Column: hoe overleef ik een datalek als ICT’er?

Wij ontvingen een mail met als onderwerp ‘vermoedelijk datalek’. Kim Alders, werkzaam bij Triaspect, vertelt over haar ervaring en hoe we hiermee om zijn gegaan. Welke invloed heeft dit op Kim en haar collega’s gehad en wat hebben wij hiervan geleerd?

Als ik ’s ochtends wakker word, is het eerste wat ik doe de poesjes eten geven. Daarna maak ik met de hand een kop koffie. Ik ga bij de kachel zitten en lees mijn e-mail op mijn telefoon terwijl ik geniet van mijn koffie-verkeerd in mijn pyjama. Heerlijk om de dag zo ontspannen te beginnen.
Vandaag moet ik eerst weer de nodige spam verwijderen uit mijn privé-account voordat ik toekom aan de echte mail. En opeens heb ik buikpijn, raak een beetje in paniek. In een van de titels van de mail staat ‘Vermoedelijk datalek’. Er schiet van alles door mijn hoofd. ‘Oh nee, ik heb een fout gemaakt! Ik mag geen fouten maken’. En meteen daarna ‘Wie zijn er benadeeld, welke data is gelekt?’ En uiteindelijk ‘We gaan failliet, de gegevens liggen op straat’. Ik durf de mail niet te lezen.

Als ik later terugkijk naar deze dag en denk aan de mensen die op hun werk in de zorg fouten maken, dan weet ik weer dat ik tijdens een training veel te gemakkelijk zeg: ‘Stel dat je het verkeerde medicijn hebt gegeven. Dat is een incident waar je van kunt leren, dus dat zet je in TriasWeb’. Ik mag best aandacht besteden aan het gevoel dat je kunt hebben als je erachter komt dat je een fout hebt gemaakt. Wat een ontzettend rotgevoel. Bah!

Ik maak me klaar voor de afspraak van die ochtend op kantoor. De rest van de mail blijft ongelezen in mijn inbox staan. Dat komt later. Onder de douche probeer ik te bedenken wat er fout zou kunnen zijn. Om welke data het gaat. En hoeveel. En van wie. Voordat ik vertrek kijk ik nog even snel door die ene mail: het gaat om gebruikersgegevens. Ik open de bijlage met detail-informatie nog niet. Ik stuur een mail van één regel terug met daarin dat ik ernaar ga kijken en er vanmiddag op terug kom. Meer krijg ik er niet uit.
Op weg naar kantoor fiets ik zo hard dat ik buiten adem raak. Daar wacht mijn collega Hedzer op me. Hedzer neemt dit jaar de eindverantwoordelijkheid voor de techniek over van Thomas. Ik vertel hem over de mail. Als ik het woord ‘datalek’ gebruik word ik misselijk. Ik zie dat Hedzer er ook van schrikt. Samen openen we de mail.

Omschrijf het incident: We hebben voor een klant alle meldingen, CMR-meldingen en verbeteracties achter elkaar geplakt en in één bestand gezet. Dat kan TriasWeb niet zelf, dus we hebben dat rechtstreeks uit de database gehaald. We hebben een fout gemaakt in de query waardoor we bij sommige gebruikers de weergavenaam van gebruikers van andere klanten hebben getoond. De overige gegevens klopten wel allemaal. Er is geen melddata van andere klanten in dat bestand terechtgekomen. Dit gebeurde in een voorlopige versie van het bestand, en werd ontdekt nadat het naar één medewerker van deze klant verstuurd was.

We leggen dit voorval langs het protocol meldplicht datalekken. Moeten we dit melden? Wat is het voor lek? Moeten we de betrokkenen informeren? Is het een groot lek? Het blijkt van niet: het gaat niet om gevoelige gegevens. Je ziet alleen voornaam en achternaam van mensen en dat is niet traceerbaar naar individuen: er zijn immers wel meer Pietje Puks op deze wereld. Er waren een paar groepsaccounts te zien, maar dat zijn geen persoonsgegevens. Het gaat ook niet om veel gegevens: 350 namen. We hoeven dit niet te melden bij de Autoriteit persoonsgegevens. Gaan we dit terugkoppelen naar de betrokkenen? Dat moet als er mogelijk grote schade voortkomt uit het datalek. We besluiten om niet iedereen persoonlijk te benaderen: er is immers geen schade ontstaan voor de betrokkenen.

Wat is de verwachte schade? Licht (minder grote schade van tijdelijke aard): we zijn de hele dag bezig geweest om uit te zoeken, te communiceren en te bekijken hoe we dit kunnen voorkomen. Dit kost tijd en geld.
Wat is de kans op herhaling? Niet/Laag: dit is in de tien jaar dat TriasWeb bestaat, nog nooit voorgekomen.

Terwijl collega Thomas onderweg is naar kantoor, zoeken Hedzer en ik vast uit hoe het heeft kunnen gebeuren. Dat wordt al snel duidelijk. De logica en bescherming van gegevens en de data-integriteitsregels die in TriasWeb zitten, zitten niet in ons hoofd. We hebben een fout gemaakt in de databasequery.

Dan belt collega Thomas met de klant die de situatie ontdekt heeft. Dat is een goed gesprek. Hij legt uit wat er is gebeurd en vraagt welke stappen zij gaan ondernemen en wat ze van ons verwachten.

Welke acties heb je ondernomen? Gecommuniceerd met de klant. Gecommuniceerd met collega’s. Verslag geschreven.
Wat zijn de oorzaken?
Organisatorisch: verkeerde opdracht aangenomen
Technisch: databaseveranderingen, rechtstreekse toegang op database gebruikt
Medewerker: alertheid, bekwaamheid

Wat is de kern van het probleem: We hebben een opdracht aangenomen om gegevens uit TriasWeb op te leveren waarbij de beveiliging en de logica die in TriasWeb zit, niet gebruikt konden worden.
Wat hebben we ervan geleerd: We hebben niet voor niets die logica en de gegevensbeveiliging in TriasWeb gebouwd. Als we iets gaan doen met gegevens uit TriasWeb, dan doen we dat voortaan via TriasWeb, en niet meer rechtstreeks op de database. Als TriasWeb die functionaliteit niet kent, dan voegen we het toe aan TriasWeb of we zeggen dat we het niet kunnen realiseren. 

Aan het eind van de dag, om 2 minuten voor 5 hebben we een formele reactie gemaild. Daarmee sloten we een dag vol spanning af. Ik vond het moeilijk om deze situatie met een open blik te benaderen. Ik was bang voor de gevolgen en gefrustreerd over dat dit heeft kunnen gebeuren. Hedzer, Thomas en ik hebben hard moeten werken om de stress niet op elkaar af te reageren. En om te blijven reflecteren op ons eigen aandeel hierin. Ik was bang dat we kwetsbaar zouden zijn als we dit open zouden bespreken, dus ik wilde er eigenlijk niet over praten. Maar hoe kan ik tijdens trainingen vertellen over dat een open meldcultuur de basis is voor het verbeteren en dan zelf niet willen of durven melden? Achteraf bleek deze fout geen consequenties te hebben. Als er wel consequenties waren geweest, had ik het ook zo willen doen. Uiteindelijk ben ik met de billen bloot gegaan. En mijn collega’s met mij. En hoewel het heel spannend is, voelt het toch goed, want eerlijk zijn over de dingen die je doet, goed of fout, is toch het beste. Zeker op de lange termijn.