Uit de meest recente cijfers (PDF) van de Autoriteit Persoonsgegevens (AP) blijkt dat dagelijks ongeveer 30 datalekken worden gemeld. In het derde kwartaal van 2017 zijn 2.580 meldingen gerapporteerd. Dit is een toename van 70% ten opzichte van het derde kwartaal in 2016. Datalekken die bij de AP zijn gemeld, worden niet altijd aan betrokkenen gemeld. Dit is alleen noodzakelijk bij een ‘ernstig datalek waarbij betrokkenen van wie de gegevens zijn gelekt ook ernstige hinder kunnen ondervinden in de persoonlijke levenssfeer’. Klinkt u dat wat abstract in de oren? Dat kan kloppen; dit blijft nog altijd een grijs gebied. Duidelijk is wel dat u uw communicatie aan gedupeerden op orde moet hebben als zich een lek voordoet. En dat is nog niet altijd het geval.

We verstrekken onze gegevens veelal op basis van vertrouwen. Als dat wordt geschaad door bijvoorbeeld een verloren usb-stick of een technisch manco waardoor onze gegevens openbaar worden, dan kan de reputatie van een organisatie aanzienlijke schade oplopen.

Specifieke aandacht voor het veiligheidsdomein

Het vertrouwen van burgers, medewerkers of klanten staat dan ook voorop bij de meldplicht. Met name voor instellingen in het veiligheidsdomein, zoals het ministerie van Justitie, de Politie of ‘Blijf van Mijn Lijf’-huizen, is dat vertrouwen cruciaal. Je wilt niet dat een getuige opnieuw een verklaring moet afleggen omdat er een dossier is kwijtgeraakt en er geen kopie is. Het melden van een ernstig datalek is daarom in 2016 verplicht gesteld, waarbij de Autoriteit Persoonsgegevens (en mogelijk ook alle betrokkenen) binnen 72 uur adequaat op de hoogte moet worden gesteld van het voorval.

Afwegingen bij communicatie

Binnen het veiligheidsdomein vraagt dat echter niet alleen om adequaat op te treden maar ook om extreme zorgvuldigheid. Breng je bijvoorbeeld de betrokkenen überhaupt wel op de hoogte? Wanneer kinderen melding hebben gemaakt van mishandeling door hun ouders, is het niet aan te raden die ouders op de hoogte te stellen van een datalek. Per incident zal er dus een afweging moeten zijn gemaakt aan wie, wat wordt gemeld.

Leer van Uber’s fouten

Wie denkt dat organisaties de communicatie rondom datalekken inmiddels al tot in de puntjes verzorgd hebben, zit er naast. We zien dat er nog altijd verbetering mogelijk is. Kijk maar naar de grote datalek bij taxiservice Uber eind vorig jaar. Wereldwijd zouden gegevens van 57 miljoen klanten en 600.000 chauffeurs zijn gehackt. In Nederland zijn 179.000 personen de dupe van deze lek. In plaats van hier melding van te maken bij de autoriteiten of betrokkenen, heeft Uber de affaire in de doofpot gestopt en de hackers geprobeerd af te kopen. Deze manier van handelen vergroot alleen maar de reputatieschade van een bedrijf.

Strategie aan de basis

Zorg daarom voor een duidelijke strategie voor communicatie rondom datalekken. Je moet vastleggen in welke gevallen je communiceert, aan wie, met welke boodschap en via welke kanalen je dat vervolgens doet. Vanuit de wetgever zijn er ook richtlijnen waaraan de inhoud van je verhaal moet voldoen, bijvoorbeeld wat de maatregelen zijn die mensen kunnen nemen. Deze uitgangspunten vormen de basis. Verder is het van belang vooraf te bedenken wie communiceert.

Doe het nu!

De Functionaris Gegevensbescherming moet zorgen voor een goede afhandeling van een datalek en de melding. Niet in alle gevallen zal deze persoon ook degene zijn die communiceert met de betrokkenen. Bij datalekken van personeelsgegevens zal bijvoorbeeld een HR-afdeling of Interne Communicatie het voortouw nemen, bij externe belangen is de woordvoerder vaak de aangewezen persoon. Hoe je het ook insteekt qua strategie en protocollen, de boodschap is: stel ze op, voor een probleem zich daadwerkelijk voordoet. Als je wordt overvallen door een datalek, dan kun je in ieder geval tijdig en zorgvuldig communiceren. Zo beperk je een verdere vertrouwensbreuk met je cliënten, burgers of klanten.

Trends in Veiligheid

Mocht u meer willen weten over hoe veilig Nederlanders zich online wanen of welk gevoel we hebben bij onze fysieke veiligheid op straat? De belangrijkste inzichten en resultaten zijn gebundeld in het onderzoeksrapport ‘Trends in Veiligheid 2017’ van Capgemini. U kunt het rapport downloaden via deze link. Rapporten uit de voorgaande jaren zijn te vinden op de website trendsinveiligheid.nl. In mei 2018 verschijnt ons nieuwe rapport.