Diverse ministeries werden afgelopen jaar geconfronteerd met datalekken. In totaal gaat het om 286 lekken. In één geval belandden de persoonsgegevens van zo’n 65.000 ambtenaren op plekken waar ze niet thuishoren. De oorzaken zijn divers en hangen voor een deel samen met de coronapandemie. Dat blijkt uit de jaarverslagen van de verschillende ministeries.
Woensdag was het verantwoordingsdag. Alle departementen publiceren dan een jaarverslag waarin we worden bijgepraat over het verloop van de dagelijkse gang van zaken. De meeste verslagen tellen enkele honderden pagina’s. Wij hebben de jaarverslagen van alle ministeries bekeken en uitgezocht in hoeverre er persoonsgegevens waren gelekt.
Vier ministeries maakten in hun jaarverslag melding van een datalek. Te beginnen met het ministerie van Economische Zaken en Klimaat (EZK). Het departement van minister Micky Adriaansens zegt dat het afgelopen jaar veel aandacht heeft besteed aan het veilig omgaan met persoonsgegevens. Ondanks deze zorgvuldigheid noteerde het ministerie 125 datalekken in heel 2021. In 15 gevallen moest het lek gemeld worden bij de Autoriteit Persoonsgegevens.
Volgens het jaarverslag zijn het geen ernstige lekken: het ging om zaken als het verkeerd adresseren van e-mails, het kwijtraken van gegevensdragers en het per ongeluk publiceren van persoonsgegevens. “Dit betekent ook dat medewerkers begrijpen wat een datalek is en dat het belangrijk is dat ieder datalek wordt gemeld zodat maatregelen kunnen worden genomen om dit in de toekomst te voorkomen”, schrijft het ministerie.
Het Security Operations Center van de Dienst ICT Uitvoering (DICTU) en het Datalek Respons Team van het ministerie zeggen dat de meeste lekken het gevolg zijn van de coronapandemie. Mensen die thuiswerken maken vaker fouten, waardoor de kans op datalekken, beveiligingsincidenten en andere fouten van medewerkers groter is. “Doordat medewerkers elkaar minder gemakkelijk vragen mee te lezen of een document of mail te controleren alvorens deze te verzenden, worden er vaker fouten gemaakt.”
In 2020 meldde het ministerie van EZK 99 datalekken. Daarvan werden er 10 doorgegeven aan de toezichthouder.
Bij het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) en de Dienst Uitvoering Onderwijs (DUO) ging het in totaal 124 keer fout. Het ministerie, dat momenteel onder leiding staat van Robbert Dijkgraaf, had vorig jaar 11 keer met een datalek te maken. Nader onderzoek wees uit dat in 9 gevallen geen vervolgactie nodig was. De resterende 2 lekken werden gemeld bij de Autoriteit Persoonsgegevens.
De aantallen lagen bij het ministerie lager in 2020 een stuk hoger. Toen werd het departement 18 keer geconfronteerd met een datalek, waarvan er 7 werden doorgegeven aan de privacywaakhond. “De communicatie naar medewerkers en management in 2021 over bewust omgaan met informatie en beveiliging heeft hieraan bijgedragen”, zo verklaart het ministerie de daling.
DUO ontving afgelopen jaar 113 meldingen van datalekken. In 82 gevallen was er daadwerkelijk sprake een datalek. In totaal klopte de instantie 25 keer aan bij de Autoriteit Persoonsgegevens en 7 keer bij het ministerie van Sociale Zaken en Werkgelegenheid (SZW). In 2020 kwam het aantal datalekken bij DUO uit op 91, waarvan er 17 aan de toezichthouder werden doorgegeven. De extra aanmeldingen zijn volgens het ministerie het gevolg van een aanscherping van het meldingsbeleid. Het ging voornamelijk om poststukken die bij een verkeerde ontvanger terecht kwamen. “De datalekken blijven een trigger om na te gaan of en hoe processen moeten worden aangepast”, zo belooft het ministerie van OCW.
Ook het ministerie van Landbouw, Natuur en Voedselkwaliteit (LNV) had in 2021 te maken met tientallen datalekken. In totaal ontving het Datalek Respons Team (DRT) van het ministerie 67 meldingen. In 6 gevallen meldde het departement een lek bij de Autoriteit Persoonsgegevens. De meeste lekken kwamen voor rekening van de Nederlandse Voedsel- en Warenautoriteit (NVWA), namelijk 63 van de 67.
Door de verbetering van interne registratie- en afhandelingsprocedures is het inzicht in datalekken verbeterd. Net als het ministerie van EZK concludeert LNV dat thuiswerken zorgt voor een toename in datalekken, beveiligingsincidenten en onbewuste fouten van medewerkers. “Dit betekent dat organisaties en medewerkers steeds beter begrijpen wat een datalek is en dat het belangrijk is dat ieder datalek wordt gemeld, zodat maatregelen kunnen worden genomen om dit in de toekomst te voorkomen”, aldus het ministerie.
In 2020 kwamen er 43 meldingen van datalekken binnen bij het ministerie van LNV. 9 lekken waren afkomstig van het ministerie zelf, de resterende 34 van de NVWA.
Het ministerie van Justitie en Veiligheid (J&V) meldt slechts één informatiebeveiligingsincident. Daarbij belandden de persoonsgegevens van ongeveer 65.000 ambtenaren op de verkeerde plek. Een oud-medewerker van het ministerie voerde kwaliteitscontroles uit op toegangsdiensten en kopieerde -tegen de regels in- de data naar meerdere overheidsomgevingen.
Door het datalek zijn zaken als naam, organisatie, soort dienstverband, ID- of paspoortnummer, Rijkspasnummer, e-mailadres, geboorteplaats, geboortedatum, geslacht en nationaliteit gelekt. Privéadressen, telefoonnummers en wachtwoorden waren veilig. Het voorval is gemeld bij de Autoriteit Persoonsgegevens.
Naar aanleiding van het incident heeft toenmalig minister Ferd Grapperhaus onderzoeken laten uitvoeren door de Dienst Justitiële Inrichtingen (DJI), Fox-IT en Audit Dienst Rijk (ADR). Zij kwamen met een pakket aan maatregelen om herhaling in de toekomst te voorkomen.
Het Uitkeringsinstituut Werknemersverzekeringen (UWV) en de Sociale Verzekeringsbank (SVB) publiceerden deze week eveneens cijfers over het aantal datalekken. Het UWV ontving in 2021 in totaal 3.027 signalen over mogelijke privacyinbreuk. Daarvan zijn er 1.039 aangemeld bij de Autoriteit Persoonsgegevens. In 2020 ging het om 3.033 signalen, waarvan er 1.066 werden doorgegeven aan de toezichthouder.
Bij de SVB vonden vorig jaar 691 datalekken plaats. Dat zijn er 245 meer dan het jaar ervoor. Dat komt volgens de instantie omdat er afgelopen jaar meer poststukken werden verzonden. Bijna 70 procent van de datalekken was toe te schrijven aan postgerelateerde lekken. Dan moet je denken aan bezorging op het verkeerde adres, een foutieve adressering of meerdere brieven in één envelop.
