2min

Nederlanders gaan opvallend vaak de mist in bij het herkennen van een datalek. Dat blijkt uit de datalekcheck van Previder, waarin deelnemers gemiddeld 62,3 procent van de vragen goed beantwoordden. Previder noemt dit opmerkelijk aangezien bedrijven verplicht zijn datalekken intern te registreren en in bepaalde gevallen te melden bij de Autoriteit Persoonsgegevens.

Het onderzoek vond plaats in aanloop naar de General Data Protection Regulation (GDPR). Deelnemers konden hun kennis van de meldplicht datalekken testen op basis van tien scenario’s waarbij data verloren gaan. Zo’n 500 deelnemers vulden de enquête in. Op drie vragen werd ruim onder het gemiddelde gescoord.

Veelvoorkomend scenario

Zo beantwoordde 47,1 procent van de deelnemers de volgende vraag juist: “Op de ledenbijeenkomst van een politieke partij ligt de ledenlijst in de ontvangstruimte. Op deze lijst dienen mensen te tekenen voor hun aanwezigheid. Ze moeten hun naam, adres en e-mailadres opgeven. Is hier sprake van een datalek?”

Dit scenario komt vaker voor, onder meer middels intekenlijsten bij recepties, bijeenkomsten en events. Strikt genomen gaat het hier om een datalek, aangezien er persoonsgegevens openbaar worden gemaakt aan iedereen die de lijst onder ogen krijgt.

Nog vaker fout

Ook legde Previder een situatie voor waarin een dierenasiel getroffen is door een alles verwoestende brand. Hoewel de dieren gered zijn, gingen alle gegevens wel verloren. Er is geen complete en actuele back-up van die data. Slechts 32,9 procent wist dat het hier om een datalek gaat. Dit komt vooral door de manier waarop de respondenten de term datalek interpreteren. Als er sprake is van gegevensverlies en die gegevens niet in verkeerde handen vallen, is er namelijk ook sprake van een datalek.

Er was echter een scenario waar slechts 26,5 procent juist op antwoordde. Die vraag zag er als volgt uit: “De directeur van een grote, landelijke loterij heeft een usb-stick verloren. Op deze usb-stick stond een kopie met alle adresgegevens van de deelnemers aan de loterij. De usb-stick was wel voorzien van encryptie. Is hier sprake van een datalek dat bij de Autoriteit Persoonsgegevens gemeld moet worden?”

Het merendeel dacht dus dat dit datalek gemeld moet worden, terwijl dit niet per definitie het geval is. Jeroen Renard, Data Protection Officer van Odin Groep, legt uit dat als de verloren data op de usb-stick versleuteld zijn, dit datalek niet gemeld hoeft te worden. In dat geval kan namelijk onrechtmatige verwerking uitgesloten worden. Er zijn wel bepaalde eisen voor de encryptie en de gegevens moeten nadrukkelijk kopieën zijn. Indien dit goed geregeld en gedocumenteerd is, dan is er geen datalek.