Tip 102

Wees alert met persoons­gegevens!

informatieveiligheid

 

De zwakste schakel in informatieveiligheid is de mens. Door menselijke fouten belandt vertrouwelijke informatie soms in verkeerde handen, met vaak nare gevolgen voor de betrokkenen. Voel die verantwoordelijkheid. Blijf dus alert als je werkt met persoonsgegevens. Denk na en check voordat je informatie verstuurt, opslaat of deelt. Wees je bewust van je omgeving, binnen- en buiten je werkplek, en bewaak continu de veiligheid. Attendeer collega’s op onveilig gedrag. Gebruik de voorbeelden van campagnemateriaal om iedereen intern op scherp te zetten en te houden.

Voorbeelden

Menselijk falen is vaak de oorzaak

Het grootste deel van de incidenten met informatieveiligheid die we de afgelopen tijd gezien hebben, is veroorzaakt door menselijk falen. Zoals een bestandje, waar dan wel 1000 Burgerservicenummers inzitten, per ongeluk aan een mail hangen en die versturen. Maar ook, als je de ransomware problemen hoort van de afgelopen tijd, het feit dat er systemen zijn die niet of niet voldoende getest zijn. Of dat de updates niet op de goede manier zijn uitgevoerd.  Dat is dan een technische zaak, maar is wel menselijk falen. Waarom heeft men dat niet gedaan? Waarom heeft men niet die zes documenten zorgvuldig gelezen? Of heeft men gedacht: dat komt wel? Dus er valt nog een hoop te doen.

Rein Zijlstra

Rein Zijlstra

Wethouder gemeente Zeewolde Meer tips van Rein

Gericht op werk èn privé

Mijn schoonmoeder is 88 en zelfs zij stelt mij tegenwoordig vragen over hoe ze kan voorkomen dat ransomware op haar computer wordt geïnstalleerd! Informatieveiligheid was vroeger iets voor specialisten, want het ging over systemen, netwerken en techniek. Maar tegenwoordig hoort iedereen erover, bijvoorbeeld via het journaal. Onveilig omgaan met informatie raakt iedereen, burgers en medewerkers en het treft ons allemaal in ons dagelijks functioneren, zowel in werk als privé. Wij proberen daarom in een recente bewustwordingscampagne de link te leggen tussen privé en werk. Als wij dit vijf jaar geleden hadden gedaan, was de campagne heel erg werk-gerelateerd geweest. De vervlechting van werk en privé is nu zo groot geworden dat zaken steeds meer door elkaar heen lopen. In de trein check je niet alleen even je Facebook, maar ondertussen ook je mail. Of in het café koffiedrinken en tegelijk ook even werken. De scheiding werk-privé wordt steeds lastiger. Hierdoor wordt informatieveiligheid ook steeds meer iets wat je op de persoonlijke vaardigheden en alertheid van mensen moet richten. Mensen zijn de hele dag met informatie bezig en zijn de hele dag online. Dat is de werkelijkheid waar we allemaal in zitten.

 

Marco van Beek

Marco van Beek

Chief Information Security Officer, Gemeente Amsterdam Meer tips van Marco

Flyer met tips voor veilig werken

We drukken alle medewerkers op het hart om hun telefoon van een goede pincode en versleuteling te voorzien. We hebben een flyer gemaakt, voor intern gebruik, met een 10-tal tips voor veilig werken.

Joab de Lang

Joab de Lang

Concern Information Security Officer, Gemeente Rotterdam Meer tips van Joab

Na eerste start uitrollen naar alle onderdelen van de organisatie

Ik probeer informatiebeveiliging dichter bij medewerkers te brengen door gebruik te maken van storytelling. Hen een beeld te geven wat informatiebeveiliging betekent en wat je zelf kunt doen om veilig en bewust met informatie om te gaan. Dat zou elke overheidsinstelling op deze manier kunnen doen. De CIO-staf BZK start met de eerste story, als aanloop naar de alert onlineweken, en nodigt een collega uit om iets te vertellen over zijn praktijk. Het idee is dat alle organisatieonderdelen van BZK iets vertellen over hun beveiligingspraktijk. Ik heb een vragenlijst gemaakt, met ongeveer zeven vragen, waarbij ik met een vast format werk. Want je wilt ook de capaciteitsbelasting niet te groot maken. Zodat mensen het leuk vinden en besluiten eraan mee doen. En die verhalen worden vastgelegd en BZK-breed op het intranet gepubliceerd. Dus het maakt niet zo veel uit waar je zit, iedereen kan ervan kennisnemen. Zo wil ik elke maand een nieuwe story voorbij laten komen en daarmee de verbinding tussen informatiebeveiliging en medewerker stimuleren.

