gedocumenteerd is, dan is er geen sprake van een datalek.”

De online enquête waarop dit onderzoek is gebaseerd, kan nog steeds gebruikt worden om de kennis van datalekken te testen op www.hebikeendatalek.nl.

Blijf op de hoogte!

Wil jij op de hoogte blijven van vacatures, traineeships en loopbaanontwikkeling?
Meld je dan aan voor de nieuwsbrief.

aanmelden