Awareness misverstand 8: ‘Ik meld mijn datalek niet, anders word ik ontslagen.’
‘Ik meldde mijn datalek niet, omdat ik bang was om te worden ontslagen,’ horen wij wel eens. Nou, dat is natuurlijk niet de bedoeling. Vervolgens luidt dan vaak de vraag; maar waar ben je precies bang voor? En dan blijkt dat het vaak gaat om een schuldgevoel of angst voor repercussies. Maar hoe voorkom je dit?
Bij een datalek, oftewel een ‘inbreuk in verband met persoonsgegevens’, gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens, waarbij betrokkenen schade leiden. Het gaat dan specifiek om een inbreuk op de beveiliging, die vervolgens leidt tot 1) de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van persoonsgegevens of 2) de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Deze inbreuk zelf, echter, gebeurt altijd óf per ongeluk, óf op onrechtmatige wijze. Je zou kunnen stellen dat wanneer de inbreuk op onrechtmatige wijze gebeurt - behoudens kwade wil van de werknemer zelf - dit de werknemer in de meeste gevallen niet valt toe te rekenen. Denk aan een cyberaanval waarbij persoonsgegevens zijn buitgemaakt, of een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt. Wanneer de inbreuk per ongeluk heeft plaatsgevonden, zou je kunnen stellen dat je de werknemer niet moet beoordelen op basis van de uitkomst, maar op basis van het gedrag voorafgaand aan de inbreuk. Denk aan het verlies van extern geheugen met niet-versleutelde persoonsgegevens. Zo zouden ook de consequenties voor de medewerker moeten afhangen van het gedrag dat voorafging aan de inbreuk. Was dit gedrag normaal? Risicovol? Compleet roekeloos? Het melden van de inbreuk zelf in ieder geval zou niet ter discussie moeten staan.
Door direct de inbreuk te melden, kan de organisatie namelijk sneller de situatie analyseren. Gaat het bijvoorbeeld over een inbreuk op de vertrouwelijkheid, integriteit of beschikbaarheid? Als de werknemer snel intern meldt, kan de organisatie sneller maatregelen treffen om het datalek te beëindigen en daarmee de schade beperken. Denk aan het op afstand wissen van een laptop. Dan kan de organisatie beslissen of zij het datalek meldt bij de Autoriteit Persoonsgegevens en misschien ook aan de betrokken personen.
Op 30 september lanceren wij onze elearning 2.0 waarin we grote groepen nog sneller en beter bewust laten worden van de manier waarop je met persoonsgegevens omgaat. Door awareness te creëren wordt er gefocust op het gedrag van werknemers en zullen werknemers minder terughoudend zijn in het melden van datelekken. Zo ontstaat er minder snel een schuldgevoel of angst voor repercussies; die ‘angst om te melden’. Kijk voor meer informatie over het creëren van bewustwording eens op onze e-learning pagina of neem contact met ons op.