Het juridische aspect van mijn onderzoek bestond uit het in kaart brengen van wat de wettelijke meldplicht van de Wet bescherming persoonsgegevens (nadien: Wbp) inhoudt en hoe de SVB deze wettelijke verplichting heeft geïmplementeerd in de organisatie. Het sociale aspect van mijn onderzoek lag voor mij bij de Integraal Serviceteammedewerkers (nadien: IST-medewerkers). Een groot deel van de risico’s op datalekken kan worden ondervangen door het juist inrichten van systemen en de beveiliging hiervan. Maar het bewustzijn en gedrag van werknemers in een organisatie spelen ook een grote rol. Zij zijn vaak de belangrijkste en soms ook de zwakste schakel als het gaat om informatiebeveiliging (SVB Informatiebeveiligingsbeleid 2013-2015, 2014). Als duidelijk is in hoeverre het onderwerp onder de aandacht van de IST-medewerkers ligt, kan er een vervolgstrategie worden ontwikkeld om de bewustwording en het gedrag te sturen in de gewenste richting.
Uit mijn onderzoek concludeer ik dat de Wet meldplicht datalekken inhoudt dat organisaties (zowel bedrijven, instellingen als overheden) vanaf 1 januari 2016 onverwijld een melding moeten doen bij de Autoriteit Persoonsgegevens (nadien: AP) zodra zij te maken hebben met een ernstig datalek. In een aantal gevallen moeten zij het datalek ook melden aan de betrokkenen.
De SVB heeft een project uitgevoerd, gecoördineerd door de heer H. Kruizinga, om de impact van de nieuwe wet te bekijken en alles te regelen. Het Informatiebeveiligingsproces is afgestemd conform de wettelijke vereisten. Alle betrokkenen in het proces zijn geïnstrueerd en/of opgeleid. Op verschillende wijzen is het onderwerp onder de aandacht van de medewerkers gebracht zodat medewerkers weten wat een datalek is, hoe zij dit kunnen voorkomen en hoe zij moeten handelen als zij te maken hebben met een incident. Het hoofdkantoor heeft bijvoorbeeld gecommuniceerd met de verschillende vestigingen via de intranet hoofdpagina en aan de lokale IB-medewerkers is gevraagd of zij tijdens verschillende overleggen het onderwerp op de agenda willen zetten (Witte, 2016). Tevens is een artikel in het personeelsblad gewijd aan het onderwerp en heeft de SVB een IB-game vervaardigd.
Het merendeel van de medewerkers vindt dat zij onvoldoende kennis over datalekken hebben om hun werkzaamheden conform de wettelijke vereisten uit te voeren. De informatievraag ligt voornamelijk op het gebied van algemene informatie over datalekken en het melden van een incident. Ondanks dat voor deze vragen een Informatiebeveiliging portal (nadien: IB-portal) en protocol is opgericht, biedt dit onvoldoende uitkomst. Een deel van de medewerkers is onwetend over de portal of heeft deze nog nooit geraadpleegd of vind de informatie niet toereikend genoeg. In de wijze waarop deze medewerkers graag informatie zouden willen ontvangen is tweesplitsing te zien. De helft geeft aan dat het hen niets uit maakt en de andere helft geeft aan dat zij graag informatie gedeeld zien door een instructie of opleiding.
Van bijna de helft van de medewerkers is het privacy bewustzijn wel vergroot, maar geen enkele medewerker zou zijn werkzaamheden anders zijn gaan uitvoeren naar aanleiding van de invoering van de wettelijke meldplicht. De SVB ziet landelijk wel dat er meer oplettendheid is gekomen voor datalekken. Er zijn een aantal werkwijzen ter discussie gesteld of is er een oplossing voor gekomen. Sinds 1 januari 2016 is er SVB-breed slechts eenmaal daadwerkelijk een melding van een ernstig datalek naar het AP gegaan. (Witte, 2016)
Toch valt op het gebied van bewustzijn en gedrag van medewerkers nog een aantal stappen vooruit te boeken met het oog op preventie van datalekken in de toekomst. Niet alleen in de vorm van algemene bewustwording, maar ook in het aanreiken van de juiste gedragsalternatieven en daar waar nuttig het trainen van de nodige vaardigheden. Hiervoor kunnen diverse activiteiten worden georganiseerd. Te denken valt aan kennisoverdracht op traditionele wijze door bijvoorbeeld een opleiding, presentatie of workshop. Hier is bovendien vanuit de medewerkers vraag naar. Om op een leuke manier medewerkers te interesseren zou ook een thema(mid)dag met activiteiten in het kader van informatiebeveiliging kunnen worden georganiseerd. Verder zou de lokale IB-medewerker verschillende teamoverleggen kunnen inplannen om erachter te komen wat de perceptie van medewerkers op het gebied van datalekken. Je laat als organisatie op deze wijze ook zien dat je tijd steekt in het verbeteren het bewustzijn van medewerkers over datalekken. Tenslotte is het naar mijn inziens van belang om de aandacht voor het bewustzijn permanent te onderhouden. Reminders via verschillende kanalen, zoals de beeldkrant, zou hiervoor uitkomst kunnen bieden.
Zoals hierboven beschreven komt de organisatie nauwelijks tot niet in aanraking met een ernstig datalek en heeft zij haar proces ingericht conform de wet, maar bij de medewerkers ligt nog wel een informatievraag. Op dit vlak kan het winstgevend zijn om hier aandacht aan te besteden. Dit ter preventie van datalekken en als bevordering van het privacy bewustzijn van medewerkers.
