Hoe goed systemen die persoonsgegevens bevatten ook beveiligd zijn, een inbreuk op gegevensbescherming geschiedt vaak door toedoen van werknemers of medewerkers. De beveiliging van de verwerking van persoonsgegevens is in handen van die werknemers of medewerkers en blijft dus mensenwerk.
Beveiliging
Een voorwaarde voor rechtmatige verwerking van persoonsgegeven is het zorgen voor beveiliging van die verwerking. De verantwoordelijke moet passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Aldus artikel 13 van de Wet bescherming persoonsgegevens (Wbp).
De Algemene Verordening Gegevensbescherming (AVG), welke reeds in werking is, maar conform artikel 99 AVG pas toepassing vindt met ingang van 25 mei 2018 en dan de Wbp vervangt, kent een vergelijkbare bepaling. In artikel 5 AVG staat in lid 1 onder f: “persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging”.
De door de verantwoordelijke getroffen beveiligingsmaatregelen werken echter pas als de werknemers, die uitvoering geven aan die maatregelen, doordrongen zijn van de privacy-gevoeligheid en het belang van de beveiliging. Ik zal hierna enkele voorbeelden uit eigen ervaring geven waaruit blijkt dat juist de menselijke factor de zwakste schakel in de beveiliging kan zijn.
Wachtwoord
Onlangs probeerde ik op mijn werkplek in te loggen in de software van Avans. Die software bevat onder andere het studentvolgsysteem. Daarin staan studentgegevens als naam, adres, Avans-inschrijfnummer, cijfers van toetsen. Helaas kon in met mijn gebruikersnaam en het wachtwoord niet in het systeem. Het systeem gaf aan waarom ik er niet in kon: uw wachtwoord is verlopen. Blijkbaar had ik een mail gemist waar ik gewaarschuwd werd dat binnenkort mijn wachtwoord zou verlopen. Om alsnog gebruik te kunnen maken van het systeem moet je via de helpdesk-ict een nieuw wachtwoord aanvragen. Maar iedereen kan aan de telefoon wel zeggen dat hij John Lousberg is om zodoende een nieuw wachtwoord te krijgen. Daarom beschikt de helpdesk-ict over een aantal moeilijke vragen die slechts ik kan beantwoorden. Als ik die vragen goed beantwoord, dan blijkt daar afdoende uit dat ik diegene ben die ik zeg te zijn.
De eerste vraag luidde: “Wat is uw geboortedatum?”. Ik gaf daarop mijn geboortedatum. Blijkbaar was het antwoord goed, want ik mocht door naar de volgende vraag. “Wat is uw geboorteplaats?” Dat is op zich een moeilijke vraag, want het is een dorp met een dubbele naam. Daarbij is het dorp van naam gewijzigd door de gemeentelijke herindeling. Wat had ik eerder doorgegeven als mijn geboorteplaats? Ik wist het niet meer zeker. Ik gaf de naam van het dorp zoals ik dacht dat dit bij de ict-medewerker bekend zou zijn. Helaas. Dat was niet het juiste antwoord. “Nee, dat is niet goed, zei de medewerker ict. “Hier staat….”, en hij noemde de naam van de plaats waar ik volgens hem geboren moest zijn. Die naam was echter, zeker weten, niet de plaats waar ik geboren was of geboren kon zijn. “Maar, zo vervolgden de medewerker, “dat zal wel een vergissing zijn. Dat zullen we wel fout geregistreerd hebben”. Vervolgens kreeg ik een nieuw wachtwoord.
Verloren bankpas
Mijn dochter was haar bankpas verloren. Je kunt als ouder, want mijn dochter is nog minderjarig, die pas laten blokkeren. Ik belde de bank. Maar iedereen kan wel zeggen dat hij de vader van mijn dochter is. Dus ik moest weer een aantal moeilijke vragen beantwoorden. Want ook de medewerker van de bank, die ik aan de telefoon kreeg, wilde zekerheid dat ik de persoon was die ik aangaf te zijn. De eerste vraag was: “Wat is het banknummer van uw dochter?”. Ik gaf vervolgens het juiste antwoord. De tweede vraag was: “Wat is uw mailadres?”. Oeps. Dat was geen gemakkelijke vraag. Ik was pas veranderd van internetprovider. Had ik nu wel of niet het nieuwe mailadres al doorgegeven? Of had ik juist voor het gemak mijn gmail- of hotmail-adres doorgegeven? Waarop had ik het laatst nog een mail van de bank ontvangen? Ik legde het aan de medewerker van de bank uit. Maar alle adressen bleken niet juist. Normaliter zou dat moeten betekenen dat de medewerker me niet zou mogen helpen. Ik kon namelijk niet aantonen dat ik de vader van mijn dochter was. Maar niets daarvan. Hij stelde gewoon een nieuwe vraag. Uit vriendelijkheid om me perse behulpzaam te willen zijn, denk ik. Gelukkig wist ik die derde vraag wel goed te beantwoorden. Wat ik nooit zal weten is hoeveel vragen hij bereid was te stellen als ik ook die derde vraag, of een eventuele vierde vraag, niet geweten zou hebben. Uiteindelijk werd de pas van mijn dochter geblokkeerd en zou zij in de loop van de komende week een nieuwe pas toegestuurd krijgen.
De usb-stick
In Eindhoven verzorgde ik onlangs een scholing over het arbeidsrecht. De sheets van de powerpointpresentatie stonden op een usb-stick. Die stick had ik in de computer van de scholingsaccommodatie gestopt. Na de scholing was er een lunch. Na de lunch wilde ik de usb-stick, die ik in de computer achtergelaten had, ophalen. Maar helaas: geen usb-stick. Gelukkig stonden er slechts presentaties op de stick. Als er persoonsgegevens op gestaan hadden, dan was er misschien nog sprake geweest van een data-lek in de zin van artikel 34a Wbp. Maar waar was nu die usb-stick gebleven? Ik ging naar de portiersloge toe. Daar zat een behulpzame jongedame, die aangaf dat ze er pas zat en dat ze niet wist of haar collega voor de lunch een usb-stick gevonden of aangenomen had. Er was wel een doos met gevonden voorwerpen. Die wilde ze me wel geven. Dan zou ik kunnen zien of mijn usb-stick er tussen zat. Vervolgens liet ze me een doos zien waar wel 25 usb-sticks inzaten. Ik kon er zomaar eentje uitkiezen. Mijn usb zat er niet bij. Achteraf bleek een van de cursisten uit voorzorg de stick al uit de computer gehaald en in bewaring genomen te hebben. Uiteindelijk kwam alles nog goed.
Conclusie
Hoe goed het beveiligingssysteem voor de bescherming van het onrechtmatig gebruik van persoonsgegevens ook is, als de medewerkers die er mee om gaan niet doordrongen zijn van het belang van de bescherming zal de beveiliging nooit optimaal zijn. Bewustwording dat een organisatie omgaat met privacygevoelige informatie is en blijft noodzakelijk en zal moeten doordringen tot alle geledingen binnen die organisatie. Hoe dat praktisch moet gebeuren is weliswaar geen gemakkelijke opgave, maar juist een mooie taak en uitdaging voor het management!.
No Comments