Gastexpert | Axel van Drongelen over het allesbepalende prijskaartje van cybersecurity

Redactie WINMAG Pro
In de aanloop naar 25 mei 2018 kon niemand om de GDPR/AVG heen. Iedere organisatie leek ermee bezig te zijn en het regende adviezen voor bedrijven om zich voor te bereiden op de invoering van de Europese privacywetgeving. Anderhalf jaar later kunnen we de conclusie trekken dat deze stortvloed aan adviezen en waarschuwingen nog niet alle bedrijven heeft wakker geschud. Wat moet er veranderen om dit wel voor elkaar te krijgen? Axel van Drongelen is General Manager van Egress en daarmee een rotsvaste autoriteit op gebied van internationale cyberrisico’s en – security. Hij vertelt.

In Nederland had het Haagse Haga Ziekenhuis afgelopen zomer de primeur om als eerste beboet te worden door de Autoriteit Persoonsgegevens vanwege de schending van de nieuwe privacywet. Het ziekenhuis bleek de interne beveiliging van patiëntendossiers niet op orde te hebben. Dit kwam aan het licht doordat het medische dossier van een realityster door tientallen medewerkers ongeoorloofd werd ingekeken.

Ook in andere Europese landen zijn inmiddels de eerste boetes uitgedeeld. Zo werden in het Verenigd Koninkrijk miljoenenboetes uitgedeeld aan zowel British Airways als Marriott Hotels. De luchtvaartmaatschappij werd beboet vanwege een lek waardoor de persoonlijke data van 500.000 klanten op straat lag, en Marriott Hotels vanwege een wereldwijd lek waarbij 339 miljoen klantgegevens in de openbaarheid kwamen.

Minder focus

Maar hoe ernstig is de situatie precies? Hoeveel bedrijven lopen het risico ook beboet te worden door de verantwoordelijke instantie? Onderzoek door OnePoll, in opdracht van Egress, laat zien dat er nog flink wat werk aan de winkel is. Zo voldoet meer dan de helft van de bedrijven in de UK nog steeds niet aan de GDPR-wetgeving. En ruim een derde van de Britse bedrijven geeft aan dat er sinds mei 2018 minder focus ligt op GDPR-compliancy.

De situatie in ons land is vergelijkbaar. De aanhoudende stijging van het aantal datalekken dat gemeld wordt door de Autoriteit Persoonsgegevens is daar een goede indicatie voor. In 2018 verdubbelde het aantal gemelde datalekken tot bijna 21.000. En de teller staat na de eerste helft van 2019 al op zo’n 12.000. Bovendien toonde onderzoek door het Capgemini Research Institute dit najaar aan dat in Nederland slechts 31 procent van de bedrijven voldoet aan AVG.

Maatregelen

Dit betekent echter niet dat organisaties stilstaan. Zo heeft in het Verenigd Koninkrijk 28 procent van de bedrijven het afgelopen jaar investeringen gedaan in de implementatie van nieuwe processen voor de verwerking van privacygevoelige gegevens. Daarnaast werd er door 18 procent van de organisaties geïnvesteerd in systemen die beter inzicht moeten bieden in welke gegevens worden verzameld (en waarom). Nog eens 18 procent van de bedrijven heeft een Data Protection Officer aangesteld, of heeft een werknemer de taak toebedeeld om zorg te dragen voor GDPR-compliance. En 17 procent van de Britse organisaties investeerde in nieuwe technologie, vooral bedrijven in de financiële sector.

Bedrijven zijn dus wel degelijk bezig met het GDPR-proof maken van hun organisatie. Maar het lijkt allemaal in een wat lagere versnelling te gebeuren. Waar er eerst nog een enorme haast was om de deadline van mei 2018 te halen, lijken bedrijven nu een houding te hebben aangenomen van ‘bijna compliant is goed genoeg’.

Waarom in plaats van hoe

In dit verhaal is trouwens de vraag gerechtvaardigd of bedrijven de juiste prioriteiten stellen. De focus bij datalekken ligt vaak vooral op het vinden van een antwoord op de vraag ‘hoe’ het datalek heeft kunnen ontstaan, terwijl niemand zich lijkt af te vragen ‘waarom’ het is gebeurd. En juist daar lijkt veel ruimte voor verbetering te liggen.

Wanneer het gaat om cyberaanvallen of kwaadaardige datalekken, is het eenvoudig om de achterliggende motivatie te bedenken, zoals financieel of politiek gewin, sabotage van concurrentie of simpelweg emotie (denk bijvoorbeeld aan wraakgevoelens). De link tussen deze motivaties en de acties die hier het gevolg van zijn, mogen dan onwenselijk zijn - ze zijn verklaarbaar.

