Een datalek vraagt om crisismanagement, leerden ze bij de gemeente Medemblik. Daar moet je mee omgaan zoals met een grote brand. Gemeentesecretaris Wouter Slob en afdelingshoofd Strategie en Organisatie Niels Ooijevaar vertellen wat er gebeurde na een datalek bij hun gemeente. Een reconstructie.
Eenduidig inzicht in informatieveiligheid
Dit artikel is de eerste van een serie over informatieveiligheid bij gemeenten (voor deel 2, klik hier) waarin gemeentesecretarissen hun ervaringen delen. Gemeenten leggen jaarlijks verantwoording af over hun informatieveiligheid. Dat gebeurt vanaf 2017 voor het eerst met behulp van ENSIA (Eenduidige Normatiek Single Information Audit), de nieuwe verantwoordingsmethodiek voor informatieveiligheid. ENSIA geeft de gemeenteraad eenduidig inzicht in informatieveiligheid. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier beter op sturen. Met ENSIA kan ook verantwoording worden afgelegd aan nationale toezichthouders over het gebruik van zes registratiesystemen, onder meer DigiD, PUN en Suwinet.
Meer informatie over de invoering van ENSIA bij gemeenten, klik hier.
In december 2016 kregen we een telefoontje van de Informatiebeveiligingsdienst voor gemeenten (IBD) dat er een laptop van een leverancier was zoekgeraakt. Een laptop waarop mogelijk persoonsgegevens van inwoners van Medemblik stonden. Deze leverancier had de kwaliteit van WOZ-bestanden getoetst en daarvoor persoonsgegevens gebruikt, zoals geboortedata, BSN-nummers en naam-adres-woonplaatsgegevens. Privacygevoelige gegevens, die in verkeerde handen identiteitsfraude mogelijk maken. De leverancier wist niet zeker of deze gegevens op de vermiste laptop stonden. Ze wisten bovendien niet wat er precies met deze laptop was gebeurd, bijvoorbeeld of hij was gestolen met het doel om persoonsgegevens te misbruiken.
De gemeente Medemblik hanteert een belangrijk principe: onze inwoners hebben recht op informatie, ongeacht hoe groot of klein een incident is. Dat principe passen we structureel toe. Als bijvoorbeeld per ongeluk een paar brieven voor verschillende inwoners in één envelop terechtkomen, dan lichten we de betrokken inwoners zo snel mogelijk in. Dit incident was een stuk groter dan een paar brieven in één envelop. We moesten ervan uitgaan dat de data nog op de vermiste laptop konden staan. De persoonsgegevens van 21.000 inwoners van Medemblik konden dan mogelijk in verkeerde handen komen.
Crisisteam
Op donderdag kregen we de melding van de IBD. Op vrijdagochtend hebben we de burgemeester en gemeentesecretaris geïnformeerd. Maandag bespraken we met een kernteam wat we moesten doen. De IBD vertelde ons dat we het datalek bij de Autoriteit Persoonsgegevens moesten melden. Het datalek was weliswaar niet door ons veroorzaakt, toch is het een wettelijke verplichting dat dit wordt gemeld. Dat hebben we vrijdag gedaan. Ook bespraken we de opties voor communicatie naar onze inwoners. Omdat het onderzoek naar de precieze toedracht van het datalek door de IBD nog liep, besloten we mede op hun advies nog niet te communiceren. Wel stelden we een klein crisisteam samen van onder meer de gemeentesecretaris, het afdelingshoofd Strategie en Organisatie (als proceseigenaar en trekker), het afdelingshoofd Publiek, de informatiemanager en de adviseurs communicatie.
‘Je weet nooit of je het goed doet. Dan is het belangrijk dat je werkt volgens je eigen principes’
Op maandagochtend kwam dit team bij elkaar. De belangrijkste vraag die op tafel lag: hoe gaan we communiceren? We waren niet de enige gemeente die dit was overkomen, want deze leverancier werkte tijdens het incident voor zo’n vijftig gemeenten. We zagen hoe andere gemeenten er mee omgingen. Sommige deden nog niets, andere zetten alleen een melding op hun website. Wij stonden voor ons principe, namelijk dat we onze inwoners altijd goed willen informeren. Maar dat principe had dit keer grote impact. Het betekende dat we een campagne moesten opzetten om 21.000 inwoners te informeren, met 21.000 brieven en het beantwoorden van alle vragen die daarop zouden volgen. Vanaf het begin lieten we iemand van het secretariaat alles bijhouden: wat er was besproken, welke acties er moesten gebeuren, wie wat zou doen. Dat bleek essentieel, want daardoor konden we snel handelen. Het was duidelijk wie wat deed. Het hielp ons bij onze eigen organisatie en later voor de verantwoording waarom we iets hadden gedaan.
