Hoe verder na een pijnlijk datalek: 'Niet leuk om mee bezig te zijn'
In maart 2024 was er ook al een datalek bij Fontys. Medewerkers hadden toen documenten organisatiebreed gedeeld, terwijl deze eigenlijk privé waren. Het ging om een instelling in OneDrive, de digitale werkomgeving van Microsoft. Bij het lek van donderdag speelt een soortgelijk probleem.
Tom Compaijen adviseert bedrijven na grote incidenten zoals een datalek. Hij noemt het lek bij Fontys ‘heel pijnlijk’, vooral omdat het al de tweede keer is. “Als zoiets gebeurt moet je eigenlijk een heel grondige check doen, om te zorgen dat alle instellingen nu wel goed staan en het niet nog een keer gebeurt.”
Dat er bij dit lek ook medische gegevens, bijvoorbeeld over de mentale gezondheid van studenten, is gedeeld, maakt het extra pijnlijk. “Medische gegevens zijn de zwaarst beveiligde persoonsgegevens. Waarom sla je dat op OneDrive op? Dat moet je helemaal niet willen.” Compaijen adviseert een aparte map op een andere locatie, die strikt vertrouwelijk is. “Voor dit soort gegevens moet je echt apart beleid hebben.”
"Voor veel mensen is het geen leuk onderwerp om zich in te verdiepen.”
Het datalek bij Fontys zal niet het laatste lek bij een grote organisatie zijn. Het roept de vraag op: is dit probleem wel oplosbaar? Compaijen heeft zijn twijfels. “Je kan alles heel goed doen en dan kan het alsnog misgaan. Nu staan de instellingen bij Fontys goed, straks heeft iemand een dom wachtwoord dat je zo kan raden. En daarna laat iemand een usb-stick slingeren.”
“Wij zeggen altijd: we bereiden ons voor op de vorige oorlog”, vat Compaijen het samen. Daarmee wil hij zeggen dat je nadenkt over wat er is gebeurd en je daar op voorbereid. “Het draait om bewustzijn. Vroeger moest je op kantoor om kunnen gaan met Word en Excel, dat was al heel wat. Tegenwoordig moet je weten wat AI is, en je bewust zijn van cybersecurity. Voor veel mensen is het geen leuk onderwerp om zich in te verdiepen.”
“De communicatie is heel verdedigend, de nadruk ligt op het proces."
De deskundige wil ook nog wat kwijt over de communicatie van de hogeschool. De kop boven een nieuwsbericht op Fontys.nl luidt ‘Fontys past Teams-instellingen aan na melding van datalek’. Compaijen: “De communicatie is heel verdedigend, de nadruk ligt op het proces, wat Fontys heeft gedaan. Maar wat studenten kunnen doen als zij zich zorgen maken, staat pas in de laatste zin.” Hij stelt een andere kop voor: ‘Datalek bij Fontys: wat er misging, wie geraakt is en wat we nu doen’.
Zowel Fontys als de Autoriteit Persoonsgegevens (AP) heeft een onderzoek ingesteld naar het lek. De AP kan daar nu nog niks over zeggen. Compaijen rekent erop dat de zaak serieus opgepakt wordt. “Ik zou een gespecialiseerd bedrijf inhuren dat alles gaat doorlichten. Dit mag absoluut niet nog een keer gebeuren.”
Wat kan de Autoriteit Persoonsgegevens doen na een datalek?
De AP kan sancties opleggen als een organisatie de privacywetgeving overtreedt. De belangrijkste sancties zijn:
- Een boete van maximaal 20 miljoen euro
- Een last onder dwangsom, een boete die betaald moet worden als het probleem niet snel opgelost is
- Een verwerkingsverbod, een organisatie mag dan geen persoonsgegevens meer verzamelen of bewaren
- Een berisping, dit is een soort waarschuwing die verschijnt in een centraal register dat iedereen in kan zien
- Een waarschuwing, deze kan de AP geven als een organisatie iets van plan is te gaan doen, maar nog niet heeft gedaan (bijvoorbeeld gevoelige informatie verzamelen)