Het belang van data en databeveiliging

Nu wil het toeval – of niet – dat net op deze dag demissionair minister Hugo De Jonge in de Tweede Kamer werd bevraagd over het datalek bij de GGD. Dé kans voor de overheid om te laten zien dat zij databeveiliging serieus neemt. De verbazing over de nonchalante houding van De Jonge over het datalek was daarom groot. De Europese Dag van de Privacy stond kennelijk niet in zijn agenda.

Volgens De Jonge kunnen ongeveer 8.000 mensen in het systeem van de GGD. “Het kunnen er ook 10.000 zijn trouwens”, gaf hij later aan. Je kunt al die mensen dan wel goed checken vooraf, maar er kan natuurlijk altijd iemand met verkeerde intenties bij zitten. “Tja, daar kan de GGD dan ook niets aan doen”, was de verdediging van De Jonge op het datalek. Gelukkig herstelde De Jonge zich in een later debat waarin hij aangaf wel degelijk het belang te zien.

Hij had de problemen tijdens het eerste debat kunnen voorkomen door zich te verdiepen in de technische details van het dossier. Er bleek in het systeem namelijk een exportfunctie te zitten waardoor je met een paar drukken op de knop een grote hoeveelheid gegevens van meerdere klanten uit het systeem kan halen. Handig om te printen én handig voor iemand die handel in die data ziet.

Om dit soort achteloosheid tegen te gaan, is sinds mei 2018 de Algemene verordening gegevensbescherming (AVG) van kracht. Kortgezegd houdt deze wetgeving in dat je als een goed huisvader met de gegevens van jouw klanten om moet gaan. Je mag daarbij alleen gegevens verwerken en opslaan om je klanten van dienst te kunnen zijn, je mag met deze gegevens niets doen zonder toestemming van je klant en je moet er voor zorgen dat deze gegevens veilig bewaard zijn. Ga je ernstig de fout in dan kan dit een boete opleveren die kan oplopen tot € 20 miljoen of 4% van je wereldwijde jaaromzet.

Het kan je dus een behoorlijke boete opleveren als je niet goed met de data van je klanten omgaat. Daarnaast kan het je flinke reputatieschade opleveren. De verontwaardiging over het datalek van de GGD bij zowel de Autoriteit Persoonsgegevens, de politiek en burgers was groot. En terecht. De Jonge heeft natuurlijk gelijk met het feit dat de mensen die gebruikmaakten van het lek, diefstal hebben gepleegd en dat zíj de uiteindelijke overtreders zijn. Maar vanuit de databeveiligingskant is zo’n exportknop te vergelijken met de code van de kluis aan de buitenkant plakken en alvast een steekwagentje klaarzetten om de spulletjes makkelijk mee te nemen. Dan heb je niet als goed huisvader gehandeld.

Als de oorzaak van het datalek zo duidelijk is, waarom gaat het dan toch zo mis? Veel systemen zijn al jaren geleden gebouwd, in een tijd waarin data nog relatief weinig waard was. Zo’n knop was “gewoon handig” om op die manier 10.000 mensen in één keer dezelfde brief te kunnen sturen. Dat er iemand met deze data kon gaan lopen, speelde in die tijd nog helemaal niet. De vraag die daarbij om de hoek komt kijken, is: hoe zit dat met jouw systemen? Gezien alle ophef over dit lek, goed om dat eens onder de loep te nemen, want zeker in de financiële sector bezitten we (zeer) gevoelige klantgegevens. Denk daarbij aan de volgende vragen:

• Is er beleid op het vlak van informatiebeveiliging?
• Welke risico’s zijn er bij ons specifiek?
• Hoe zijn de risico’s gemitigeerd?
• Zijn onze mensen getraind in het omgaan met data?

Bovenstaande ontwikkelingen laten in ieder geval zien dat het van belang is dat iedereen binnen de organisatie kennis heeft van goed datagebruik. Naast de mogelijkheden van datagebruik dienen ook de risico’s duidelijk te zijn en moeten medewerkers weten hoe ze hier zorgvuldig mee omgaan.

In 2020 lanceerde onze zusterorganisatie Welten de business line Business IT. In een werkveld waarin IT, data en databeveiliging steeds grotere drijfkrachten zijn, overbruggen zij het gat tussen de business en IT. Door businesskennis en IT-kennis samen te brengen, kan het business proces centraal komen te staan en kan IT optimaal worden ingezet om dit te ondersteunen.

Vanuit de ontwikkeling op het gebied van datagebruik en databeveiliging is Dukers & Baelemans een samenwerking aangegaan met de organisatie I.AMDIGITAL. Samen is een opleidingstraject ontwikkeld voor professionals, waarbij we ingaan op basiskennis rondom privacy en dataprotectie. Ook gaan we in op basiskennis over hoe je van data tot waardevolle informatie komt, zodat ook nieuwe mogelijkheden met deze data worden herkent. Op deze manier proberen wij bij te dragen aan het belang van omgang met data in de financiële sector.

Meer informatie over de samenwerking en de opleiding I.AMDIGITAL volgt binnenkort. Ben je geïnteresseerd in wat data is en wat het belang is van data en data professionals binnen de financiële wereld? Lees dan dit artikel op de website van Welten dat People Manager Michael de Jong onlangs schreef.