Oeps, een datalek!

11 juni 2020 I Klaas van der Galiën, directeur Track Software

Datalekken. Het is één van de nachtmerries waar ik als directeur van een softwarehuis wakker van lig. Slapeloze nachten. Niet van het lek zelf trouwens – dat gaat wel over. Maar van de imago-schade, bedorven relaties en de financiële schade, ruzie met je klant die in het kielzog van zo’n lek onvermijdelijk volgen.

Track Software is één van de grootste partijen op de markt voor verzuimsoftware. Onze software wordt gebruikt door kleine en grote arbodiensten, verzuimbedrijven en organisaties met eigen regie. Iedere keer als ik met een #functionaris gegevensbescherming over datalekken en aansprakelijkheid praat, merk ik dat de klant heel anders over een datalek denkt dan ik.

En dat is ook wel logisch. Want een datalek… dan gaat er toch bij ons iets verwijtbaar mis? En dat is dan toch altijd een gevolg van ‘je zaken niet op orde hebben’? Incompetentie of slordigheid? En dus draait de klant de duimschroeven flink aan. Flinke boetes en aansprakelijkheden moeten borgen dat datalekken adequaat worden bestraft. Want je verdient immers niet beter, als je een datalek maakt.

Bij Track hebben we regelmatig klanten die willen overstappen vanuit een ander verzuimprogramma. Laatst hadden we zo’n klant. Uiteraard moesten de gegevens uit de oude verzuimapplicatie overgeheveld worden naar ons pakket Track Verzuim. De oude leverancier leverde een bestand aan dat 200.000 regels aan informatie bevatte. Zo’n 80.000 daarvan bevatten medische informatie, allemaal heel kleine stukjes informatie vanuit 4.000 consulten. Het leek alsof de oude leverancier alle medische informatie door een papiervernietiger had gehaald en zei: ‘zoek het maar uit!’. Nou gaan we bij Track zo’n uitdaging natuurlijk niet uit de weg. We besloten een programma’tje te schrijven dat die 80.000 informatie-snippers weer aan elkaar zou plakken tot 4.000 mooi geordende medische dossiers in Track. Prima plan. Toch? De conversie werd gecontroleerd door ons en door de klant. Alles OK. Maanden verstreken. Totdat…

Totdat een medewerker zijn medische dossier opvroeg bij de bedrijfsarts en daarin informatie las over een met name genoemde collega. Een datalek!

Wat was er gebeurt? Bij die conversie was iets fout gegaan. Bij analyse bleek dat indien er op één en dezelfde dag twee medewerkers met een opvolgend personeelsnummer op consult bedrijfsarts waren geweest, de gegevens van de tweede in het medisch dossier van de eerste medewerker waren beland. In totaal was dat op de 4.000 dossiers 17 keer voorgekomen. Daarom was de fout al die tijd onopgemerkt gebleven een ook bij de steekproeven niet ontdekt.

De vraag is nu: Hoe oordeel jij hier over? Is dit datalek een gevolg van slordigheid, van incompetentie? Ik vind van niet. Een datalek is bijna altijd een gevolg van een ‘blinde vlek’. Je loopt met je informatiebeveiliging of met een project een beveiligingsrisico waarvan je je helemaal niet bewust bent. In dit concrete geval: een steekproef geeft bij dit type dataconversie onvoldoende zekerheid dat de conversie is geslaagd. Het is een wijze les, dat wel.

Informatiebeveiliging neemt bij Track een centrale plaats in – dat bewijst onze ISO27001 certificering. Maar hoewel er door anderen niet over wordt gepraat: een datalek kan gebeuren. Dat is bij ons zo, maar ook bij partijen zoals Facebook of recent nog Allianz. Waar gehakt wordt, vallen spaanders en een ongeluk schuilt in een klein hoekje.

Wat vind jij?

Contact

Neem contact op met Klaas van der Galiën, directeur Track Software.
Bel 024 – 381 6868 of laat uw gegevens achter.

14 + 8 =