Een foutje dat leidt tot een datalek is snel gemaakt, maar daarna begint een tijdrovend proces waarbij meerdere afdelingen van een organisatie moeten aanhaken om de melding compleet te maken. Het aantal datalekken stijgt al jaren, de werklast zorgt voor frustraties bij gemeenten blijkt uit onderzoek van Binnenlands Bestuur, AG Connect en iBestuur.
Beeld: Shutterstock
In 2017 werden er 484 datalekken bij het openbaar bestuur gemeld. In 2021 zijn dat er bijna 5.000. Vrijwel altijd gaat het om menselijke fouten, zoals een verkeerde bijlage in een mail, een e-mail naar een verkeerd adres of een verkeerd verstuurde brief, zo wordt duidelijk uit de antwoorden.
Verhoogd bewustzijn
Uit een onderzoek van Binnenlands Bestuur, AG Connect en iBestuur onder 63 gemeenten ontstaat het beeld dat gemeenten zich de afgelopen jaren veel beter bewust zijn geworden van datalekken. Het is volgens gemeenten zelfs de voornaamste oorzaak van de stijging. Organisaties zien dat vaak als positief: meer datalekken is een bevestiging van het verhoogde bewustzijn. Maar er zijn ook zorgen over de werklast die door al die meldingen blijft toenemen. 53 van de 63 gemeenten voorzien dat die trend de komende jaren doorzet. Vier gemeenten vinden de huidige werklast al niet meer uitvoerbaar.
‘Het aantal datalekken waarbij sprake is van een risico bedraagt nog geen kwart van het totaal aantal datalekken. In die zin staat de werklast niet in verhouding tot het beoogde doel’, zo geeft een woordvoerder van gemeente Amsterdam aan. ‘Maar elk datalek moet serieus genomen worden en hoewel bij de overgrote meerderheid geen sprake is van een risico, moeten deze wel worden uitgezocht, bijgehouden worden in de administratie en waar nodig gemeld bij de Autoriteit Persoonsgegevens (AP).’
Werklast
Uit het onderzoek wordt duidelijk dat de afhandeling van datalekken een werklast meebrengt van zo’n 2,5 tot 4 uur, afhankelijk van de ernst. In bijzondere gevallen kan de werklast veel verder oplopen. Daarbij neemt het aantal meldingen jaarlijks fors toe, blijkt uit jaarlijkse cijfers van de AP. En vooral daar gaan veel uren in zitten.
De AP stelt dat een melding in 15 tot 30 minuten kan worden gemaakt, maar binnen die tijd is het vrijwel onmogelijk om een melding af te ronden.
De gemeente Gemert-Bakel herkent dit beeld. ‘Burgers worden zelf meer alert. Daarnaast wordt er een meldingsbereidheid ervaren bij de ambtenaren. Dit is een trend waar we heel blij mee zijn als gemeente, ondanks dat dit extra werkzaamheden voor ons als gemeente betekent. Los daarvan merken we als gemeente dat we sneller en adequater leren reageren op datalekken.’
Meldproces
Senior-adviseur Floor Terra van Privacy Company denkt dat er winst te behalen valt bij het meldproces. ‘Het is een uitgebreid formulier dat handmatig moet worden ingevuld en dat kan in mijn ogen een stuk beter. De administratieve werklast is erg hoog. Het formulier moet langs meerdere afdelingen en dat kost natuurlijk tijd.’
De ontwikkeling van een intern managementsysteem waarbij met behulp van API (Application Programming Interface) via één klik gegevens kunnen worden doorgezet, zou kunnen helpen, denkt Terra. ‘Ik vind eerlijk gezegd dat zo’n systeem er al had moeten zijn, maar de AP blijft kiezen voor handmatig melden.’ Volgens Terra gebeurt het nog regelmatig dat organisaties er pas halverwege het invullen achter komen dat er nog allerlei zaken moeten worden uitgezocht, waarvoor andere afdelingen in de organisatie moeten worden ingeschakeld. ‘Het is in principe goed dat deze vragen beantwoord moeten worden, omdat dit er ook voor zorgt dat organisaties zichzelf zo blijven evalueren. Maar het kost wel een paar uur extra’, aldus Terra.
Hoogleraar recht en de informatiemaatschappij Gerrit Jan Zwenne (Universiteit Leiden) sluit zich aan bij Terra. ‘De AP stelt nu dat een melding in vijftien tot dertig minuten kan worden gemaakt, maar binnen die tijd zal het vrijwel onmogelijk zijn om een melding af te ronden. Het zou heel plezierig zijn wanneer er API wordt ontwikkeld waarmee een organisatie datalekken in het eigen systeem kan verwerken en snel kan doorzetten naar het meldpunt.’
Beperkt risico
Zwenne ziet in de dagelijkse praktijk ook weleens datalekken langskomen waarbij er slechts een beperkt risico geldt. ‘Datalekken moeten gemeld worden, tenzij er geen risico is voor betrokkenen. In gevallen met een hoog risico, moet het lek ook aan de betrokkenen zelf worden gemeld. Daar zit een gelaagdheid in die voor organisaties vaak niet helemaal duidelijk is.’
AP: “We willen melden sneller en makkelijker maken, maar handmatig invullen blijft noodzakelijk.”
Sommige meldingen zijn wat Zwenne betreft niet eens nodig. ‘Een aantekening in de eigen registers kan dan genoeg zijn. Toch worden ze gemeld omdat de onzekerheid groot is: een boete van de AP kan torenhoog zijn.’ Zwenne geeft als voorbeeld een mail met persoonsgegevens waarbij Outlook automatisch het adres van de ontvanger invult. ‘Dat gaat niet altijd goed. Het overkomt ons allemaal weleens. Maar een melding hoeft niet nodig zijn als de ontvanger te vertrouwen is en meteen bevestigt dat hij het bericht niet heeft geopend en direct heeft verwijderd. De voorwaarde is wel dat je de ontvanger op zijn woord kunt vertrouwen, daar zit een onzekerheid.’
Media en politiek
Hij ziet ook een belangrijke rol voor de media en de politiek rondom datalekken. ‘Er is veel negatieve aandacht voor gemaakte fouten. Maar datalekken horen eigenlijk heel saai te zijn: het gebeurt nu eenmaal. De focus van de media en de politiek moet niet liggen op de fout zelf, maar op het proces erna: worden betrokkenen goed geïnformeerd? Is het lek opgelost? Er zijn gemeenten, zoals Lochem, die hun fout niet stilhouden, maar juist zo veel mogelijk aan anderen proberen te laten te zien hoe je met fouten kunt omgaan en wat de verbeterpunten voor de organisatie zijn.’
AP: handmatig melden blijft nodig
De Autoriteit Persoonsgegevens stelt in een reactie dat er continu gewerkt wordt aan het verbeteren van het meldproces van een datalek. Het belang van een goede en volledige melding maken staat voorop. “We willen melden sneller en makkelijker maken, maar handmatig invullen blijft noodzakelijk, daar gaan we niets aan veranderen. Over de hoeveelheid werklast van een datalek heeft de AP geen gegevens beschikbaar. Een woordvoerder geeft aan dat de tijd die besteed wordt aan niet-gemelde datalekken momenteel ‘sowieso minder dan 5 procent bedraagt.”