Voorschriften voor vertrouwelijke informatie

Gaan we het nu alweer over voorschriften voor informatie hebben? Ehm, juist, inderdaad. De nuance zit hem nu in het feit dat het hier over vertrouwelijke informatie gaat. We willen immers niet dat onze informatie op straat komt, maar we willen al helemaal niet dat onze vertrouwelijke informatie daar belandt.

De vraag:
Zijn er voorschriften opgesteld ter bescherming van vertrouwelijke informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Het interessante bij deze vraag is dat gegevens afzonderlijk niet vertrouwelijk hoeven te zijn, maar dat als we ze samen brengen ze dat in eens wel weer zijn. Vergelijk het met je inlognaam en wachtwoord. Afzonderlijk van elkaar kun je er niet zoveel mee (ja, ja, ik weet het met illegale activiteiten kun je alsnog erg ver komen, maar dat gaat voor nu te ver). Brengen we ze echter samen dan zijn we ineens een stap verder. Als je weet dat mijn inlognaam “pietje1234” is dan is dat een feit. Weet je aan de andere kant dat mijn wachtwoord “Welkom01” is dan heb je wederom een feit te pakken. Ken je beide en weet je dat ik via Hotmail mail dan is het een koud kunstje om namens mij in te loggen.

Ik wil je overigens nergens toe aansporen. De gegevens zijn natuurlijk fictief…maar excuses voor alle Pietjes en voor alle mensen die Welkom01 als wachtwoord gebruiken.

Dezelfde parallel geldt voor de gegevens in veel van onze databases. De afzonderlijke gegevens zeggen misschien niet zoveel, maar de combinatie van meerdere gegevens kan ineens vertrouwelijk zijn. Juist daarom willen we extra inzoomen op de voorschriften voor vertrouwelijke informatie.

Natuurlijk willen we gemeld hebben als niet vertrouwelijke informatie in verkeerde handen terecht is gekomen of als we die op het dak van onze auto hebben achtergelaten voordat we wegreden (geloof me, het gebeurt vaker dan je denkt). Maar misschien moeten we wel andere stappen ondernemen als blijkt dat het hier om vertrouwelijke informatie ging.

Een issue daarbij is dat medewerkers er, in enkele gevallen, niet bij gebaat zijn om het te melden. Stel je voor, straks volgen er sancties. Nee, we beschouwen de informatie als verloren en maken gewoon een nieuw printje. Natuurlijk kunnen we bepalen om sancties op te leggen bij dergelijke incidenten. We geven de medewerker een veeg uit de pan en in het ergste geval nemen we afscheid van elkaar. Dat is toch een beetje de put dempen als het kalf verdronken is. Beter is het om te proberen de schade te beperken. Analyseer wat er gebeurt is en of we de informatie wellicht nog terug kunnen krijgen zonder dat ons imago kleerscheuren oploopt.

Lukt dat niet omdat we de informatie echt uit het oog zijn verloren, dan zullen we met de billen bloot moeten. We kunnen natuurlijk met ons voltallig personeel gaan zitten duimen, in de hoop dat de informatie niet ineens in de krant belandt…maar dat kan destructief zijn voor ons imago en is dus erg risicovol. Aan de andere kant, als we onze verantwoordelijkheid nemen en de klant informeren dat we zijn gegevens rond hebben laten slingeren, dan weten we zeker dat we in de krant komen.

Een lastig besluit en in heel veel gevallen een besluit dat we niet vanuit beveiliging moeten nemen. Nee, we informeren de juiste managementlagen en komen misschien zelfs met het crisisteam bij elkaar om het vervolg te bepalen. Geen leuke situatie natuurlijk, maar wel van groot belang. Dergelijke incidenten willen we niet onder onze beveiligingspet houden, daar is ons petje te klein voor.

Vertrouwelijke informatie verdient dus wat extra aandacht…en laat dat “wat” eigenlijk maar weg. We moeten zowel preventief, detectief, correctief als repressief extra nadenken over de impact van die informatie. Doen we dat niet dan staan we vast en zeker binnenkort in de krant…en negatieve berichten zijn ook reclame, maar of we daar op zitten te wachten is de vraag.

Ehm, ik vraag het me af…

Een vraag die bij me opkomt (op basis van dit bericht) is wat er gebeurd als een afnemer of leverancier die over jouw gegevens beschikt failliet gaat.

Dat geldt zowel privé als zakelijk. In het geval van DeCODe Genetics, een IJslands DNA-testbedrijf dat failliet is gegaan, is het nog onzeker waar de zeer persoonlijke informatie van de klanten straks zal belanden. Er is een privacy-overeenkomst maar wat is de geldigheid daarvan bij een faillissement?

Zakelijk geldt natuurlijk hetzelfde. Een leverancier beschikt over de vertrouwelijke gegevens van haar klant (stel dat een bank als DSB failliet gaat…eh, heb ik wat gemist dan?). Als het goed is zijn er due diligence onderzoeken naar de leverancier uitgevoerd, daarbij zou ook gekeken moeten zijn naar de financiele situatie. Maar wat nou als door een economische crisis (wanneer was de laatste ook weer?) die leverancier het niet meer bol kan werken? De vertrouwelijke gegevens van de klant staan nog in zijn systemen, maar de curator legt beslag op alles wat enige waarde heeft, van de plastic bekertjes in het keukenkastje tot het wagenpark. Kijk maar eens op BVA Auctions, je ziet de gekste dingen geveild worden.

Wat nu als een van de leveranciers/partners van het Elektronisch Patienten Dossier de boel moet sluiten? Worden de servers en systemen met onze gegevens dan voor 10 euro geveild?

Wat als een zanger failliet gaat? Wie beschikt dan over de rechten en mag de zanger zijn eigen liedjes nog wel zingen of moet hij daarvoor betalen?

Wat als een advocatenkantoor failliet gaat? Wie kan dan beschikken over de dossiers en moeten dan alle rechtszaken uitgesteld worden?

Wat als een voetbalclub failliet gaat? Mogen de spelers dan zonder transfersom weg of vallen zij onder de assets van die club?

Interessante vragen (vind ik zelf) en wie het weet mag het zeggen. Misschien moet ik binnenkort maar eens met een curator gaan praten om te kijken hoe ze daar mee omgaan.