Annet van Veen

Annet van Veen

Adviseur, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Meer tips van Annet

Een verplicht ‘rijbewijs’ voor iedereen die werkt met persoonsgegevens

Vanaf 1-1-2016 bestaat de meldplicht datalekken en nu komen de cijfers boven tafel. En dat is toch wel een beetje schokkend als je naar de factsheets kijkt. Als je googled op Autoriteit Persoonsgegevens en datalekken dan blijken heel veel datalekken afkomstig van gemeenten. Dat komt omdat niemand daar goed in opgeleid is. Iedereen zou eigenlijk een ‘Persoonsgegevensrijbewijs’ moeten halen voordat ze überhaupt met persoonsgegevens om mogen gaan. Digitale overheid en veiligheid zijn onlosmakelijk met elkaar verbonden. Er zitten veel onbenullige fouten tussen. En menselijke fouten zullen altijd blijven maar precies die sector, ons openbaar bestuur, samen met de bankensector en de ziekenhuizen, zijn de sectoren waar de privacy, de veiligheid en rechtmatigheid heel goed op orde moeten zijn.

Corrie Ebbers

Corrie Ebbers

Privacy Jurist Meer tips van Corrie

Echt bewust zijn van waarde van data

Mensen moeten zich ècht bewust zijn van waar ze mee omgaan. Wat ze in handen hebben aan data en hoe aantrekkelijk dat kan zijn voor anderen. Het feit dat het vertrouwen van onze burgers in de overheid in het geding is als er allerlei zaken open en bloot op straat komen te liggen. De belangrijkste boodschap gaat over bewustwording. We moeten medewerkers met verschillende technieken voldoende kennis bieden en bewust maken van de problemen die kunnen ontstaan. Iedereen op zijn eigen niveau, afhankelijk van waar hij in de organisatie zit.

 

Rein Zijlstra

Rein Zijlstra

Wethouder gemeente Zeewolde Meer tips van Rein

De zwakste schakel is de mens

De zwakste schakel in de omgang met persoonsgegevens is de menselijke factor. Je kunt er veel omheen bouwen – werkprocedures, DigiD, audits, technische voorzieningen, noem maar op – maar uiteindelijk blijft de mens de zwakste factor in het omgaan met persoonsgegevens of gevoelige gegevens.

Robert Hauwert

Robert Hauwert

Projectleider Informatiemanagement Hoogheemraadschap Hollands Noorderkwartier Meer tips van Robert

Laaghangend fruit: wat je niet gebruikt, kan je ook niet kwijtraken

Bedenk of het noodzakelijk is de gegevens te delen op de manier zoals je voornemens bent het te doen. Bijvoorbeeld: als je een brief stuurt naar ouders met een vraag over hun kind, dan hoef je in die brief het BSN van dat kind niet te vermelden. Die ouders kennen hun kind echt wel bij voornaam. Zet dat BSN er dan niet in. Mocht die brief een keer ergens verkeerd belanden, door een datalek of welke fout dan ook, dan blijft de schade beperkt. Dus als je een mail of brief stuurt, gebruik daarin dan alleen de gegevens die echt noodzakelijk zijn.

Mark Hulsman

Mark Hulsman

Privacyfunctionaris bij een gemeente Meer tips van Mark

Vraag niet onnodig om kopieën van identiteitsbewijzen

Bij het Centraal Meldpunt Identiteitsfraude en-fouten krijgen we van slachtoffers meldingen van identiteitsfraude. In veel gevallen gebeurt dat doordat mensen een kopie van hun identiteitsdocumenten ergens hebben ‘moeten’ achterlaten of verstrekt hebben. En die is dan een heel eigen leven gaan leiden. Er wordt te pas en te onpas gevraagd om kopieën van identiteitsdocumenten, terwijl dat helemaal niet mag en ook niet nodig is. Vaak gaat het er alleen maar om dat een persoon laat zien wie hij is. Dan kan via DigiD of met een ID-document. Dan maak je er een notitie van dat je dat hebt gezien en noteer je eventueel gegevens als het nummer van het document. Het is helemaal niet nodig om daar een kopie van te bewaren.

