Wees alert met persoonsgegevens!
De zwakste schakel in informatieveiligheid is de mens. Door menselijke fouten belandt vertrouwelijke informatie soms in verkeerde handen, met vaak nare gevolgen voor de betrokkenen. Voel die verantwoordelijkheid. Blijf dus alert als je werkt met persoonsgegevens. Denk na en check voordat je informatie verstuurt, opslaat of deelt. Wees je bewust van je omgeving, binnen- en buiten je werkplek, en bewaak continu de veiligheid. Attendeer collega’s op onveilig gedrag. Gebruik de voorbeelden van campagnemateriaal om iedereen intern op scherp te zetten en te houden.
Voorbeelden
Menselijk falen is vaak de oorzaak
Het grootste deel van de incidenten met informatieveiligheid die we de afgelopen tijd gezien hebben, is veroorzaakt door menselijk falen. Zoals een bestandje, waar dan wel 1000 Burgerservicenummers inzitten, per ongeluk aan een mail hangen en die versturen. Maar ook, als je de ransomware problemen hoort van de afgelopen tijd, het feit dat er systemen zijn die niet of niet voldoende getest zijn. Of dat de updates niet op de goede manier zijn uitgevoerd. Dat is dan een technische zaak, maar is wel menselijk falen. Waarom heeft men dat niet gedaan? Waarom heeft men niet die zes documenten zorgvuldig gelezen? Of heeft men gedacht: dat komt wel? Dus er valt nog een hoop te doen.
Gericht op werk èn privé
Mijn schoonmoeder is 88 en zelfs zij stelt mij tegenwoordig vragen over hoe ze kan voorkomen dat ransomware op haar computer wordt geïnstalleerd! Informatieveiligheid was vroeger iets voor specialisten, want het ging over systemen, netwerken en techniek. Maar tegenwoordig hoort iedereen erover, bijvoorbeeld via het journaal. Onveilig omgaan met informatie raakt iedereen, burgers en medewerkers en het treft ons allemaal in ons dagelijks functioneren, zowel in werk als privé. Wij proberen daarom in een recente bewustwordingscampagne de link te leggen tussen privé en werk. Als wij dit vijf jaar geleden hadden gedaan, was de campagne heel erg werk-gerelateerd geweest. De vervlechting van werk en privé is nu zo groot geworden dat zaken steeds meer door elkaar heen lopen. In de trein check je niet alleen even je Facebook, maar ondertussen ook je mail. Of in het café koffiedrinken en tegelijk ook even werken. De scheiding werk-privé wordt steeds lastiger. Hierdoor wordt informatieveiligheid ook steeds meer iets wat je op de persoonlijke vaardigheden en alertheid van mensen moet richten. Mensen zijn de hele dag met informatie bezig en zijn de hele dag online. Dat is de werkelijkheid waar we allemaal in zitten.
Flyer met tips voor veilig werken
We drukken alle medewerkers op het hart om hun telefoon van een goede pincode en versleuteling te voorzien. We hebben een flyer gemaakt, voor intern gebruik, met een 10-tal tips voor veilig werken.
Na eerste start uitrollen naar alle onderdelen van de organisatie
Ik probeer informatiebeveiliging dichter bij medewerkers te brengen door gebruik te maken van storytelling. Hen een beeld te geven wat informatiebeveiliging betekent en wat je zelf kunt doen om veilig en bewust met informatie om te gaan. Dat zou elke overheidsinstelling op deze manier kunnen doen. De CIO-staf BZK start met de eerste story, als aanloop naar de alert onlineweken, en nodigt een collega uit om iets te vertellen over zijn praktijk. Het idee is dat alle organisatieonderdelen van BZK iets vertellen over hun beveiligingspraktijk. Ik heb een vragenlijst gemaakt, met ongeveer zeven vragen, waarbij ik met een vast format werk. Want je wilt ook de capaciteitsbelasting niet te groot maken. Zodat mensen het leuk vinden en besluiten eraan mee doen. En die verhalen worden vastgelegd en BZK-breed op het intranet gepubliceerd. Dus het maakt niet zo veel uit waar je zit, iedereen kan ervan kennisnemen. Zo wil ik elke maand een nieuwe story voorbij laten komen en daarmee de verbinding tussen informatiebeveiliging en medewerker stimuleren.
