Werklast datalekken frustreert gemeenten

De werklast als gevolg van datalekken stijgt bij gemeenten al jaren. En dat blijft de komende jaren zo, toont gezamenlijk onderzoek aan van Binnenlands Bestuur, AG Connect en iBestuur. Een aantal gemeenten slaat alarm.

De hoeveelheid datalekken bij de overheid stijgt al jaren, en die stijging lijkt maar niet af te nemen. In 2017 werden er 484 datalekken bij het openbaar bestuur gemeld. In 2021 zijn dat er bijna 5.000. Vrijwel altijd gaat het om menselijke fouten, zoals een verkeerde bijlage in een mail, een e-mail naar een verkeerd adres of een verkeerd verstuurde brief, zo wordt duidelijk uit de antwoorden.

Een foutje dat leidt tot een datalek is in een seconde gemaakt, maar daarna begint een tijdrovend proces waarbij meerdere afdelingen van een organisatie moeten aanhaken om de melding compleet te maken. 

Uit een onderzoek van Binnenlands Bestuur, AG Connect en iBestuur onder 63 gemeenten ontstaat het beeld dat gemeenten zich de afgelopen jaren veel beter bewust zijn geworden van datalekken. Het is volgens gemeenten zelfs de voornaamste oorzaak van de stijging. Organisaties zien dat vaak als positief: meer datalekken is een bevestiging van het verhoogde bewustzijn. Maar er zijn ook zorgen over de werklast die door al die meldingen blijft toenemen. 53 van de 63 gemeenten voorzien dat die trend de komende jaren doorzet. Vier gemeenten vinden de huidige werklast al niet meer uitvoerbaar.

‘Het aantal datalekken waarbij sprake is van een risico bedraagt nog geen kwart van het totaal aantal datalekken. In die zin staat de werklast niet in verhouding tot het beoogde doel’, zo geeft een woordvoerder van gemeente Amsterdam aan. ‘Maar elk datalek moet serieus genomen worden en hoewel bij de overgrote meerderheid geen sprake is van een risico, moeten deze wel worden uitgezocht, bijgehouden worden in de administratie en waar nodig gemeld bij de Autoriteit Persoonsgegevens (AP).’

Wifi-wachtwoord op een prikbord

Uit het onderzoek wordt duidelijk dat de afhandeling van datalekken een werklast meebrengt van zo’n 2,5 tot 4 uur, afhankelijk van de ernst. In bijzondere gevallen kan de werklast veel verder oplopen. ­Daarbij neemt het aantal meldingen jaarlijks fors toe, blijkt uit jaarlijkse cijfers van de AP. En vooral daar gaan veel uren in zitten.

De administratieve werk­last is erg hoog

Privacyadviseur Floor Terra

De gemeente Gemert-­Bakel herkent dit beeld. ‘Burgers worden zelf meer alert. Daarnaast wordt er een meldingsbereidheid ervaren bij de ambtenaren. Dit is een trend waar we heel blij mee zijn als gemeente, ondanks dat dit extra werkzaamheden voor ons als gemeente betekent. Los daarvan merken we als ­gemeente dat we sneller en adequater leren reageren op datalekken.’

Veel winst

Komt er ooit een einde aan die stijgende werklast? Senior-adviseur Floor Terra van Privacy Company was zelf enkele jaren geleden betrokken de opzet van het meldloket voor datalekken en de processen; nu werkt hij als senior-adviseur en voert hij onder meer privacy-onderzoeken uit bij grote techbedrijven in opdracht van de overheid. Sinds de AVG in werking is, ziet Terra zowel positieve als negatieve ontwikkelingen. ‘Natuurlijk is het zo dat gemeenten datalekken beter opmerken en daar in de loop van de tijd handiger en efficiënter mee omgaan. Op basis van het nieuwe bewustzijn mag je ervan uitgaan dat er minder datalekken zullen ontstaan, maar het is ook zo dat datalekken door de toegenomen kennis beter ­worden opgemerkt.’

Terra denkt dat er vooral nog winst te behalen valt bij het meldproces. ‘Het is een uitgebreid formulier dat handmatig moet worden ingevuld en dat kan in mijn ogen een stuk beter. De administratieve werk­last is erg hoog. Het formulier moet langs meerdere afdelingen en dat kost ­natuurlijk tijd.’

Een boete van de AP kan torenhoog zijn

Hoogleraar Gerrit Jan Zwenne

De ontwikkeling van een intern managementsysteem waarbij met behulp van API (application programming interface) via één klik gegevens kunnen worden doorgezet, zou kunnen helpen, denkt Terra. ‘Ik vind eerlijk gezegd dat zo’n systeem er al had moeten zijn, maar de AP blijft kiezen voor handmatig melden.’ Volgens Terra gebeurt het nog regelmatig dat organisaties er pas halverwege het invullen achter komen dat er nog allerlei zaken moeten worden uitgezocht, waarvoor andere afdelingen in de organisatie moeten worden ­ingeschakeld. ‘Het is in principe goed dat deze vragen beantwoord moeten worden, omdat dit er ook voor zorgt dat organisaties zichzelf zo blijven evalueren. Maar het kost wel een paar uur extra’, aldus Terra.

Hoogleraar recht en de informatiemaatschappij Gerrit Jan Zwenne (Universiteit Leiden) sluit zich aan bij Terra. ‘De AP stelt nu dat een melding in vijftien tot dertig minuten kan worden gemaakt, maar binnen die tijd zal het vrijwel onmogelijk zijn om een melding af te ronden. Het zou heel plezierig zijn wanneer er API wordt ontwikkeld waarmee een organisatie datalekken in het eigen systeem kan verwerken en snel kan doorzetten naar het meldpunt.’

Sommige meldingen zijn wat Zwenne ­betreft niet nodig. ‘Een aantekening in de eigen registers kan dan genoeg zijn. Toch worden ze gemeld omdat de onzekerheid groot is: een boete van de AP kan torenhoog zijn.’ Zwenne geeft als voorbeeld een mail met persoonsgegevens waarbij Outlook automatisch het adres van de ontvanger invult. ‘Dat gaat niet altijd goed. Het overkomt ons allemaal weleens. Maar een melding hoeft niet nodig zijn als de ontvanger te vertrouwen is en meteen bevestigt dat hij het ­bericht niet heeft geopend en ­direct heeft verwijderd. De voorwaarde is wel dat je de ontvanger op zijn woord kunt vertrouwen, daar zit een ­onzekerheid.’