KRO-NCRV hebben een onderzoek gedaan naar hoe het gesteld is met de mate van bewustzijn bij gemeentelijke organisaties. Hiervoor zijn gegevens uit 61 gemeenten bij elkaar gebracht. Het gaat dan over de gevolgen van hacks, het kwijtraken van een usb-stick, papieren dossiers die kwijt zijn, enzovoort.

Bijzonder is dat mensen binnen de organisaties in veel gevallen niet het besef hebben dat zij te maken hebben met een datalek. Het bewustzijn ontbreekt nog. Maar er zijn grote verschillen tussen gemeenten. Er zijn ook gemeenten die complete crisisplannen kant en klaar beschikbaar hebben en volkomen voorbereid zijn. Maar er is nog een lange weg te gaan om iedereen op dit niveau te krijgen.

We kunnen aannemen dat veel van de optredende datalekken niet gemeld worden. Van de datalekken die wel gemeld worden, wordt slechts in 18% van de gevallen de betrokkene op de hoogte gesteld. Terwijl dit in de wet duidelijk gesteld is dat de betrokkene op de hoogte moet worden gesteld als deze kans loopt op schade vanwege bijvoorbeeld identiteitsmisbruik.

Een aantal gemeenten zijn opvallend in het nieuws geweest, denk aan Amersfoort waar 50 datalekken gemeld zijn. Daar werd onder anderen persoonlijke informatie van minstens 1.800 zorgcliënten naar een verkeerd email adres verstuurd. In eerste instantie werd dit lek niet aan de gemeenteraad gemeld.

In de meeste gevallen blijkt menselijk handelen de bron te zijn voor een datalek. Slechts in 15% van de gevallen is er computercriminaliteit in het spel. Hacking en ransomware blijken dan gewilde gereedschappen te zijn voor deze criminelen.

Om te zorgen dat de kans op datalekken afneemt, moet duidelijk zijn wat gevoelig is en beschermd moet worden. Als dat klip en klaar is, dan kan gekeken worden welke maatregelen reeds genomen zijn en welk risico er nog over is. Dan kan worden bepaald welke aanvullende maatregelen nog genomen zouden moeten worden. Deze maatregelen kunnen op diverse vlakken liggen. Denk hierbij aan de gebieden zoals menselijk gedrag, Technologie en bedrijfsprocessen. Daarnaast zijn trainigen, procedures en werkinstructies, fysieke beveiliging, computerbeveiliging, alarmopvolging (voor gebouw en computersystemen) mogelijke middelen om in te zetten.

Kortom een enorm pallet aan mogelijkheden. Maar het begint bij bewustzijn bij de gemeente zelf.