Een verplicht ‘rijbewijs’ voor iedereen die werkt met persoonsgegevens
Vanaf 1-1-2016 bestaat de meldplicht datalekken en nu komen de cijfers boven tafel. En dat is toch wel een beetje schokkend als je naar de factsheets kijkt. Als je googled op Autoriteit Persoonsgegevens en datalekken dan blijken heel veel datalekken afkomstig van gemeenten. Dat komt omdat niemand daar goed in opgeleid is. Iedereen zou eigenlijk een ‘Persoonsgegevensrijbewijs’ moeten halen voordat ze überhaupt met persoonsgegevens om mogen gaan. Digitale overheid en veiligheid zijn onlosmakelijk met elkaar verbonden. Er zitten veel onbenullige fouten tussen. En menselijke fouten zullen altijd blijven maar precies die sector, ons openbaar bestuur, samen met de bankensector en de ziekenhuizen, zijn de sectoren waar de privacy, de veiligheid en rechtmatigheid heel goed op orde moeten zijn.
Echt bewust zijn van waarde van data
Mensen moeten zich ècht bewust zijn van waar ze mee omgaan. Wat ze in handen hebben aan data en hoe aantrekkelijk dat kan zijn voor anderen. Het feit dat het vertrouwen van onze burgers in de overheid in het geding is als er allerlei zaken open en bloot op straat komen te liggen. De belangrijkste boodschap gaat over bewustwording. We moeten medewerkers met verschillende technieken voldoende kennis bieden en bewust maken van de problemen die kunnen ontstaan. Iedereen op zijn eigen niveau, afhankelijk van waar hij in de organisatie zit.
De zwakste schakel is de mens
De zwakste schakel in de omgang met persoonsgegevens is de menselijke factor. Je kunt er veel omheen bouwen – werkprocedures, DigiD, audits, technische voorzieningen, noem maar op – maar uiteindelijk blijft de mens de zwakste factor in het omgaan met persoonsgegevens of gevoelige gegevens.
Laaghangend fruit: wat je niet gebruikt, kan je ook niet kwijtraken
Bedenk of het noodzakelijk is de gegevens te delen op de manier zoals je voornemens bent het te doen. Bijvoorbeeld: als je een brief stuurt naar ouders met een vraag over hun kind, dan hoef je in die brief het BSN van dat kind niet te vermelden. Die ouders kennen hun kind echt wel bij voornaam. Zet dat BSN er dan niet in. Mocht die brief een keer ergens verkeerd belanden, door een datalek of welke fout dan ook, dan blijft de schade beperkt. Dus als je een mail of brief stuurt, gebruik daarin dan alleen de gegevens die echt noodzakelijk zijn.
Vraag niet onnodig om kopieën van identiteitsbewijzen
Bij het Centraal Meldpunt Identiteitsfraude en-fouten krijgen we van slachtoffers meldingen van identiteitsfraude. In veel gevallen gebeurt dat doordat mensen een kopie van hun identiteitsdocumenten ergens hebben ‘moeten’ achterlaten of verstrekt hebben. En die is dan een heel eigen leven gaan leiden. Er wordt te pas en te onpas gevraagd om kopieën van identiteitsdocumenten, terwijl dat helemaal niet mag en ook niet nodig is. Vaak gaat het er alleen maar om dat een persoon laat zien wie hij is. Dan kan via DigiD of met een ID-document. Dan maak je er een notitie van dat je dat hebt gezien en noteer je eventueel gegevens als het nummer van het document. Het is helemaal niet nodig om daar een kopie van te bewaren.
