Print:

‘Het lerend effect van een datalek of beveiligingsincident is erg belangrijk’

Mauriche Kroos , Manager Information Security & Data Protection Team

LinkedIn profiel

Datalekken en security incidenten zijn aan de orde van de dag en nemen steeds meer toe. Van organisaties vraagt dit continue alertheid en optimale beveiligingsmaatregelen. Mauriche Kroos, Manager Privacy & Security bij Enexis Groep vertelt over zijn specialisme en hoe Enexis omgaat met datalekken, beveiligingsincidenten en haar security governance.

Beoordeling van datalek versus beveiligingsincident
‘Een datalek kun je vanuit verschillende perspectieven bekijken. Vanuit het juridisch perspectief, bijvoorbeeld wanneer is iets wel en wanneer is iets geen datalek? Of vanuit het perspectief dat meer in de volksmond gebruikt wordt. Dan gaat het om zaken als een verloren informatiedrager met klantgegevens of iets soortgelijks. Het gaat hoe dan ook om de perceptie, maar voor beiden geldt dat de drempel om te melden vrij laag ligt. In het algemeen kun je stellen dat, gemiddeld bezien, van de 100 incidentmeldingen er misschien 10 een datalek zijn en er slechts 1 gemeld moet worden bij de Autoriteit Persoonsgegevens (AP)’, vertelt Mauriche Kroos. ‘Verder geldt dat het registreren van een datalek (en beoordelingen daarvan) óók verplicht is. Terwijl dat bij een beveiligingsincident niet (altijd) zo is, maar uiteraard wel sterk aan te raden is. Dat registreren doe je óók vooral voor jezelf om ervan te leren. Bij een datalek wil je uiteraard óók leren van hetgeen er gebeurd is, maar registreer je wel degelijk omdat het wettelijk verplicht is. “Beveiligingsincident” bij Enexis Groep is de generieke term, maar daarmee kan van alles bedoeld worden. Denk aan termen als cybersecurity, Operational Technology security of ICT-security incidenten. En die beveiligingsincidenten kunnen op hun beurt ook weer datalekken zijn. Dat is eigenlijk vooral de praktische kant van waaruit de informatiebeveiliger kijkt. Het is, dat lees je wel, al met al een ingewikkelde zaak, juist ook vanwege de complexe juridische materie die er achter zit.’

Transparantie is key
‘Achter het wel of niet melden zit een duidelijk proces. Binnen onze organisatie werken we vanuit een apart proces daarvoor. Zo is het melden aan de toezichthouder (AP) bijvoorbeeld laagdrempeliger dan dat je een datalek gaat melden aan de betrokkenen. Dat laatste hoeft alleen als er sprake is van een hoog risico voor betrokkenen en kan soms ook onmogelijk zijn. Wat dat betreft werken we vanuit onze organisatie heel transparant. Wij melden bij de betrokkenen als het echt om een serieuze zaak gaat, bijvoorbeeld wanneer er een risico is op identiteitsfraude of iets soortgelijks. Ik vind het belangrijk dat we daar volledig open kaart in spelen en dat doen we dan dus ook. We maken continu een afwegingen en toetsen regelmatig ook nog eens extern. Daarmee beogen we ook een tunnelvisie te voorkomen’, vervolgt Mauriche. ‘Zo overleggen we regelmatig met andere experts van binnen als buiten Enexis maar ook van buiten de energiesector. Uiteindelijk ben ik degene die als Functionaris Gegevensbescherming (FG) het definitieve advies geeft om te melden, maar ik stem altijd intern af op de inhoud en om de implicaties helder te maken aan de betrokken afdelingen binnen Enexis. Dit is ook goed voor het draagvlak en de “leerstand” binnen de organisatie.’

