Klein datalek met grote gevolgen, eenvoudig te voorkomen

“1100 woningzoekenden staan in blote kont; bouwer mailt adressen en inkomens rond: ‘Alles was te zien” kopte een artikel op het AD afgelopen week. De oorzaak: geïnteresseerden in een nieuwbouwproject ontvingen via de mail privacygevoelige informatie van andere gegadigden voor de woningen. Onder de gegevens die meegestuurd waren zaten het inkomen en eigen vermogen van de potentiële huizenkopers, maar ook de naam van de werkgever, adressen en geboortedata. Kortom, een datalek met een enorme impact. Hieruit blijkt nogmaals dat privacybescherming echt nog niet overal op orde is.


Spanningen en psychische gevolgen

Het heeft enorme gevolgen voor getroffenen wanneer financiële gegevens op straat komen te liggen. Een van de gedupeerden zegt dat het datalek leidt tot jaloezie onder collega’s. “In mijn sector wordt gewerkt met prestatiebeloning. Hoe meer je verdient, hoe hoger je status in je werkkring is en andersom. Een vriend van mij kon een stuk meer lenen voor z’n nieuwbouwhuis. En iemand anders bleek beneden modaal te zitten. Plotseling heerst in je kring van collega’s en vrienden een heel andere sfeer.”


Maar het gaat verder, want gedupeerden zijn bang dat de gegevens bij criminelen terechtkomen. ,,Er staat ook in hoeveel je zelf zou kunnen inbrengen voor de aankoop van je huis. Wat je aan eigen geld hebt ligt letterlijk op straat. Het geeft me een ronduit onveilig gevoel dat iemand je adres én vermogen kan zien. Straks ‘komt iemand even langs’. Dat voelt niet goed.’’


Nalatigheid in de naleving van de AVG 

Heijmans heeft melding gemaakt van het datalek bij de Autoriteit Persoonsgegevens en excuses aangeboden aan de gedupeerden. Maar daarmee is de kous niet af, want dit had gewoon nooit mogen gebeuren. Het zegt veel over de rol van de Algemene verordening gegevensbescherming (AVG) in het jaarplan van het bedrijf. Nalatigheid door medewerkers is helaas een veelvoorkomende oorzaak van datalekken, zoals ook blijkt uit diverse nieuwsberichten die het afgelopen jaar werden verspreid. Ook het onvoldoende beveiligen van de data draagt bij aan de ernst van de situatie. Gelekte non-encrypted data is zo voor iedereen inzichtelijk en te misbruiken.


Training van medewerkers

Een goede systeembeveiliging is natuurlijk essentieel, maar een goede training van je medewerkers is minstens zo belangrijk. Juist door je medewerkers goed te informeren over de AVG-richtlijnen en de risico’s die daarmee samenhangen creëer je een collectief bewustzijn. In het geval van Heijmans is daar blijkbaar onvoldoende aandacht voor geweest, waardoor de medewerker zich niet bewust was van de risico’s die een onzorgvuldige database selectie en export met zich meebrengt.


Om doorlopend de aandacht te vestigen op databeveiliging is het raadzaam om de AVG een vast onderdeel te laten zijn van het jaarplan van elk bedrijf dat met persoonsgegevens werkt. In het jaarplan worden afspraken vastgelegd over de te volgen procedures en binnen welk tijdsbestek dit afgerond moet zijn. Pas dan kan je er zeker van zijn dat er geen nalatigheid in het spel is, dat jouw medewerkers weten hoe ze met privacygevoelige data moeten omgaan en dat je voldoet aan de eisen van de AVG.


Wil je meer weten over de privacyrisico’s van jouw organisatie en hoe je jouw data het beste kan beveiligen volgens de AVG-richtlijnen? Neem dan contact op met CDDN via 088-8357000 of stuur een bericht naar info@cddn.nl.