Openheid over een datalek heeft veel meerwaarde

Onjuiste betalingen of klantgegevens die bij de verkeerde persoon terecht komen kunnen uw bedrijf in een lastig parket brengen. Maar dat is geen reden om een incident of datalek onder het tapijt te vegen, zegt Hans Winterswijk. “Incidenten kunnen aanleiding zijn interne processen te verbeteren en een datalek moet sowieso binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens.” Als business risk manager houdt Hans Winterswijk zich onder andere bezig met onderzoek naar incidenten en datalekken. Voordat hij vertelt over de resultaten daarvan, legt hij het verschil tussen een incident en een datalek uit. “We spreken van een incident als gedrag of een gebeurtenis een gevaar vormt voor de integriteit en bedrijfsuitoefening van een financiële onderneming. Denk aan fraude door een medewerker, een onjuiste uitkering door een falend IT-systeem óf een datalek. Van een datalek is sprake als er inbreuk plaatsvindt op iemands persoonsgegevens. Bijvoorbeeld wanneer privacygevoelige informatie per ongeluk of op onrechtmatige wijze wordt vernietigd, gewijzigd of niet aan de klant maar aan derden wordt verstrekt.” Autoriteit Persoonsgegevens Ruim 80% van de datalekken ontstaan door menselijk handelen en daarvoor hoeft niemand zich te schamen, vindt Hans. “Fouten maken is menselijk, maar je kunt het voorkomen door goed op te letten bijvoorbeeld als je een mail verstuurt. Want wanneer iemands financiële of medische gegevens bij een ander terecht komen, kan dat voor die persoon vervelende gevolgen hebben. Een ernstig datalek moet binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens. Doe je dat niet, dan loop je kans op aanvullende vragen, een onderzoek en in het uiterste geval een boete.” Hans noemt enkele voorbeelden van datalekken die hij in de praktijk tegenkwam. “Een brief met klantgegevens die door een niet goed verwerkte adreswijziging bij de verkeerde persoon in de brievenbus viel, een brief met klantinformatie die op kantoor werd geprint en vervolgens rondslingerde en een Excel-bestand voor een marketingactie, waarbij de klantgegevens foutief waren gesorteerd, waardoor persoonlijke gegevens van de ene klant bij de andere terechtkwamen.” Ook bij a.s.r. gaat het weleens fout, bevestigt Hans. “We kregen van een klant het signaal dat hij niet alleen zijn eigen polis had ontvangen, maar in dezelfde envelop ook die van een aantal andere klanten. We hebben de oorzaak onderzocht en maatregelen genomen om de kans op herhaling te verkleinen.” Autoriteit Persoonsgegevens Als een gevolmachtigd een incident meldt bij de Autoriteit Persoonsgegevens, dan wil a.s.r. daar graag over geïnformeerd worden, zegt performancemanager volmachten Anja de Gier. “Wij kunnen door de DNB of AFM aangesproken worden op incidenten, dus we zijn graag op de hoogte. Niet om met het vingertje te wijzen, maar om te beoordelen of het impact heeft op onze processen en richtlijnen of die van de GA. En we kijken graag, samen met de volmachtmanager en het volmachtkantoor, naar mogelijkheden om een herhaling in de toekomst te voorkomen.” Een incident kan nu nog gemeld worden bij Anja of Peter Wendling, maar dat gaat binnenkort veranderen. “In de nieuwe samenwerkingsovereenkomst Volmachten wordt expliciet de afspraak opgenomen dat incidenten gemeld moeten worden bij de verzekeraar. Wij gaan ervoor zorgen dat de melding niet langer persoonlijk bij ons moet gebeuren, maar dat die digitaal, via Volmachtweb, kan”, voorspelt Anja. Bewustwording Hans geeft aan dat het verstandig is een procedure op te stellen zodat iedere medewerker weet wat hij moet doen bij een incident of datalek. Ook adviseert hij deze procedure en concrete voorbeelden in het werkoverleg te bespreken.”Omdat je een datalek binnen 72 uur na ontdekking moet melden bij de Autoriteit Persoonsgegevens, kun je 'm niet 'even over het weekend heen tillen'. En wanneer je de gevolgen van een datalek niet direct kunt inschatten, dan mag je ook een 'voorlopige' melding doen en daarna onderzoek doen naar de oorzaak en gevolgen.” Open communicatie Bij a.s.r. is een open communicatie over incidenten en datalekken ook best een proces geweest, geeft Anja toe. “Natuurlijk is het nog steeds vervelend om een fout te maken. In het verleden werd snel naar een oplossing gezocht en de situatie verder het liefst stilgehouden. Maar openheid over een incident heeft, los van de meldingsplicht bij de AP, veel meerwaarde. Je kunt als organisatie namelijk ontzettend veel leren van fouten van individuele medewerkers en fouten in je proces. a.s.r. heeft een awareness programma, waarbij medewerkers via gamification vragen krijgen over dit onderwerp. We bespreken incidenten en datalekken in onze teamoverleggen. En we werken samen met Hans en zijn collega's, die veel expertise op dit vlak hebben. De bewustwording bij onze medewerkers over incidenten en datalekken is daardoor flink vergroot en dat is fijn.” Met een glimlach denkt ze terug aan de medewerker die per ongeluk een groot klantenbestand naar het verkeerde volmachtkantoor stuurde. “Hij was bang ontslag te krijgen, maar lag voor niks een nacht wakker. Voor ons stond alleen de vraag centraal: wat leren wij hiervan?“