Zembla legde met haar nieuwsuitzending over het datalek bij Europol (nov 2016) de vinger op de zere plek: Een medewerker/-ster die vertrouwelijke informatie mee naar huis neemt. Als je de uitzending niet gezien hebt, dan is dat zeker de moeite waard, want het is leerzaam omdat het iedere organisatie een keer gaat overkomen.
Wil van Gemert – adjunct-directeur bij Europol – moest publieke verantwoording afleggen over wat een medewerkster in zijn organisatie had gedaan. Zij had tegen de bedrijfsregels in, zeer vertrouwelijke informatie mee naar huis genomen om verder te werken. Die bestanden kwamen thuis vervolgens op een back up apparaat terecht die via het internet bereikbaar was met credentials van de fabrieksinstelling (in de handleiding staat gebruikersnaam 'admin', wachtwoord 'admin').
Ik was onder de indruk de openheid die er in de uitzending werd gegeven. De medewerkster en de adjunct-directeur moesten kleur bekennen. Misschien ook wel de beste strategie als je dit toch overkomt. Naar elkaar wijzen is in ieder geval niet verstandig: probeer ervan te leren zodat het volgende keer niet meer gebeurd.
Wat niet naar voren kwam in de uitzending, is de bestuurlijke aansprakelijkheid van Europol. Hoe wordt Europol straks beoordeeld door een toezichthouder zoals het CTIVD (toezichthouder op inlichtingen & veiligheidsdiensten) of een Autoriteit Persoonsgegevens (denk aan de verdachten). Is het security incident een losstaand geval en een geaccepteerd rest-risico naast alle bestaande maatregelen (informatiebeveiliging beleid, autorisatie, classificatie, instructie/bewustwording) of is Europol als organisatie nalatig geweest? In de uitzending wordt mij duidelijk dat de medewerkster in overtreding was ten opzichte van het interne beleid. Is daarmee dan de gehele organisatie nalatig? De vraag of dit geval op zichzelf staat, of dat er meerdere medewerkers zijn die een kopie van vertrouwelijke documenten op een persoonlijke back up/cloud dienst hebben staan, wordt niet beantwoord. Ik ben inhoudelijk benieuwd naar de eerst volgende rapportage van de toezichthouder. Met alle uitdijende bevoegdheden die overheidsdiensten gaan krijgen, ben ik benieuwd hoe goed die risico's beheerst worden en in welke mate de toezichthouder kan beoordelen of de informatiebeveiliging passend is bij Europol.
Het is een publiek geheim dat bedrijfsinformatie gewoon bij de (ex-)medewerkers thuis terug te vinden is. Dit informatiebeveiliging incident is een waarschuwing en een voorbeeld hoeveel impact het voor een organisatie kan hebben. Vanuit bestuurlijk perspectief is het voor elke organisatie wijs te investeren in een veilige werkwijze voor de medewerkers, zowel thuis als op het werk.