Het belang van het lerend effect
‘Het lerend effect van het melden van een datalek vinden we erg belangrijk. Wanneer er vanuit bepaalde afdelingen signalen naar voorkomen dat er meerdere malen een ongeregeldheid veroorzaakt is dan gaan we uiteraard niet alleen nadenken over melding, maar ook concreet het gesprek hierover aan. Het transparant in verbinding blijven met de toezichthouder en betrokkene(n) is hierbij uiterst belangrijk. Concreet: wanneer een collega bijvoorbeeld een onversleutelde usb-stick met persoonsgegevens gebruikt en vervolgens verliest, dan is dat uiteraard absoluut niet oké. Gelukkig is dat in de praktijk nooit voorgekomen, maar ik zou absoluut de interne dialoog aangaan en er met elkaar van leren. Pas dan krijgt een incident de gewenste toegevoegde waarde waarmee het wordt voorkomen in de toekomst. Dit verhaal staat overigens los van of je wel of niet moet melden, want het woord datalek heeft in de markt (en dus ook binnen onze organisatie) een soort magisch effect. Iedereen wordt er gelijk zenuwachtig van binnen onze organisatie, je wilt immers geen datalek veroorzaken.’

Aandacht voor de bedrijfscultuur
‘De bedrijfscultuur is rondom dit thema overigens heel belangrijk. Dat is ook echt een fundament en we besteden vanuit die gedachte ook veel aandacht aan sociale veiligheid. Daar hebben we aparte (integriteits- en cultuur)programma’s voor, zodat mensen dingen bespreekbaar durven te maken ook als dit gevolgen voor ze heeft’, aldus Mauriche. ‘Ik heb liever dat iemand iets wel meldt en ervan leert dan dat iemand zijn mond houdt omdat hij bang is om de gemaakte fout te melden. We spreken elkaar binnen Enexis aan op gedrag met als doel om samen te groeien. Die cultuur van laagdrempeligheid vind ik essentieel. Zo kun je om een datalek te melden binnen onze organisatie bijvoorbeeld een specifiek telefoonnummer bellen, maar het kan ook anoniem. Gelukkig is het aantal anonieme meldingen op één hand te tellen. Verder is er ook nog een aparte mailbox voor de FG die wettelijk is afgeschermd. De mails die daarheen verzonden worden, komen één op één bij mij terecht, en worden vertrouwelijk behandeld.’

Eeuwige discussie
‘Wanneer je het hebt over gegevensbescherming en dan concreet wanneer je wel of niet moet melden dan is dit een eeuwig terugkerend dilemma. Ook voor de meest ervaren security- en privacy professionals. Dat komt omdat de wet- en regelgeving op dat vlak niet heel scherp of écht duidelijk is. Zo lezen we teksten als ’alleen informeren als het datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert’. En daar zit meteen de twijfel, want wat is dat dan precies? Elke organisatie kan daar anders mee omgaan’, vertelt Mauriche. ‘Wij kijken ook naar het lerend effect. En om te kunnen leren heb je informatie nodig. Maar als niemand meldt, krijg je deze informatie weer niet. Het is een vicieuze cirkel. Vandaar dat wij dit belang van melden zo ingebed hebben in onze cultuur waarbij er veel aandacht is voor sociale veiligheid en dus meldingsbereidheid.’

‘Behalve de methodiek om te leren, is het ook van belang dat je bij grotere datalekken kwalitatief goede methodische analyses maakt, compleet met tijdslijnen en een managementsamenvatting die je vervolgens kunt bespreken met de directie en managers. Dat gaat niet over juridisch leren, maar over het onderzoeken van welke preventieve, detectieve of andere typen maatregelen er over het hoofd gezien zijn of verbeterd kunnen worden. En dat is, maar dat lijkt me logisch, in aanvulling stukken zinvoller dan alleen registreren en melden.’

Proactieve aanpak noodzakelijk
‘Je kunt veel met het beleid doen, maar daarmee alleen kom je er zeker niet. Je moet echt een proactieve aanpak hanteren bijvoorbeeld op het gebied van monitoring en awareness. Het beleid is richtinggevend en slechts het begin, maar daarna moet je het met elkaar en de business gaan oppakken in de praktijk. Dat houdt in samenwerking met de business opzoeken, toezicht houden en zwakke punten met elkaar op een respectvolle manier durven te bespreken. Als je dat niet durft dan is dit werk misschien wel niet je ding. Daar zit wat mij betreft de toegevoegde waarde van een goede FG. Diversiteit in een multidisciplinair vormgegeven team is daarbij ook belangrijk, zodat iedereen vanuit zijn of haar eigen rol en competenties kan optreden. Het gaat om de holistische aanpak, waarbij je vanuit verandermanagement bereid bent om zelf te leren en met elkaar beter durft te worden maar ook durft te “challengen”, zowel je directe collega’s maar ook business afdelingen.’