Pardon? U mag hier helemaal niet komen!

Kent u dat gevoel? Dat gevoel dat u krijgt wanneer u per ongeluk een persoonlijk bericht naar de verkeerde ontvanger heeft verstuurd? Dat gevoel kennen de meesten van ons wel. Stel u nu eens voor dat u, in een moment van onoplettendheid, een lijst met persoonsgegevens van mensen die een gebiedsverbod hebben naar de verkeerde ontvanger stuurt. Geen fijn gevoel. Maar dit stukje menselijk falen overkwam een medewerker van de Gemeente Assen eerder deze week.

Laksheid en het ‘maandagochtend syndroom’

Op maandag 29 maart j.l. werd er door de gemeente Assen een Excel bestand met daarin de persoonsgegevens van 530 inwoners met een gebiedsverbod verstuurd naar een ‘onbekend privé e-mail adres’. Nu snappen we allemaal best dat de maandagochtend zwaar kan zijn, maar dit is wel een pijnlijke fout. Zo staan er in het Excel bestand niet enkel de persoonsgegevens van deze mensen maar ook de redenen van de gebiedsverboden. Wordt deze informatie openbaar gemaakt dan kan dit de reputatie van de betreffende inwoners van Assen schaden, aldus de gemeente. Het is belangrijk om te benadrukken dat je niet zomaar een gebiedsverbod krijgt. Deze lijst bevat dus een overzicht van mensen die zich schuldig hebben gemaakt aan overlast en geweld maar ook van stalkers en zedendelicten. De manier waarop instanties, zoals de gemeente Assen, met dit soort informatie omgaan vinden wij ontluisterend.

Volgens het artikel op nu.nl heeft de gemeente de ontvanger meermaals vriendelijk verzocht de gegevens te verwijderen. Hier kregen ze geen reactie op. Nu kunnen we niet uitsluiten dat dit de enige vorm van actie is geweest van de gemeente, maar een iets meer daadkrachtig optreden was in onze optiek op zijn plaats geweest. Tegenwoordig kan je met een e-mail adres namelijk heel veel informatie achterhalen en geeft dit je meer opties dan een paar verzoekjes per e-mail. Inmiddels heeft de gemeente Assen de AP (Autoriteit Persoonsgegevens) geïnformeerd van het voorval. De getroffenen hebben inmiddels nagenoeg allemaal een bericht ontvangen maar we verwachten dat dit nog een staartje gaat krijgen.

Verander menselijk falen in menselijk voorkomen

We vroegen Emil Pilecki, IT security specialist bij Rootsec, hoe dit voorkomen had kunnen worden. “Deze fout zien we vaker, maar dit kan makkelijk voorkomen worden. Wij raden onze klanten altijd aan om gevoelige informatie nooit als bestand mee te sturen met een e-mail. In plaats daarvan kan je het bestand beter uploaden op een beveiligd portaal. Deze link stuur je dan vervolgens naar de klant. Het wachtwoord, benodigd voor het openen van het bestand, stuur je via een ander medium (SMS bijvoorbeeld) naar de klant. Op die manier verklein je de kans dat het fout gaat enorm”. We sluiten de blog van deze week af met de volgende quote uit de brief die werd verstuurd door het college van B&W naar de gemeenteraad van Assen:

De oorzaak van dit incident ligt bij een menselijke fout, zoals vaak bij datalekken het geval is. Om dit soort fouten in de toekomst te minimaliseren blijven we inzetten op bewustwording

Mocht iemand van de gemeenteraad van Assen dit lezen: klik hier