Gebruik geen gevoelige gegevens of persoonsgegevens tijdens telefonisch contact
Digitale voorzieningen zijn vaak voorzien van functionaliteiten, met DigiD en audits, waardoor de bescherming van persoonsgegevens wel goed gaat. De kwetsbaarheid zit met name in de mensfactor. Medewerkers kunnen weleens wat minder strak zijn in het naleven van regels. Juist omdat ze dienstverlening hoog in het vaandel hebben. Maar: als iemand belt naar een klantcontactcentrum van een overheidsinstantie, wees er als overheid dan bewust van dat de beller nooit kan bewijzen wie hij zegt te zijn. Gebruik dan ook geen persoonsgegevens of gevoelige gegevens in een telefoongesprek. Verwijs naar de digitale route of naar de balie. Ik heb een keer een onderzoek gezien waarin twee onderdelen gemeld werden over een persoon: de voornaam en de werkgever. Binnen een kwartier hadden ze alle informatie rond deze persoon gevonden. Dat had alles te maken met ‘vertrouwen winnen’ tijdens het telefonisch contact met de medewerker van die instantie. Alle informatie werd zo aangedragen. Dan ligt identiteitsfraude op de loer!
Zelf voelen wat de gevolgen zijn van identiteitsfraude door lezing
We zijn bezig met het organiseren van sessies waarin iemand lezingen geeft. Nu is dat Maria Genova, schrijfster van het boek ‘Komt een vrouw bij de h@cker’. Wat zij doet is het verhaal van het slachtoffer vertellen, bijvoorbeeld over identiteitsfraude. Zeker voor gemeente- of andere overheidsmedewerkers die met erg gevoelige burgergegevens werken, is het goed om in gedachte te hebben, te voelen, wat het betekent als een burger geraakt wordt door identiteitsfraude. Voor een burger is het zo dat de bewijslast bij hem komt te liggen. Hij moet zich verdedigen, dat hij het niet was die bepaalde dingen gedaan heeft. Dat is een hele traumatische gebeurtenis voor veel mensen, die ook lang aan kan houden, soms wel twee jaar. Als je dat beseft en voelt, je bent tenslotte zelf ook burger, kun je ook veel beter begrijpen waarom het belangrijk is dat je veilig omgaat met die gegevens. Dan ben je intrinsiek gemotiveerd. En vindt er een gedragsverandering plaats.
Laat geen kopie van een ID opsturen
Als je gaat verhuizen moet je dat doorgeven bij gemeenten. Je kunt naar het loket gaan, maar je kunt het ook schriftelijk doen. Dat kan dan vaak op twee manieren: door het opsturen van een kopie van je ID, of door via DigiD in te loggen. Dat opsturen van die kopie, daar storen wij ons aan. Dan kan je namelijk ook iemand anders verhuizen van wie je een kopie ID hebt. Dat gebeurt weleens.
Onderzoek
De Autoriteit Persoonsgegevens (AP) publiceert in 2017 elk kwartaal een totaaloverzicht van alle gemelde datalekken. De resultaten van het 1e kwartaal voor de sector openbaar bestuur:
(Bron: Autoriteit Persoonsgegevens, PDF – 189 Kb)
Conclusie
Datalekken zijn een serieus probleem, vooral bij gemeenten. Het meest voorkomende datalek is het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Daar ligt een menselijke fout aan ten grondslag.
Links
-
Bewustwordingscampagnes
De Informatie Beveiligings Dienst (IBD) biedt een overzicht van bewustwordingscampagnes van gemeenten, gericht op gemeenten en gericht op inwoners en bedrijven. Het overzicht bevat campagnes met een niet-commercieel karakter.
-
Verantwoordelijk
Verwerkt u persoonsgegevens? Dan is het uw verantwoordelijkheid om dit in overeenstemming met de Wet bescherming persoonsgegevens te doen. De Autoriteit Persoonsgegevens houdt hier toezicht op.
-
Lek!
Een datalek zette in april 2016 de gemeente Amersfoort op scherp. Sindsdien investeert de gemeente flink in het op orde krijgen van haar privacybeleid.
-
ENSIA
Met ENSIA verantwoordt de gemeente zich vanaf 2017 ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de gemeentelijke planning en control-cyclus. Zo krijgt het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente.
-
Handreiking
De Cyber Security Raad (CSR) heeft een praktische handreiking voor bestuurders ontwikkeld met checklists.