Beheer

Governance
datalek

Stijgende werklast door datalekken zorgt voor frustraties bij gemeenten

‘Meldingen moeten efficiënter kunnen.’

22 april 2022

‘Meldingen moeten efficiënter kunnen.’

De werklast als gevolg van datalekken stijgt bij gemeenten al jaren. En dat blijft de komende jaren zo, toont gezamenlijk onderzoek van Binnenlands Bestuur, AG Connect en iBestuur aan. Een aantal gemeenten slaat alarm. 

De hoeveelheid datalekken bij de overheid stijgt al jaren, en die stijging lijkt maar niet af te nemen. In 2017 werden er 484 datalekken bij het openbaar bestuur gemeld. In 2021 zijn dat er bijna 5.000. Vrijwel altijd gaat het om menselijke fouten, zoals een verkeerde bijlage in een mail, een e-mail naar een verkeerd adres of een verkeerd verstuurde brief, zo wordt duidelijk uit de antwoorden.

Een foutje dat leidt tot een datalek is in een seconde gemaakt, maar daarna begint een tijdrovend proces waarbij meerdere afdelingen van een organisatie moeten aanhaken om de melding compleet te maken. Het is volgens gemeenten zelfs de voornaamste oorzaak van de stijging.

Uit onderzoek van Binnenlands Bestuur, AG Connect en iBestuur onder 63 gemeenten ontstaat het beeld dat gemeenten zich de afgelopen jaren veel beter bewust zijn geworden van datalekken. Het is volgens gemeenten zelfs dé oorzaak van de stijging in het aantal datalekken. Organisaties zien vaak als positief: meer datalekken is een bevestiging van het verhoogde bewustzijn. Maar er zijn ook zorgen over de werklast die door meldingen maar blijft toenemen. Slechts 10 van 63 gemeenten denken dat de werklast die bij het melden van datalekken hoort gelijk blijft in de komende jaren. De rest voorziet een verdere toename. Voor vier gemeenten geldt zelfs dat de huidige werklast al niet meer uitvoerbaar en proportioneel is. Zij maken zich zorgen over de ontwikkeling.

Datalekken in het openbaar bestuur

2016 825
2017 1900
2018 3570
2019 4624
2020 5247


"Het aantal datalekken waarbij sprake is van een risico bedraagt nog geen kwart van het totaal aantal datalekken. In die zin staat de werklast niet in verhouding tot het beoogde doel", zo geeft een woordvoerder van gemeente Amsterdam aan. "Maar elk datalek moet serieus genomen worden en hoewel bij de overgrote meerderheid geen sprake is van een risico, moeten deze wel worden uitgezocht, bijgehouden worden in de administratie en waar nodig gemeld bij de Autoriteit Persoonsgegevens (AP)."

Wachtwoord op een prikbord

Ondanks de stijgende werklast heeft de verplichting van het melden van een datalek ook een hoop ten goede veranderd, zien gemeenten. In mei 2018 werd de ­Algemene Verordening Gegevensbescherming (AVG) van toepassing. Gemeenten kregen de tijd om te wennen aan de nieuwe verplichtingen, zoals melding maken van een datalek. Organisaties moesten bovendien een Functionaris Gegevens­bescherming aannemen die intern toezicht houdt op de meldingen en de organisatie van de nodige kennis voorziet. Het personeel kreeg te maken met bewustwordingscampagnes en maatregelen om gegevens beter te beschermen. Het bekende briefje met een wifi-wachtwoord verdween van de (meeste) prikborden op kantoor.

De eerste maanden na de invoering van de AVG waren nogal chaotisch, aldus deskundigen. Doordat veel gemeenten de benodigde kennis nog niet in huis hadden, leidde de strengere privacywet tot hoge kosten voor externe inhuur en veel onduidelijk­heden, bleek ook uit onderzoek van Binnenlands Bestuur uit 2017. Zo’n vier jaar later lijkt de situatie onder controle en is de afhandeling van datalekken meer ­gestroomlijnd. Organisaties zijn aan de AVG gewend geraakt.

2,5 tot 4 uur werk

Uit het onderzoek wordt duidelijk dat de afhandeling van datalekken een werklast meebrengt van zo’n 2,5 tot 4 uur, afhankelijk van de ernst. In bijzondere gevallen kan de werklast veel verder oplopen. ­Daarbij neemt het aantal meldingen van datalekken bij de overheid jaarlijks fors toe, blijkt uit jaarlijkse cijfers van de AP. En vooral daar gaan veel uren in zitten.

