Data lekt niet zomaar
Het kan niemand ontgaan zijn dat er de afgelopen dagen vervelende situaties zijn ontstaan door het uitlekken van medische gegevens van mensen die zich bij de GGD of bij commerciële testorganisatie hebben laten testen op een corona-besmetting en/of zich aangemeld hebben voor vaccinatie. Bij de commerciële testorganisatie bleek dat medewerkers van de organisatie medische gegevens via Whatsapp berichten onderling deelden en dat ze toegang hadden tot de database met medische informatie. Bij de GGD’s bleken medische gegevens van geteste personen op bestelling te kunnen worden geleverd en dat criminelen zelfs hele databases (18 Miljoen records) met persoonsgegevens op sociale netwerken te koop aanbieden.
Iedereen snapt dat dat niet zou moeten kunnen. En toch…
De achterliggende vragen zijn natuurlijk: Hoe kunnen mensen bij die gegevens komen? En: Waarom zouden ze bij die gegevens moeten kunnen?
Prima vragen en daar zijn voldoende plausibele redenen voor te geven: het gaat om professionals die in de zorg werken die persoonsgegevens nodig hebben om zorg te kunnen verlenen, of om bijvoorbeeld afspraken te maken. En het maken van een kopie van een database is makkelijk, want stel dat het systeem uit de lucht is, dan moet je toch kunnen doorwerken. Zoals gezegd, plausibele redenen. Maar even plausibel om die antwoorden te geven is dan de vraag stellen of je zeker weet dat er alleen terecht toegang wordt verleend. En of je zeker weet dat mensen niet te veel informatie kunnen benaderen, dat ze niet meer informatie kunnen benaderen dan ze voor de uitvoering van hun taken nodig hebben. Vragen die je op grond van allerhande wetten en regels ook zou moeten stellen. ISO27001, NEN7510, BIO, AVG…
En daar gaat het in beide gevallen helemaal fout. Te veel mensen hebben te veel toegang tot te veel gegevens.
Dat komt natuurlijk bij veel organisatie voor. En heel vaak ontstaat zoiets vanzelf, of is de bestaande werkwijze historisch ontstaan. Ooit zat die functionaliteit misschien wel in een systeem en die functionaliteit is er later nooit meer uitgehaald. Typisch een situatie zoals die bij de GGD’s kan zijn ontstaan. Maar daarom niet acceptabel. En het is dan ook geen IT-probleem, het is een probleem van de bedrijfsvoering. Dat had allang hersteld moeten zijn.
Een onvolkomenheid die in het verleden niet voor veel problemen zorgde, maar nu wel, heet ook wel ‘Technical Debt’, technische schuld. Maar het is helemaal geen technische schuld. Het is een probleem van ontbrekend toezicht en onvoldoende kaderstelling vanuit de verantwoordelijken voor de bedrijfsvoering. Ultiem is het de verantwoordelijkheid van de directie, van een CEO.
Moet een CEO dan alles weten? Nee, natuurlijk kan dat niet, maar een CEO is er wel voor verantwoordelijk, aansprakelijk zelfs, dat voldaan wordt aan wet- en regelgeving en dat belanghebbenden erop kunnen vertrouwen dat ‘het’ goed is geregeld. En dan is het helemaal niet te verteren dat een directeur ontkent dat er bij gebruik van Whatsapp sprake is van een probleem. Of als een politicus een probleem bagatelliseert.
Vooralsnog moeten we er gewoon van uitgaan dat er miljoenen persoonsgegevens op straat liggen. En dan heb ik het niet eens over het BSN, maar over het hele digitale hebben en houden van een klant. En laten we meteen maar vaststellen dat in beide gevallen geen sprake is van een ICT probleem, maar dat er binnen de bedrijfsvoering grote fouten zijn gemaakt. Governance gaat over eigenaarschap, aansprakelijkheid. Het is tijd dat eigenaarschap voor informatiebeveiliging op de goede plek belegd wordt: Bij de directie en vooral dat de directie de pijn van dat eigenaarschap ervaart. Anders doen alleen wij dat.