Privacy en informatiebeveiliging krijgen de laatste jaren steeds meer aandacht en bepalen het nieuws. Het bericht dat de NSA veel van onze data kan inzien sloeg in als een bom. Mensen publiceren (onbedoeld) meer en meer gegevens over zichzelf op social media zoals Facebook, Twitter, Instagram en webpagina’s. Januari 2016 is nieuwe wetgeving op dit gebied in werking getreden, die burgers een betere bescherming moet bieden. Waar in het verleden handhaving nauwelijks plaatsvond en boetes verwaarloosbaar waren, zijn de consequenties van overtreding van deze nieuwe wetgeving groter. Een maximale boete van 8% van de jaaromzet van een organisatie is wel substantieel te noemen.
Grip op datalekken, handreiking voor het beheersen van datalekrisico’s geeft een handvat hoe om te gaan met de nieuwe wetgeving. Het is makkelijk leesbaar geschreven door de auteurs Hutter, Katus, Terstegge en Versmissen. Zeker nu enkele ziekenhuizen recent (januari 2016) in het nieuws gekomen zijn met een datalek zal de aandacht voor datalekken vergroten.
Het boek heeft een zodanige opbouw dat eerst wordt uitgelegd wat datalekken zijn, zowel de opzettelijke als de onopzettelijke datalekken. Wat mij hierin opviel is dat je ook interne datalekken kunt hebben. Daarnaast gaat het erom dat er niet daadwerkelijk iets mis moet zijn, maar de mogelijkheid dat er gegevens ongeautoriseerd verspreid kunnen worden is al voldoende…
Vervolgens worden een aantal hoofdstukken besteed aan de werkwijze in geval van een datalek, van het in actie komen, via bestrijden, impact bepalen en meldaanpak en herstelaanpak bepalen tot daadwerkelijke melding en herstel. Hierbij wordt een procesmodel beschreven, waar steeds een stuk van het proces wordt uitgewerkt. Dit geeft mooie handvatten, maar geeft ook perspectief. Belangrijk hierbij is de rol van het datalekteam op, waarin de data protection officer, proceseigenaren en information security officer zijn vertegenwoordigd. Dit datalekteam heeft een centrale rol ingeval van een (mogelijk) datalek.
Daarna wordt in een hoofdstuk de datalekaanpak beschreven, met name hoe je kunt vermijden en voorkomen. De rollenverdeling en risicobeheersing wordt in het hoofdstuk daarna uitgediept, waarna wordt besloten met een stappenplan voor acties op korte termijn en een systematische route voor het ontwikkelen van een aanpak. Ook dit geeft weer mooie handvatten, waarbij de aanpak in één dag voor veel organisaties interessant zal zijn om in heel korte tijd een aanpak te hebben om met een datalek om te gaan.
Het boek is zoals eerder aangegeven makkelijk leesbaar geschreven en bevat veel voorbeelden. Jammer is dat in de tekst om de voorbeelden heen, geen uitleg of toelichting van de voorbeelden wordt gegeven. Het plaatsen in de context had mijns inziens toegevoegde waarde gehad. Toch biedt het boek goede handvatten voor organisaties die meer aandacht willen geven aan het voorkomen en herstellen van datalekken.
Jan Hoogstra is zelfstandige, IT-consultant. Hij voert opdrachten uit op het gebied van beoordeling en advisering over IT-gerelateerde onderwerpen in de zorgbranche. Zo is hij programmamanager, projectmanager en adviseur op het gebied van bijvoorbeeld IT-strategie en pakketselecties.
Over Jan Hoogstra
Jan Hoogstra heeft meer dan 25 jaar ervaring als IT-adviseur en IT-auditor bij grote accountants- en adviesbureaus. Tijdens zijn loopbaan heeft hij veel opdrachten gedaan op het gebied van informatiebeveiliging en optimalisering van de inzet van IT. Jan is directeur bij CognoSense, dat gespecialiseerd is in de menselijke kant van IT.