De gemeente Gemert-­Bakel herkent dit beeld. "Burgers worden zelf meer alert. Daarnaast wordt er een meldingsbereidheid ervaren bij de ambtenaren. Dit is een trend waar we heel blij mee zijn als gemeente, ondanks dat dit extra werkzaamheden voor ons als gemeente betekent. Los daarvan merken we als ­gemeente dat we sneller en adequater leren reageren op datalekken."

Komt er ooit een einde aan die stijgende werklast? Senior adviseur Floor Terra van Privacy Company was zelf enkele jaren geleden betrokken de opzet van het meldloket voor datalekken en de processen; nu werkt hij als senior adviseur en voert hij onder meer privacy-onderzoeken uit bij grote techbedrijven in opdracht van de overheid. Sinds de AVG in werking is, ziet Terra zowel positieve als negatieve ontwikkelingen. "Natuurlijk is het zo dat gemeenten datalekken beter opmerken en daar in de loop van de tijd handiger en efficiënter mee omgaan. Op basis van het nieuwe bewustzijn mag je ervan uitgaan dat er minder datalekken zullen ontstaan, maar het is ook zo dat datalekken door de toegenomen kennis beter ­worden opgemerkt."

Terra denkt dat er vooral nog winst te behalen valt bij het meldproces. "Het is een uitgebreid formulier dat handmatig moet worden ingevuld en dat kan in mijn ogen een stuk beter. De administratieve werk­last is erg hoog. Het formulier moet langs meerdere afdelingen en dat kost ­natuurlijk tijd."

Autoriteit Persoonsgegevens
© Shutterstock

Innovatie bij de AP ontbreekt

De ontwikkeling van een intern managementsysteem waarbij met behulp van API (application programming interface) via één klik gegevens kunnen worden doorgezet, zou kunnen helpen, denkt Terra. "Ik vind eerlijk gezegd dat zo’n systeem er al had moeten zijn, maar de AP blijft kiezen voor handmatig melden." Volgens Terra gebeurt het nog regelmatig dat organisaties er pas halverwege het invullen achter komen dat er nog allerlei zaken moeten worden uitgezocht, waarvoor andere afdelingen in de organisatie moeten worden ­ingeschakeld. "Het is in principe goed dat deze vragen beantwoord moeten worden, omdat dit er ook voor zorgt dat organisaties zichzelf zo blijven evalueren. Maar het kost wel een paar uur extra", aldus Terra.

Uit het jongste jaarverslag (2021) blijkt dat de toezichthouder door de beperkte capaciteit en middelen niet heeft kunnen investeren in de innovatie van haar toezicht door de inzet van technologie. “Investeringen zouden het toezicht van de AP effectiever kunnen maken. Bijvoorbeeld door vaak voorkomende toezichtsactiviteiten te automatiseren. Of door een diepgaande analyse van de aan de AP ter beschikking staande bronnen zoals de klachten en datalekmeldingen.”

Hoogleraar recht en de informatiemaatschappij Gerrit Jan Zwenne (Universiteit Leiden) sluit zich aan bij Terra. "De AP stelt nu dat een melding in vijftien tot dertig minuten kan worden gemaakt, maar binnen die tijd zal het vrijwel onmogelijk zijn om een melding af te ronden. Het zou heel plezierig zijn wanneer er API wordt ontwikkeld waarmee een organisatie datalekken in het eigen systeem kan verwerken en snel kan doorzetten naar het meldpunt."

Tijdrovend klusje

Zwenne kijkt op van de tijd die gemeenten kwijt zijn aan een melding: 2,5 tot 4 uur. "Je bent daarna nog niet klaar. Vaak moet je naderhand je melding nog aanpassen omdat er dan een beter beeld is ontstaan van het datalek." De AP heeft volgens Zwenne een aantal verbeteringen doorgevoerd, waaronder het opnieuw mogelijk maken van bulkmeldingen [die eerder ­waren afgeschaft, red.].  Maar melden blijft een tijdrovend klusje. Een bulkmelding maakt het bijvoorbeeld voor verzekeraars en pensioenfederaties mogelijk om gelijksoortige meldingen ‘op te sparen’ en periodiek te melden.

