Lekken we meer data dan in het papieren tijdperk?

Deze vraag komt bij mij boven na het lezen van het nieuws op de site van de Autoriteit Persoonsgegevens. Op 1 januari 2016 is de meldplicht datalekken ingegaan. Nu, een jaar later, is het tijd om de balans op te maken. Tot half december 2016 waren er bijna 5500 meldingen ontvangen. Bij het lezen van dit aantal komt direct een tweede vraag naar boven. Hoeveel is er werkelijk gelekt? Immers, waarschijnlijk wordt lang niet alles gemeld. De feitelijke hoeveelheid aan lekken zal in de praktijk vast nog wel hoger zijn.

Verschillende oorzaken worden genoemd. Bijvoorbeeld een e-mail aan de verkeerde ontvanger of verkeerde gegevens verspreid via een klantportaal. Het kwijtraken van een USB-stick of de onbeveiligde, gestolen laptop. Soms lezen we erover in de media als een dergelijke gebeurtenis ook naar het nieuws wordt gelekt.

Nu even terug naar het papieren tijdperk. En dan vooral de tijd van voor de ‘clean desk policy’. Ambtenaren lieten destijds stapels stukken op hun bureau liggen. Dat was heel gebruikelijk. Een stapeltje waarmee je dagelijks bezig was en een stapel afgehandeld waarin je soms wat nazocht. Dossiers uit het archief lagen hier en daar in vensterbanken. Soms werd een stapel opgeborgen in een kast. Een kast die niet altijd op slot kon of werd gedaan. Kortom, veel informatie, waaronder waarschijnlijk voor buitenstaanders zeer interessante documenten en dossiers, lag zo ter inzage op kantoor. Moest er nog even thuis worden doorgewerkt, dan gingen de dossiers mee in een tas of koffertje. En ja, ook zo’n tas of koffertje bleef wel eens, onbedoeld natuurlijk, achter in een trein, bus of waar dan ook.

Een verhuizing van kantoor en administratie nam ook extra risico’s met zich mee. Ten eerste werd er op zo’n moment veel opgeruimd. En niet altijd ging alles daarbij naar het archief. Nee, papier- en prullenbakken werden rijkelijk gevuld. Kasten werden niet altijd even netjes leeggeruimd waardoor er soms ook stukken in achterbleven. En ja, zelfs in een enkel geval bleef een volledige kast bij de verhuizing achter, gevuld met kaarten, documenten of dossiers. Met alle gevolgen van dien.

Datalekken is dus van alle tijden. Nu passen er vandaag de dag heel veel meer digitale documenten en dossiers op een USB-stick of een schijf van een laptop. Veel meer dan destijds in papieren vorm in een koffertje. Maar goed, de hoeveelheid zegt natuurlijk niet alles. Belangrijker is altijd nog de inhoud ervan. Want één document van bijzondere inhoud kan soms meer ellende veroorzaken dan een hele USB-stick. Kortom, meldplicht datalekken of niet, het blijft gewoon goed opletten.
Informatieveiligheid gaat niet alleen over techniek, maar vooral ook om gedrag. En gedrag veranderen is nu eenmaal moeilijk.

Mogelijk helpt de meldplicht datalekken wel het gedrag te veranderen. Als een soort stok achter de deur. Zodat we toch wat voorzichtiger worden en met zijn allen er nog meer aandacht aan besteden.
In 2016 rond de 5500 meldingen. Ben benieuwd hoe de stand eind 2017 is. Laten we hopen lager. Maar dan niet omdat er minder is gemeld maar omdat er ook echt vooruitgang is geboekt.