Identiteitsfraude
We vroegen de afdeling communicatie om een formeel communicatie-advies. Op dinsdag bespraken we dit met het college. Het leverde discussie op, wat natuurlijk logisch is. We haalden ons nogal wat op de hals door hier zo uitgebreid over te communiceren. Maar het college besloot ook dat we aan ons principe vast moesten houden. We willen een open overheid zijn.
Op vrijdag viel de brief bij 21.000 inwoners op de mat. We hadden de gelegenheid aangegrepen om mensen bewust te maken van het risico op identiteitsfraude. We legden in de brief uit wat er was gebeurd, dat hun gegevens mogelijk in verkeerde handen terecht waren gekomen, hoe ze zelf identiteitsfraude kunnen herkennen en wat ze kunnen doen als ze vermoeden dat ze slachtoffer zijn van identiteitsfraude. Daarbij vermeldden we websites die meer informatie kunnen geven, zoals die van het Centraal Meldpunt Identiteitsfraude.
Social media
We hebben heel veel reacties gehad. Mails en telefoontjes en mensen aan de balie. Het klantcontactcentrum sluit op vrijdag altijd om 14.00, nu was het open tot 17.00. We hadden informatie op de website gezet waar we naar verwezen in de brief. Ons systeem voor onder meer telefonie ging in het weekend uit de lucht, een ongelukkige samenloop van omstandigheden: er was net dat weekend onderhoud gepland door de IT-leverancier en dat kon niet meer veranderd worden. Wel hebben we ervoor kunnen zorgen dat onze website, met informatie over het datalek, bereikbaar bleef. Ook hebben onze mensen van communicatie het hele weekend social media gemonitord en daar direct vragen beantwoord. Via een groepsapp hielden we elkaar op de hoogte.
‘Een incident zet iedereen op scherp’
Sommige inwoners vonden dat we het goed hadden gedaan, anderen waren boos. We kregen vragen van mensen van wie de computer het niet meer deed en of dat door het datalek kwam. Iemand kwam voor een grote groep bewoners nieuwe paspoorten aanvragen. Eenzelfde brief kan op heel veel manieren gelezen worden, zo blijkt. Wat echt heel vervelend was, voor ons maar met name voor de inwoners waar het om ging, was dat er ook brieven waren geadresseerd aan mensen die overleden waren. Die gegevens hadden in het bestand gestaan, omdat ook historische data waren gebruikt. We hadden de drukker nadrukkelijk verteld dat hij een vinkje moest aanzetten bij deze adressen, zodat de brief geadresseerd werd aan de nabestaanden. Ook zij moesten op de hoogte worden gebracht, want identiteitsfraude met gegevens van overledenen komt voor. De drukker was echter vergeten dat vinkje aan te zetten. Veel boze reacties gingen hier over. Het leidde ook tot vragen in de raad. We hebben een nieuwe brief gestuurd aan deze groep, ondertekend door de burgemeester en met onze excuses.
Sinds het incident is er extra aandacht voor informatiebeveiliging, ook vanuit de gemeenteraad. Een raadslid is zeer betrokken bij het onderwerp. Ze vroeg een interpellatiedebat aan en diende een motie in voor meer aandacht voor informatieveiligheid. Deze werd breed gedragen. De eisen aan gemeenten op het gebied van informatieveiligheid en privacy zijn hoog, daarvoor maken we de komende jaren geld vrij in onze begroting. We onderzoeken hoe we de rol van functionaris gegevensbescherming eventueel samen met andere gemeenten kunnen invullen. Het helpt ons zeker dat de gemeenteraad dit onderwerp belangrijk vindt. In die zin zet een incident iedereen op scherp.
Crisismanagement
Er wordt vaak gedacht dat crisismanagement gaat over een grote brand of ongeluk, maar hiervoor geldt het ook. We hebben de bestaande crisisstructuur gebruikt, met een kernteam dat enkele keren per dag bij elkaar kwam en snelle beslissingen nam. De hiërarchie was duidelijk, iedereen had zijn rol en naar iedereen werd geluisterd. We doen al jaren crisis- en rampenoefeningen en dit is de eerste keer dat we het zo lang en intensief hebben toegepast. In de praktijk blijkt het anders dan de theorie. Je neemt beslissingen op grond van onvolledige informatie en er er zijn onvoorziene omstandigheden waar je snel op moet reageren.
Zouden we het weer op deze manier aanpakken? Ja. Het besluit om 21.000 inwoners in te lichten heeft ons veel tijd gekost, maar het hoort bij onze rol en verantwoordelijkheid als overheid om mensen goed in te lichten. Het punt is: je weet nooit of je het goed doet. Dan is het belangrijk dat je werkt volgens je eigen principes. En dat je het proces zorgvuldig doorloopt, met een doordacht communicatie-advies en goedkeuring van het college. Tot nog toe is niet bekend dat er schade is, er zijn geen gevallen van identiteitsfraude die te herleiden zijn tot de zoekgeraakte laptop. Maar je weet dat nooit zeker. Wij hebben onze communicatie over dit datalek in ieder geval zorgvuldig gedaan.
Geef een reactie