In juli 2015 werd de hack bekend van een Canadees bedrijf, die een datingwebsite beheerde met het motto life is short – have an affair. Resultaten: de privégegevens van wereldwijd 37 miljoen vreemdgaande leden lagen op straat, een aantal zelfmoorden en vul de rest maar in.
Brenno de Winter, vermaard en bij sommigen berucht ICT-onderzoeksjournalist, spreekt in het voorwoord over de kans om gehackt te worden: ‘… Want het is niet de vraag óf dat u overkomt, maar of u het doorheeft als het gebeurt en hoe u daar op reageert.’ Met andere woorden, het datalekrisico is een actueel blijvertje, waarvan eigenlijk alleen tijdstip en impact onzeker zijn.
Omgaan met deze inconvenient truth wordt een stuk hanteerbaarder door lezing van het boek met de tastbare titel Grip op datalekken: Handreiking voor het beheersen van datalekrisico’s. Het is geschreven door Joris Hutter, Sergej Katus, Jeroen Terstegge en Koen Versmissen, een viertal door de wol geverfde ‘dataloodgieters’ dat juridische kennis met ICT-beveiliging combineert.
Het boek is een zeer praktische en volledige handreiking. Het richt zich op medewerkers en managers, vooral van de middelgrote en wat kleinere organisaties, die de opdracht ‘doe wat aan die datalekken!’ op hun bordje krijgen. De Autoriteit Persoonsgegevens kan boetes opleggen van 120.000 tot 500.000 euro, let wel, per overtreding. Mocht dat niet toereikend zijn, dan kan dat oplopen tot 10 % van de jaaromzet van de betreffende rechtspersoon. Laks omgaan met de aangescherpte Wet bescherming persoonsgegevens (Bpg), door (het vermoeden van) datalekken van persoonsgegevens niet of niet tijdig te melden, kan dus alleen al heel veel geld kosten. Dit los van de reputatieschade van gedupeerden en organisatie.
Genoeg bangmakerij, wat kunnen we eraan doen? Daarvoor biedt het boek vier hoofdstukken: Help een datalek (crisismanagement voor als het aan het licht is gekomen), Datalekaanpak (risicobeheersing om de crisis te voorkomen), Rondom datalekken (over het organiseren van datalekbestendigheid) en Aan de slag (dat spreekt voor zich, met een concrete aanpak van één dag). Een handig schema navigeert je eenvoudig door het boek. Sterke cartoons houden je bij de les. Zoals vaak in organisaties, ook het effectief kunnen omgaan met datalekken blijkt vooral een kwestie van bewustzijn en het willen organiseren.
De auteurs geven nadrukkelijk aan dat effectief omgaan met het datalekrisico opgepakt en ingebed moet worden in de al bestaande werkprocessen. Zoals binnen de bestaande ICT- en informatiebeveiligingsprocessen, en ook binnen bijvoorbeeld compliance en risicomanagement. Misschien weer niet zo spannend, maar o zo relevant voor effectief omgaan met het datalekrisico: de open cultuur. Een organisatiecultuur dus, die het gelijk melden dat de USB-stick in de trein is blijven liggen aanmoedigt, in plaats van ontmoedigt. Het goede nieuws is dat een dergelijke cultuur óók werkt voor omgaan met allerhande andersoortige risico’s waar hedendaagse organisaties mee moeten zien te dealen.
Samenvattend, Grip op datalekken is een sterk boek, dat veel hulp gaat bieden aan iedereen die daarvoor onder de lat moet staan. Het is ook een realistisch boek, omdat het zowel de preventieve als correctieve kant van lekkende persoonsgegevens behandelt. Immers, het is niet de vraag óf dat datalek optreedt, maar of je dat snel doorhebt, en dan gelijk weet wat te doen. Die meldingsplicht is er immers niet alleen voor de wet, maar vooral voor de gedupeerden – dat kunnen er heel veel zijn – en dus voor de reputatie van je eigen organisatie.
Dr. ir. Martin van Staveren MBA is gepromoveerd op het implementeren van risicomanagement in organisaties. Vanuit zijn adviesbureau VSRM adviseert hij publieke, private en projectorganisaties over effectiever omgaan met onzekerheid. In 2015 verscheen Van Staverens eerste managementboek over de omgang met risico's: Risicogestuurd werken in de praktijk.
Over Martin van Staveren
Martin van Staveren is adviseur, auteur, docent en spreker. Hij ontwikkelde het gedachtegoed voor risicoleiderschap. Met zijn bureau VSRM helpt hij organisaties doelgericht om te gaan met risico’s én kansen in complexe situaties. Eerder schreef hij onder andere Risicogestuurd werken (2015), Risicoleiderschap (2018) en Iedereen Risicoleider (2020).