Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

AVG en het probleem van databezit

18 november 2019 - 10:416 minuten leestijdOpinieInnovatie & Transformatie
Axel van Drongelen
Axel van Drongelen

‘De AVG is de nieuwe millenniumbug.’ Die vrees werd vaak uitgesproken tijdens de eerste twaalf maanden waarin de privacywetgeving van kracht was. Maar terwijl de aan de ene kant de klachten bij de Autoriteit Persoonsgegevens binnenstroomden, vond het grote publiek vooral dat de AVG veel geschreeuw en weinig wol was. Maar zie, inmiddels zijn de eerste boetes zijn uitgedeeld en de AVG staat inmiddels weer hoog op ieders agenda.

Ondanks het bewustzijnvan de AVG gaat er vrijwel geen dag voorbij waarop er geen datalek in het nieuws is – en de gevolgen lijken alleen maar groter te worden. Het recente rapport ‘Cost of a Data Breach’ door IBM en Ponemon berekende dat de gemiddelde schade van een datalek met 1,5 procent is gestegen naar 3,92 miljoen dollar.

Ciso’s werken hard aan een oplossing van dit probleem, maar weten inmiddels ook niet goed meer waar ze de sleutel hiervoor kunnen vinden. Goed begrijpen waarom datalekken nog steeds voorkomen is een logisch startpunt van deze zoektocht. Maar wanneer er mensen zijn betrokken, blijken zaken minder zwart-wit te zijn dan je op het eerste oog zou verwachten.

Waarom-vraag beantwoorden

Er is veel aandacht en analyse besteed aan het type en de frequentie van datalekken, maar er is maar weinig focus op de vraag waarom een datalek ontstaat. Wanneer het gaat om cyberaanvallen of kwaadaardige datalekken kunnen we vrij snel motivaties bedenken, zoals financieel of politiek gewin, sabotage van concurrentie of eenvoudigweg emotie (bijvoorbeeld wraakgevoelens). De link tussen deze motivaties en de acties die hier het gevolg van zijn, mogen dan onwenselijk zijn – ze zijn tegelijkertijd ook verklaarbaar.

Wanneer het gaat om niet-kwalijke datalekken veroorzaakt door werknemers, wordt het complexer om zulke heldere motivaties aan te wijzen. Maar alleen door het waarom achter een datalek te begrijpen, kunnen er maatregelen worden genomen om het risico erop te verkleinen.

Daarom is er recentelijk een onderzoek uitgevoerd in samenwerking met onderzoeksbureau Opinion Matters, waarbij meer dan vijfhonderd cio’s en it-leidinggevenden in zowel de Verenigde Staten als Groot-Brittannië werden ondervraagd. Vrijwel alle respondenten (95 procent) maakten zich zorgen over de dreiging van binnenuit. En een meerderheid erkende dat ze vermoedden dat hun werknemers bedrijfsgegevens aan risicovolle situaties hadden blootgesteld in de afgelopen twaalf maanden, of dat nou per ongeluk (79 procent) of opzettelijk (61 procent) was.

Daarnaast hebben we meer dan vierduizend werknemers dezelfde vragen gesteld en daar komt een heel ander beeld uit naar voren: 92 procent zegt niet per ongeluk data te hebben gelekt en 91 procent geeft aan niet opzettelijk een datalek te hebben veroorzaakt.

Zo’n duidelijk contrast laat zien dat werknemers ofwel niet willen toegeven dat ze onzorgvuldig met data zijn omgegaan, ofwel zich er niet bewust van zijn.

Het probleem van onbewust data lekken is een precaire discussie. Het is niet alleen een zaak van bijvoorbeeld niet weten dat ze gevoelige data met de verkeerde personen hebben gedeeld. Het draait ook om de vraag of werknemers vinden dat ze recht hebben op toegang tot bepaalde informatie en gemachtigd zijn om deze gegevens bijvoorbeeld uit een beveiligde omgeving te halen. Want ook op die manier ontstaat een lek, bijvoorbeeld wanneer een werknemer contactgegevens van klanten meeneemt naar een nieuwe werkgever.

Uit het onderzoek blijkt dat bijna een derde van de werknemers (29 procent) ervan overtuigd is dat zij het recht hebben om data te bezitten van een bedrijf waar ze hebben gewerkt, en 60 procent is niet van mening dat de organisatie het exclusieve bezitsrecht heeft op deze data. Vooral jongeren zien data als gemeengoed: in de leeftijdscategorie 16-24 jaar gaf 33 procent aan dat organisaties bedrijfsdata exclusief bezitten, tegenover 51 procent van de respondenten van 65 jaar en ouder.