Zwenne ziet in de dagelijkse praktijk ook weleens datalekken langskomen waarbij er slechts een beperkt risico geldt. "Datalekken moeten gemeld worden, tenzij er geen risico is voor betrokkenen. In gevallen met een hoog risico, moet het lek ook aan de betrokkenen zelf worden gemeld. Daar zit een gelaagdheid in die voor organisaties vaak niet helemaal duidelijk is."

Gerrit-Jan Zwenne - Universiteit Leiden
Gerrit Jan Zwenne

Onnodige meldingen

Sommige meldingen zijn wat Zwenne ­betreft niet nodig. "Een aantekening in de eigen registers kan dan genoeg zijn. Toch worden ze gemeld omdat de onzekerheid groot is: een boete van de AP kan torenhoog zijn." Zwenne geeft als voorbeeld een mail met persoonsgegevens waarbij Outlook automatisch het adres van de ontvanger invult. "Dat gaat niet altijd goed. Het overkomt ons allemaal weleens. Maar een melding hoeft niet nodig zijn als de ontvanger te vertrouwen is en meteen bevestigt dat hij het ­bericht niet heeft geopend en ­direct heeft verwijderd. De voorwaarde is wel dat je de ontvanger op zijn woord kunt vertrouwen, daar zit een ­onzekerheid."

Wat Zwenne ­betreft is het groeiend aantal meldingen zowel positief als negatief uit te leggen. ­"Gemeenten zijn er veel tijd aan kwijt, maar het geeft ook aan dat zij datalekken serieus nemen. Ik heb de indruk dat overheden hierin verder zijn dan andere organisaties die niet altijd hun datalekken melden. Die komen er dan mee weg. Het hoeft dus niet te betekenen dat gemeenten hun gegevens slechter ­beschermen dan andere organisaties."

"Zorg dat fouten maken onmogelijk wordt"

"Mensen maken nu eenmaal fouten", zegt Terra. Er zou wat hem betreft ­eigenlijk een stap verder moeten ­worden gedacht: beter ingerichte systemen die fouten onmogelijk maken. "Een verkeerd verstuurde e-mail dient goed te worden afgehandeld met een ­melding, maar wat doen organisaties om te voorkomen dat deze fouten überhaupt ­gemaakt worden?"

Hij ziet ook een belangrijke rol voor de media en de politiek rondom datalekken. "Er is veel negatieve aandacht voor gemaakte fouten. Maar datalekken horen ­eigenlijk heel saai te zijn: het gebeurt nu eenmaal. De focus van de media en de politiek moet niet liggen op de fout zelf, maar op het proces erna: worden betrokkenen goed geïnformeerd? Is het lek opgelost? Er zijn gemeenten, zoals Lochem, die hun fout niet stilhouden, maar juist zo veel mogelijk aan anderen proberen te laten te zien hoe je met fouten kunt ­omgaan en wat de verbeterpunten voor de organisatie zijn."

AP: handmatig melden blijft nodig

De Autoriteit Persoonsgegevens stelt in een reactie dat er continu gewerkt wordt aan het verbeteren van het meldproces van een datalek. Het belang van een goede en volledige melding maken staat voorop. “We willen melden sneller en makkelijker maken, maar handmatig invullen blijft noodzakelijk, daar gaan we niets aan veranderen. Over de hoeveelheid werklast van een datalek heeft de AP geen gegevens beschikbaar. Een woordvoerder geeft aan dat de tijd die besteed wordt aan niet-gemelde datalekken momenteel "sowieso minder dan 5% bedraagt.”

Kosten lopen snel op
geld

Voor de kosten van een datalek houden gemeenten zo’n 50 tot 80 euro per gewerkt uur aan. Daarmee komen de kosten per gemeente meestal uit op enkele duizenden euro’s per jaar. Dat staat los van de kostbare bewustwordingscampagnes voor de hele gemeentelijke organisatie.

Alkmaar gaf bijvoorbeeld 400.000 euro uit aan een dergelijke campagne. De gemeente Utrecht schat in dat een ‘klein onderzoek’ zo’n 400 euro kost, maar de kosten van een ‘groot onderzoek’ naar een datalek kunnen makkelijk oplopen tot 25.000 euro.

Dat is exclusief preventieve maatregelen. Gemeenten maken nog weinig kosten aan externe inhuur voor datalekken. Er zijn uitzonderingen: Sûdwest-Fryslan en Terneuzen waren respectievelijk 15.000 en 9.000 euro kwijt aan extern advies.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.