Maar het achterhalen van het ‘waarom’ van een datalek wordt lastiger wanneer het gaat om niet-kwalijke datalekken gaat, veroorzaakt door werknemers. En laat nou net het grootste deel van de datalekken veroorzaakt worden door menselijke fouten. Uit rapporten van de Autoriteit Persoonsgegevens blijkt werd er door 18 procent van de organisaties geïnvesteerd in systemen die beter inzicht moeten bieden in welke gegevens worden verzameld (en waarom). Nog eens 18 procent van de bedrijven heeft een Data Protection Officer aangesteld, of heeft een werknemer de taak toebedeeld om zorg te dragen voor GDPR-compliance. En 17 procent van de Britse organisaties investeerde in nieuwe technologie, vooral bedrijven in de financiële sector. dat dit cijfer in de eerste helft van 2019 op 73 procent lag. In het Verenigd Koninkrijk zien we met 60 procent een vergelijkbaar hoog percentage.

Onbewuste fouten?

Vergissen is nog steeds menselijk, en het vaakst gaat het mis bij het adresseren van de gesprekspartner. In 63 procent van de gerapporteerde datalekken bij de Autoriteit Persoonsgegevens is er sprake van een verkeerde adressering. Ook in Groot- Brittannië komt dit beeld naar voren, bijvoorbeeld uit een onderzoek dat Opinion Matters uitvoerde in opdracht van Egress. De overgrote meerderheid (95 procent van de 500 CIO’s en ITleidinggevenden) uit dit onderzoek maakt zich zorgen over de dreiging van binnenuit. En een meerderheid erkent te vermoeden dat de werknemers bedrijfsgegevens aan risicovolle situaties hebben blootgesteld in de afgelopen 12 maanden, of dat nou per ongeluk 79 procent of opzettelijk 61 procent was.

En nu wordt het interessant, want in het onderzoek is ook aan ‘gewone’ werknemers gevraagd naar datalekken. En hier wordt een heel ander beeld geschetst. Zo zegt 92 procent niet per ongeluk data te hebben gelekt en geeft 91 procent aan niet opzettelijk een datalek te hebben veroorzaakt. Zo’n duidelijk contrast laat zien dat werknemers ofwel niet willen toegeven dat ze onzorgvuldig met data zijn omgegaan, ofwel zich er niet bewust van zijn. Waarbij dat laatste meer voor de hand ligt.

Precaire discussie

Het probleem van onbewust data lekken is een gevoelige discussie. Het is niet alleen een kwestie van onwetendheid en bijvoorbeeld niet beseffen dat gevoelige data met de verkeerde personen is gedeeld. Het gaat ook om de vraag of werknemers vinden dat ze recht hebben op toegang tot bepaalde informatie en gemachtigd zijn om deze gegevens bijvoorbeeld uit een beveiligde omgeving te halen. Want ook dat kan een oorzaak zijn voor een lek, bijvoorbeeld wanneer een werknemer klantgegevens meeneemt naar een nieuwe baan.

Uit het Opinion Matters-onderzoek blijkt dat bijna een derde van de werknemers 29 procent ervan overtuigd is dat zij het recht hebben om data te bezitten van een bedrijf waar ze hebben gewerkt. En 60 procent is niet van mening dat de organisatie het exclusieve recht bezit op deze data. Hier komt ook een interessant verschil tussen de generaties aan het licht: in de leeftijdscategorie 16-24 jaar gaf 33 procent aan dat organisaties bedrijfsdata exclusief bezitten, tegenover 51 procent van de respondenten van 65 jaar en ouder.

Voorlichting zal dus een belangrijk onderdeel moeten zijn van iedere strategie die onbewuste datalekken tegengaat. Werknemers kunnen bijvoorbeeld worden bijgespijkerd in het onderwerp databezit, zodat ze op de hoogte zijn welke data in bezit van het bedrijf blijft wanneer zij vertrekken. Een dergelijke voorlichting wordt steeds urgenter met de komst van de nieuwe generatie van ‘social savvy’ werknemers, zij gaan in hun privéleven immers makkelijker om met het delen van persoonlijke gegevens en de verwachting is dat ze eenzelfde gemak naar hun werkende leven zullen brengen.

Belang van technologie

Het draait overigens niet om voorlichting alleen - dat tonen de boetes van de Autoriteit Persoonsgegevens en het gegeven dat lang niet alle bedrijven GDPR compliant zeggen te zijn aan.

Technologie speelt een belangrijke rol in het voorkomen van datalekken. Machine learning- en graph databasetechnologieën maken het mogelijk om het moment te identificeren waarop de kans groter wordt dat werknemers de fout ingaan, ongeacht of dit per ongeluk of expres is. Zo worden organisaties op tijd gewaarschuwd voor een mogelijk lek en kan dit zelfs voorkomen worden.

Een goed geïnformeerde werknemer verkleint het risico op datalekken en boeteclaims vanwege het niet nakomen van GDPR-wetgeving. Maar met bewustzijn alleen zijn we er nog niet. Een adequate technologische ondersteuning met de juiste tools moet altijd onderdeel zijn van de dataprivacystrategie van bedrijven. Want als we boetes willen voorkomen, moeten we zorgen voor een symbiotische samenwerking tussen techniek en mens.

afbeelding van Redactie WINMAG Pro

Redactie WINMAG Pro | Redacteur

Bekijk alle artikelen van Redactie