Bewustzijn en voorlichting zijn favoriet wanneer het gaat om de aanpak van niet-kwaadaardige lekken binnen de organisatie. Een stevige fundering van bewustzijn rondom cybersecurity kan vervelende situaties als gevolg van nalatigheid voorkomen. Werknemers kunnen eveneens worden bijgespijkerd in het onderwerp databezit, bijvoorbeeld in welke data in bezit van het bedrijf blijft wanneer een werknemer vertrekt. Een dergelijke voorlichting is met name van belang voor de nieuwe generaties van ‘social savvy’ werknemers, die in hun privéleven makkelijker omgaan met het delen van persoonlijke gegevens.

Maar met voorlichting alleen gaan organisaties het niet redden, fouten maken blijft immers menselijk.

Technologie kan helpen

Respondenten in het onderzoek die aangaven verantwoordelijk te zijn voor een datalek is ook gevraagd wat hiervan de oorzaak was. De meest genoemde redenen: fouten door snelheid (48 procent), werken onder hoge druk (30 procent) en vermoeidheid (29 procent). De meest genoemde redenen voor bewuste datalekken: het niet beschikken over de juiste tools om data veilig te delen (55 procent) en het meenemen van data naar een nieuwe baan (23 procent).

Dit inzicht helpt ons te begrijpen welke rol technologie speelt in het voorkomen van datalekken. Nieuwe machine learning- en graph database-technologieën maken het mogelijk om het moment te identificeren waarop de kans groter wordt dat werknemers de fout ingaan, per ongeluk of expres. Zo kunnen gebruikers en toezichthouders snel worden gewaarschuwd dat er een lek zou kunnen ontstaan, en kan dit zelfs voorkomen worden.

De inzet van deze technologie verkleint niet alleen de kans op een lek, maar ook de mogelijke impact ervan. Uit het eerder aangehaalde onderzoek ‘The Cost of a Data Breach’ blijkt dat beveiligingstechnologieën zoals encryptie en data loss prevention software zorgen voor lagere schadeposten bij een datalek. Encryptie heeft de grootste impact, met een schadevermindering van gemiddeld 360.000 dollar. Automatisering van security, waarbij technologieën zoals machine learning en analytics worden ingezet, leidt tot een afname van gemiddeld 2,5 miljoen dollar per datalek.

Geen nieuwe millenniumbug

Iemand die dagelijks bezig is met cybersecurity kan de AVG-wetgeving en de gevolgen niet negeren. Maar hoe verder mensen afstaan van een ciso en zijn securityteam, hoe lager het bewustzijn is voor de wetgeving. Het probleem is echter dat de AVG daar geen rekening mee houdt: de wet geldt voor iedereen, en over een goede bescherming van data valt niet te onderhandelen.

Zoals blijkt uit onderzoek, is er geen wondermiddel beschikbaar waarmee datalekken definitief gestopt kunnen worden. Dat geldt zeker voor lekken die worden veroorzaakt door werknemers, in al hun complexiteit. Maar de AVG heeft het afgelopen jaar bewezen dat datalekken niet de nieuwe millenniumbug zijn – ciso’s moeten werknemers blijven voorlichten en voorzien van het juiste gereedschap waarmee non-compliance wordt voorkomen. Om dit te bereiken, moeten ciso’s de problemen aanpakken die werknemers ervaren bij het delen van data. Wanneer ciso’s er niet 100 procent op kunnen vertrouwen dat personeel de juiste beslissingen neemt, moeten ze kijken naar welke technologieën die beslissing het best in hun plaats kan nemen.

Axel van Drongelen, general manager Benelux Egress Software

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    Design Sprints: 4 dagen van idee naar prototype

    Hoe zet je in vier dagen tijd een gevalideerd prototype neer met Design Sprints?

    Computable.nl

    Dit is de weg naar informatietransformatie

    In een wereld waar data en informatie centraal staan, moeten organisaties zich aanpassen aan de digitale toekomst. Informatietransformatie is de sleutel tot het versterken van beveiliging en het bevorderen van efficiëntie.

    Meer lezen

    ActueelInnovatie & Transformatie

    Rijksoverheid komt met eigen AVG-site

    20 reacties op “AVG en het probleem van databezit”

    Nieuwere reacties »
    1. Stef Joosten schreef:
      22 november 2019 om 07:55

      Een club die de gegevenshuishouding goed op orde heeft kan vrij gemakkelijk voldoen aan de eisen die de AVG stelt. Maar wat als je gegevenshuishouding te wensen overlaat?

