Op 1 januari 2016 is de meldplicht datalekken ingegaan waarmee een vergrootglas is ontstaan. In 2019 ontving de Autoriteit Persoonsgegevens bijna 27.000 meldingen van datalekken (bron). Het is verstandig als organisatie, werknemer of particulier extra aandacht te geven aan voorbereiding op verlies van gevoelige gegevens.
In deze blog toon ik de impact van één van de datalekken én een gemakkelijke manier je voor te bereiden om impact te verlagen.
“De meldplicht datalekken houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).“
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/meldplicht-datalekken
Impact van gegevensverlies via harde schijf
Eerder vandaag (10-02-2020) stuurde Minister De Jonge een Kamerbrief over datalek Donorregister: “Minister De Jonge meldt dat bij het vernietigen van het papieren archief van het Donorregister is gebleken dat 2 externe harde schijven weg zijn. Op deze schijven staat een kopie (back-up) van alle donorformulieren met registraties en wijzigingen in het Donorregister in de periode 1998-2010.” (laatste wijziging 10-03-2020 om 15:28 uur). NOS Teletekst (pagina 115) meldde aanvullend “De gegevens zijn waarschijnlijk niet versleuteld, dus makkelijk in te zien“.
Met een impact op 6,9 miljoen Nederlanders verscheen het bericht snel op voorpagina’s van verschillende nieuwssites:
- 10-03-2020 om 15:45 uur op Donorregister.nl ‘Bericht vanuit het Donorregister‘
- 10-03-2020 om 16:55 uur op Tweakers.net ‘Overheid raakt hdd’s met 6,9 miljoen gegevens uit Donorregister kwijt‘
- 10-03-2020 om 17:00 uur op NOS.nl ‘Gegevens van donoren uit periode 1998-2010 mogelijk op straat’
- 10-03-2020 om 17:00 op GeenStijl.nl ‘Datalek donorregister: harde schijven met 6,9 miljoen ingevulde donorformulieren foetsie‘
- 10-03-2020 om 17:03 uur op NRC.nl ‘Datalek bij Donorregister: harde schijven met gegevens orgaandonoren verdwenen’
- 10-03-2020 om 17:33 uur op NU.nl ‘Datalek Donorregister: harde schijven met 6,9 miljoen formulieren kwijt‘
- 10-03-2020 om 18:35 uur op Volkskrant.nl ‘Minister in verlegenheid: Donorregister is harde schijven met registraties kwijt‘
Ondanks de hoeveelheid jaarlijkse datalekken blijft zo’n lek erg vervelend.
Er is een mogelijkheid dat gegevens worden misbruikt, (in dit geval onder andere het “burgerservicenummer of administratief nummer van de basisregistratie van de gemeente“), het melden kost tijd, de communicatie kost tijd, nazorg kost tijd en er ontstaat reputatieschade. Bij de aanmelding van een datalek is het prettiger te melden dat gegevens kwijt zijn maar door versleuteling onleesbaar gemaakt.
Impact verkleinen bij verlies van harde schijf
Tegenwoordig zijn Windows 10 Pro, Enterprise en Education systemen uitgerust met het programma BitLocker. Microsoft geeft je daarmee de mogelijkheid de harde schijven van systemen te versleutelen. Na versleuteling zijn gegevens onleesbaar wanneer de harde schijf in een andere computer wordt geplaatst. Op dat moment vraagt de software om de code die bij het aanzetten werd getoond. Bewaar die code daarom op één of meerdere veilige plekken. Op mijn werk zijn collega’s in mijn team verplicht deze software te activeren zodat bij verlies of diefstal van een laptop bedrijfsgegevens onleesbaar zijn. Hoe je dat BitLocker op jouw Windows systeem activeert lees je in dit uitgebreide artikel of dit korte artikel van Microsoft. Succes!
Peter van Rijt 