Werklast datalekken zorgt voor frustraties: ‘melding maken moet efficiënter kunnen’
De hoeveelheid datalekken bij lokale overheden stijgt al jaren en die stijging lijkt maar niet af te nemen. In 2017 werden er 484 datalekken bij openbaar bestuur gemeld. In 2021 zijn dat er bijna 5000. Vrijwel altijd gaat het om menselijke foutjes, zoals een verkeerde bijlage in een mail, een e-mail naar een verkeerd adres of een verkeerd verstuurde brief, zo wordt duidelijk uit de antwoorden. Een foutje dat leidt tot een datalek is in een seconde gemaakt, maar daarna begint vrijwel altijd een tijdrovend proces waarbij meerdere afdelingen van een organisatie moeten aanhaken om de melding compleet te maken.
Gemeenten zien werklast toenemen
Uit een onderzoek van Binnenlands Bestuur, iBestuur en AG Connect onder 63 gemeenten ontstaat het beeld gemeenten de afgelopen jaren zeer bewust zijn geworden van datalekken. Het is volgens gemeenten zelfs dé oorzaak van de stijging in het aantal datalekken. Organisaties zien vaak als positief: meer datalekken is een bevestiging van het verhoogde bewustzijn. Maar er zijn ook zorgen over de werklast die door meldingen maar blijft toenemen. Slechts 10 van 63 gemeenten denken dat de werklast die bij het melden van datalekken hoort gelijk blijft in de komende jaren. De rest voorziet een verdere toename. Voor vier gemeenten geldt zelfs dat de huidige werklast al niet meer uitvoerbaar en proportioneel is. Zij maken zich zorgen over de ontwikkeling.
Uit het onderzoek wordt duidelijk dat de afhandeling van datalekken een werklast meebrengt van zo’n 2,5 tot 4 uur, afhankelijk van de ernst. In bijzondere gevallen kan de werklast veel verder oplopen. Daarbij neemt het aantal meldingen jaarlijks fors toe, blijkt uit jaarlijkse cijfers van de AP. En vooral daar gaan veel uren in zitten.
“Het aantal datalekken waarbij sprake is van een risico bedraagt nog geen kwart van het totaal aantal datalekken. In die zin staat de werklast niet in verhouding tot het beoogde doel”, zo geeft een woordvoerder van gemeente Amsterdam aan. “Maar elk datalek moet serieus genomen worden en ondanks dat er bij de overgrote meerderheid geen sprake is van een risico, moeten deze wel worden uitgezocht, bijgehouden worden in de administratie en waar nodig gemeld bij de Autoriteit Persoonsgegevens.”
Efficiënter melden
ICT-juristen geven aan dat het melden van een datalek nog een stuk efficiënter zou kunnen. “Het is een uitgebreid formulier dat handmatig moet worden ingevuld en dat kan in mijn ogen een stuk beter. De administratieve werklast is erg hoog. Het formulier moet langs meerdere afdelingen en dat kost natuurlijk tijd”, aldus Floor Terra van Privacy Company.
Hoogleraar recht en de informatiemaatschappij Gerrit Jan Zwenne (Universiteit Leiden) sluit zich daarbij aan. “De AP stelt nu dat een melding in vijftien tot dertig minuten kan worden gemaakt, maar binnen die tijd zal het vrijwel onmogelijk zijn om een melding af te ronden. Het zou heel plezierig zijn wanneer er API wordt ontwikkeld waarmee een organisatie datalekken in het eigen systeem kan verwerken en snel kan doorzetten naar het meldpunt.”
Datalekken in het openbaar bestuur
- 2016: 825 datalekken
- 2017: 1900 datalekken
- 2018: 3570 datalekken
- 2019: 4624 datalekken
- 2020: 5247 datalekken