      Hoe ga je bijvoorbeeld het recht op vergetelheid realiseren als je bijvoorbeeld niet precies weet in welke systemen persoonsgegevens van welke personen zitten? Hoe weet je wat een datalek is als je geen overzicht kunt krijgen van welke gebruikers(-groepen) bij welke gegevens kunnen? En hoe ga je dat inregelen als je IT-medewerkers geen overzicht hebben?

      AVG-compliance begint dus heel gewoon bij datahygiene. En hoe weet je hoe het daarmee is gesteld? En heb je de kennis daarover beschikbaar?

      Login om te reageren
    2. Pa Va Ke schreef:
      22 november 2019 om 08:59

      @Stef … en wat als je niet eens IT medewerkerks hebt, maar een vereniging of stichting hebt die volledig draait op vrijwilligers …..
      (gelukkig scheelt het dat de meeste verenigingen/stichtingen geen “gevoelige” informatie nodig hebben om hun organisatie draaiende te houden)

      Login om te reageren
    3. Frank Heikens schreef:
      22 november 2019 om 10:59

      @PaVaKe
      De meeste verenigingen hebben ledenlijsten. Daar staan gegevens op die AVG gevoelig zijn, zoals naam, contactgegevens, geboortedatum, rekeningnummer, betalingshistorie, …

      Login om te reageren
    4. Pa Va Ke schreef:
      22 november 2019 om 12:41

      @Frank: stukje tekst van de site van de autoriteit persoonsgegevens ter verduidelijking van wat ik bedoelde:

      Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

      Login om te reageren
    5. Frank Heikens schreef:
      22 november 2019 om 15:36

      @PaVaKe
      Duidelijk!
      De gemiddelde vereniging heeft deze info niet nodig, en heeft deze dan ook niet (als het goed is). Tenzij je de administratie van de Protestants-christelijke kettingrokersvereniging in handen hebt, dan is de kans groot dat de leden een christelijke achtergrond plus long- en hartklachten hebben.
      Tot voor kort was het heel normaal dat je “gewone” persoonsgegevens van clubleden gewoon via de mail kreeg. Ik ben benieuwd wat nu de status van de gegevensbeveiliging is…

      Login om te reageren
    6. Pa Va Ke schreef:
      22 november 2019 om 16:08

      @Frank: om je een idee te geven wat we bij de vereniging waar ik lid ben gedaan hebben:
      – in plaats van email adressen aan trainers / coaches te geven hebben we voor ieder team een mail-alias aangemaakt waarnaar gemaild kan worden, via onze server wordt het dan doorgestuurd naar de leden en/of hun ouders
      – als vereniging geven we geen telefoonnummers meer uit; we laten de teams (indien daar behoefte aan is) zelf whatsapp groepen aanmaken

      Login om te reageren
    7. Henri Koppen schreef:
      23 november 2019 om 09:25

      PaVaKe: Deze lijn van gedachten en voorbeelden zijn precies wat mensen nodig hebben. Gewoon simpele praktische informatie die helpt om makkelijker aan de wetgeving te voldoen. Natuurlijk is het geheel wat complexer, maar het is een goed begin. Pas als het makkelijk behapbaar is ontstaan de kans dat er een gedragsverandering optreedt.

      Login om te reageren
    8. Jan van Leeuwen schreef:
      23 november 2019 om 12:24

      PaVaKe, waarom in hemelnaam whatsapp, een deel van Facebook en amerikaans.
      Er zijn toch altenativen zoals signal.

      Login om te reageren
    9. Pa Va Ke schreef:
      24 november 2019 om 00:00

      @Jan van Leeuwen … ’t is wat ze zelf willen gebruiken. Whatsapp is onder de jeugd nog steeds populair, dus dat gebruiken ze. We verplichten ze tot niets. Als ze liever postduiven gebruiken mag dat ook bij wijze van spreken

      Login om te reageren
    10. Pa Va Ke schreef:
      24 november 2019 om 00:14

      Beste Ano Niem, alias Ewout Dekkinga, Principal Architect bij Fuijitsu …. als je onze vereniging en de Nevobo niet kent, is het misschien beter te zwijgen in plaats van dit soort onzin te verkopen.
      Bij het volleybal mag je na een rode kaart gewoon weer de volgende wedstrijd mee spelen namelijk; in het ergste geval moet er een boete betaald worden en dat wordt in dat geval netjes als “boete” geadministreerd in onze boekhouding, zonder vermelding van de persoon.

      Ik weet niet wat je wil bereiken met dit soort reacties, maar het effect is wat mij betreft averechts

      Login om te reageren
    Nieuwere reacties »

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs