Datalekken: is een menselijke fout te voorkomen?

Met enige regelmaat worden er datalekken gemeld, soms ontstaan door een technische en soms door een menselijke fout. Een technische fout komt vaak door slechte beveiliging van de IT-omgeving of het gebruik van verouderde software. Beide zaken, wanneer geïdentificeerd, zijn redelijk eenvoudig te verbeteren. Het beheersen en sturen van menselijk gedrag is echter enorm complex. Immers, fouten worden voornamelijk onbewust gemaakt. Ter voorbeeld: vorige week nog stuurde een erg enthousiaste medewerker van Gemeente Amstelveen – uiteraard per ongeluk – een adressenbestand met persoonlijke gegevens naar inwoners die meegedacht hebben met de invulling van de nieuwe website. De vraag rijst: kun je een menselijke fout voorkomen? 

Voorkomen is beter dan genezen

Uiteraard kunnen we niet alle menselijke fouten voorkomen. Wel kun je als organisatie met technologie dusdanig veel goed regelen, dat je de kans op een datalek door een mensenlijke fout minimaliseert. Zo is er een oplossing die jou helpt voorkomen dat gevoelige informatie doorgestuurd kan worden. Deze technologie heet Azure Information Protection (AZIP) en valt binnen de Microsoft 365 suite. AZIP maakt het mogelijk  documenten en email te beveiligen middels encryptie, classificatie en labels. Dit kan automatisch worden uitgevoerd door beheerders die regels en voorwaarden definiëren, handmatig door medewerkers, of door middel van een combinatie waarbij medewerkers bepaalde aanbevelingen krijgen.

Labelen en classificeren

Met het gebruik van AZIP is het mogelijk om classificaties en labels aan documenten toe te voegen. Door het juist inrichten van AZIP herkent de software privacy gevoelige gegevens zoals creditcardgegevens en BSN nummers en zal hiervoor een ingestelde classificatie en label aan een document of e-mail toewijzen. De standaard labels zijn Persoonlijk, Openbaar, Algemeen, Vertrouwelijk en Uiterst Vertrouwelijk.  

Wanneer een label en classificatie aan het document of de e-mail zijn toegekend, treden de ingestelde regels in werking. Bij een vertrouwelijk document kan het zijn dat een document of e-mail niet mag worden verstuurd of geprint. Dit geldt voor intern gebruik, maar deze regels gelden ook als een document is gedeeld met (geautoriseerde!) externen. Daarnaast is er een beheerportaal beschikbaar die geclassificeerde documenten en e-mails bewaakt. Zo heb je in één overzicht voorhanden wat er met jouw data gebeurt. Veranderen er zaken in de tussentijd? Bijvoorbeeld aan de hand van personele wijzigingen, dan kun je document autorisatie eenvoudig intrekken.  

Is een datalek 100% te voorkomen?

Om antwoord te geven op de hoofdvraag van dit blog: “Is een datalek door een menselijke fout te voorkomen?”. Nooit helemaal, maar door Azure Information Protection in te zetten kun je dit wel minimaliseren. Hierbij wil ik toevoegen dat de inzet van technologie alleen onvoldoende is. Deze moet onderdeel zijn van een informatiebeveiligingsbeleid binnen de organisatie. Je moet definiëren wat binnen de organisatie openbare, gevoelige en geheime data is. En bij het maken van de classificatie van jouw data uiteraard nagaan of je gemeente voldoet aan de wet- en regelgeving. Als je dit goed doet, heeft de krant minder datalekken om over te schrijven.  

 

De nieuwste artikelen in uw mailbox?
Blijf op de hoogte met de Eburg nieuwsbrief!