Datalek: de tijdlijn

Samenvattend: 

28 januari 14.44 wordt een e-mail met allerlei privé gegevens vanuit het stadhuis foutief verstuurd.
Menselijke fout, lomp, maar kan gebeuren.

Afdeling Sociale Wijkteams, constateert de fout direct en meldt dit bij afdeling IT Dienstverlening en Advies.
Zij besluiten het bericht terug te trekken. Dat het bericht in Outlook verstuurd is, en Microsoft duidelijk aangeeft dat e-mails buiten de organisatie niet teruggetrokken kunnen worden, wordt blijkbaar vergeten.
Menselijke fout, lomp, kan eigenlijk niet gebeuren.

Ook Juridische Dienstverlening en Advies wordt ingelicht en de gemeentesecretaris ook.
Er wordt een mail naar de foutief geadresseerde gestuurd, waarbij er wordt gewezen dat het bestand verwijderd dient te worden en dat er een melding bij Autoriteit Persoonsgegevens (AP) gemaakt zal worden. De foutief geadresseerde reageert niet.
Vervolgens wordt er géén melding bij AP gemaakt, hetgeen volgens de nieuwe richtlijnen binnen 72 uur moet.
Cultuurfout, lomp, kan niet.

De afdelingen overleggen en gaan er –volledig onterecht- vanuit dat ze kunnen zien dat het bericht nog niet geopend is. Daarmee is het in hun ogen juridisch geen datalek.
Menselijke fout, voorbij lomp, kan niet.

De gemeentesecretaris en alle drie de afdelingen besluiten niet de wethouders te informeren.
Structurele mentaliteitsfout, ver voorbij lomp, ongepast.

Dan gebeurt er weinig totdat 7 maart (!!) de foutief geadresseerde zelf (!!) contact op omdat zij de gegevens van de AP wil. Er wordt geen melding gedaan over het bestand.
8 maart schiet het gemeentehuis weer wakker, en mailt de foutief geadresseerde dat bestand nu definitief verwijderd moet worden. Ze reageert niet voor het ultimatum van 14 maart.
5 april wordt een kort geding voorbereid. Let op: nog steeds geen enkele wethouder wordt geïnformeerd.
Structurele mentaliteitsfout, voorbij lomp, zwaar ongepast.

7 april neemt AP contact op met het gemeentehuis omdat zij een melding hebben gekregen van een vermeende datalek. Ze worden gesommeerd zelf ook een melding te maken.
De gemeente maakt daarom zelf ook maar een melding, en probeert als excuus nog te zeggen dat er meer tabbladen in het bestand zaten dan gedacht. (Dit heeft echter het betrouwbaarheidsgehalte van een 7 jarige die met zwarte tanden meldt dat hij geen drop gestolen heeft).
De afdelingen overleggen hoe nu verder, of gedupeerde geïnformeerd moeten worden.
Pas daarna (!) om 17.19 wordt wethouder Imming op de hoogte gesteld van het datalek.
Pas 4 dagen later hoort zij pas dat het lek al op 28 januari heeft plaatsgevonden.
Op 8 april wordt de raad geïnformeerd en op 19 april wordt de raad bijgepraat over het datalek. Dat er weinig besef was binnen de organisatie omtrent informatiebeveiliging was vorig jaar al bekend, dat stond tenslotte in een raadinformatiebrief. Het college is hier simpelweg weinig serieus mee omgegaan. Er wordt in de antwoorden verwezen naar onderdeel privacy in een cursus voor de nieuwe wijkteammedewerkers. Terwijl die medewerkers er juist erg zorgvuldig mee omgaan, in tegenstelling tot enkele ambtenaren op het stadhuis.

Structurele inschattingsfout, beleidsmatige passiviteit,lomp. 

Het intern mailen van privacy gevoelige data via een onbeveiligd bestand wordt nooit genoemd als fout, dat neemt het CDA het college zeer kwalijk. Dit soort gegevens MOETEN  altijd beschermd worden door een cocon van beveiliging. Eén cocon die juist de menselijke fout -hoe lomp ook- eruit filtert. Op dit moment is er geen procedure voor interne mails, dus ook niet als het ultra gevoelige persoonsgegevens bevat…
Structurele beleidsfout, extreem lomp, 100% onbegrijpelijk.