Data-incidenten en de mogelijke gevolgen, deel 1

Recentelijk was er een nogal opvallend datalek in het nieuws. Via een sportapp deelden gebruikers over de hele wereld de locaties waar zij hardliepen, fietsten of wandelden. De verzamelde data werd getoond op een wereldkaart. Niets raars aan, zult u misschien denken. Totdat routes op zeer afgelegen plekken op de wereld tevoorschijn kwamen.

Het bleek te gaan om soldaten die hardliepen op afgelegen, in sommige gevallen zelfs geheime bases, die opeens niet meer geheim waren. Nederlandse soldaten die, bijvoorbeeld, hardliepen in Mali en Jordanië. Omdat de sporters ook nog eens zelf informatie beschikbaar maakten op de website van deze sportapp, konden andere gebruikers de namen traceren van degenen die een bepaalde route hadden gelopen. De sporters lieten vervolgens ook graag weten wanneer zij op welke route hun beste tijd hadden neergezet. Met deze combinatie van gegevens was het niet moeilijk om de naam van een militair te koppelen aan een specifieke locatie.

Het leger houdt de namen van bij een missie betrokken militairen, voor hun veiligheid, vaak geheim. Maar omdat ook kwaadwillenden de informatie uit deze sportapp kunnen bemachtigen, kan er een onveilige situatie ontstaan voor het personeel van een basis en kan een missie mogelijk mislukken, maar zelfs het thuisfront bedreigd worden.

Wat gaat hier mis? De sporter zal bij het installeren van de app de voorwaarden van de app-eigenaar hebben geaccepteerd en er zo, waarschijnlijk, mee hebben ingestemd dat de app-eigenaar toegang heeft tot locatiedata en deze informatie ook geanonimiseerd mag verwerken in een overzichtskaart. Een vraag die dan gauw gesteld is, is of de app-eigenaar hier handelt in strijd met bepaalde privacyregels en of hier sprake is van een datalek.

Daar valt veel over te zeggen, maar in dit blog kijk ik naar het andere aspect: de sporter die zelf informatie deelt, informatie die de leiding van het defensieonderdeel juist geheim hadden willen houden.

De legerleiding was niet betrokken bij het delen van de informatie waardoor de geheime locatie van de basis en de identiteit van bepaalde personen bekend werd. Toch had men kunnen, misschien moeten, voorzien dat het gebruik van de sportapp daartoe zou leiden. De sportapp wordt namelijk vooral gebruikt als een platform om eigen informatie over sportieve prestaties te delen en om eigen prestaties met die van anderen te meten. Dat gegevens werden gedeeld, wisten de sporters wel - en de leiding van de bases waarschijnlijk ook. Maar zowel de leiding als de sporters waren zich onvoldoende bewust van het gevolg: gevoelige informatie die onbedoeld en ongewenst bij vreemden bekend werd. Sterker, het toont de naïviteit aan waarmee de meeste mensen ICT nog steeds benaderen, ook leidinggevenden die inmiddels, na al die duizenden incidenten van de afgelopen jaren, beter zouden moeten weten.

En binnen bedrijven?

Deze situatie doet zich niet alleen voor op afgelegen militaire bases. Ook op een werkvloer in Nederland kan men onvoldoende bewust zijn over het eigen handelen en de manier waarop met vertrouwelijke gegevens wordt omgegaan. Ook op uw werkvloer kan dat gebrek aan bewustzijn ongewenste gevolgen hebben. De consequenties daarvan kunnen tot een financiële of economische equivalent leiden van het verlies aan veiligheid bij Defensie.

Het is vandaag de dag heel gemakkelijk om gegevens te achterhalen via apps op smartphones, zelfs door derde partijen, waar u geen enkele, directe relatie mee hebt, die via een app data ontvangen, verwerken en verkopen. Ook op andere manieren, zoals via phishing e-mails en gemakzuchtig wachtwoordgebruik, kunnen gegevens bekend worden waarvan u beslist niet wilt dat iemand daar zomaar toegang toe heeft. Als dat gegevens van uw klanten zijn, kan er wel degelijk sprake zijn van een datalek.

Dat is iets dat u zich als ondernemer dient te realiseren als het gaat om het (online) gedrag van uw personeel. Ook in uw bedrijf kan zich een incident voordoen dat voorkomen had kunnen worden als uw personeel zich voldoende bewust was geweest van het eigen gedrag en de mogelijke consequenties daarvan voor de veiligheid van uw digitale omgeving en het veilige gebruik van uw vertrouwelijke gegevens.

Stel, u vraagt zich af of in uw onderneming men zich voldoende bewust is van de impact van het eigen handelen op de digitale veiligheid. Weet u welke stappen u moet ondernemen om te voorkomen dat zich in uw bedrijf een situatie als met de sportapp voordoet? Het is verstandig om daar in uw organisatie met uw personeel naar te kijken en nodige veranderingen door te voeren. Onze experts kunnen u helpen om de blinde vlekken in dat bewustzijn duidelijk te maken, over veranderingen te adviseren en bij de uitvoering te begeleiden.

Onze volgende blogpost over dit onderwerp gaat in op de situatie als zich wel een datalek voordoet en zal ingaan op de veranderingen die de Algemene Verordening Gegevensbescherming daarin met zich meebrengt.