Helen van der Sluys (foto: Paul Voorham)

Helen van der Sluys

Coördinator Centraal Meldpunt Identiteitsfraude en –fouten, Ministerie van Binnenlandse Zaken en Koninkrijkrelaties Meer tips van Helen

Gebruik geen gevoelige gegevens of persoonsgegevens tijdens telefonisch contact

Digitale voorzieningen zijn vaak voorzien van functionaliteiten, met DigiD en audits, waardoor de bescherming van persoonsgegevens wel goed gaat. De kwetsbaarheid zit met name in de mensfactor. Medewerkers kunnen weleens wat minder strak zijn in het naleven van regels. Juist omdat ze dienstverlening hoog in het vaandel hebben. Maar: als iemand belt naar een klantcontactcentrum van een overheidsinstantie, wees er als overheid dan bewust van dat de beller nooit kan bewijzen wie hij zegt te zijn. Gebruik dan ook geen persoonsgegevens of gevoelige gegevens in een telefoongesprek. Verwijs naar de digitale route of naar de balie. Ik heb een keer een onderzoek gezien waarin twee onderdelen gemeld werden over een persoon: de voornaam en de werkgever. Binnen een kwartier hadden ze alle informatie rond deze persoon gevonden. Dat had alles te maken met ‘vertrouwen winnen’ tijdens het telefonisch contact met de medewerker van die instantie. Alle informatie werd zo aangedragen. Dan ligt identiteitsfraude op de loer!

Robert Hauwert

Robert Hauwert

Projectleider Informatiemanagement Hoogheemraadschap Hollands Noorderkwartier Meer tips van Robert

Zelf voelen wat de gevolgen zijn van identiteitsfraude door lezing

We zijn bezig met het organiseren van sessies waarin iemand lezingen geeft. Nu is dat Maria Genova, schrijfster van het boek ‘Komt een vrouw bij de h@cker’. Wat zij doet is het verhaal van het slachtoffer vertellen, bijvoorbeeld over identiteitsfraude. Zeker voor gemeente- of andere overheidsmedewerkers die met erg gevoelige burgergegevens werken, is het goed om in gedachte te hebben, te voelen, wat het betekent als een burger geraakt wordt door identiteitsfraude. Voor een burger is het zo dat de bewijslast bij hem komt te liggen. Hij moet zich verdedigen, dat hij het niet was die bepaalde dingen gedaan heeft. Dat is een hele traumatische gebeurtenis voor veel mensen, die ook lang aan kan houden, soms wel twee jaar.  Als je dat beseft en voelt, je bent tenslotte zelf ook burger, kun je ook veel beter begrijpen waarom het belangrijk is dat je veilig omgaat met die gegevens. Dan ben je intrinsiek gemotiveerd. En vindt er een gedragsverandering plaats.

Joab de Lang

Joab de Lang

Concern Information Security Officer, Gemeente Rotterdam Meer tips van Joab

Laat geen kopie van een ID opsturen

Als je gaat verhuizen moet je dat doorgeven bij gemeenten. Je kunt naar het loket gaan, maar je kunt het ook schriftelijk doen.  Dat kan dan vaak op twee manieren: door het opsturen van een kopie van je ID, of door via DigiD in te loggen. Dat opsturen van die kopie, daar storen wij ons aan. Dan kan je namelijk ook iemand anders verhuizen van wie je een kopie ID hebt. Dat gebeurt weleens.

Helen van der Sluys (foto: Paul Voorham)

Helen van der Sluys

Coördinator Centraal Meldpunt Identiteitsfraude en –fouten, Ministerie van Binnenlandse Zaken en Koninkrijkrelaties Meer tips van Helen

Onderzoek

De Autoriteit Persoonsgegevens (AP) publiceert in 2017 elk kwartaal een totaaloverzicht van alle gemelde datalekken. De resultaten van het 1e kwartaal voor de sector openbaar bestuur:

(Bron: Autoriteit Persoonsgegevens, PDF – 189 Kb)

aantal 484 meldingen
vooral meldingen 331 over gemeenten
Type datalekken 40% Verkeerde ontvanger pers. gegevens

Conclusie

Datalekken zijn een serieus probleem, vooral bij gemeenten. Het meest voorkomende datalek is het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Daar ligt een menselijke fout aan ten grondslag.