Menselijk handelen als basis voor datalekken op scholen

Datum: 19 april 2024
Auteur: Mathijs van Leeuwen

Datalekken komen steeds vaker voor. In 2022 werden er in Nederland 21.151 datalekken gemeld bij de Autoriteit Persoonsgegevens. Opvallend is dat 88% van deze datalekken te wijten is aan menselijke fouten. Dit kwam uit een studie van de Stanford University en beveiligingsbedrijf Tessian. In het kader van het IBP normenkader is het belangrijk om te beseffen dat datalekken een constante bedreiging vormen, mede door menselijke fouten.

Wat is een datalek op school precies?

Als school probeer je de persoonsgegevens, bijvoorbeeld gegevens van leerlingen en ouders, natuurlijk zo goed mogelijk te beveiligen. Maar soms gaat er iets verkeerd. Je hebt bijvoorbeeld zelf geen toegang meer tot je gegevens of personen buiten de school krijgen onbewust toegang. Dan is er sprake van een beveiligingsincident. Heeft dit incident gevolgen voor de privacy van de leerlingen of medewerkers? Dan spreken we van een datalek.

Foutje bedankt!

Veel van de datalekken komen door menselijk handelen. Want waar mensen werken, worden nou eenmaal fouten gemaakt. Realiseer je daarom dat je je zeker niet hoeft te schamen voor een foutje. Het overkomt iedereen weleens, en daar leren we als mens weer van! Hieronder geven we je enkele voorbeelden van menselijke fouten die wij vaak voorbij zien komen:

Een verkeerde ontvanger
Je staat op het punt een e-mail te verzenden naar de IB’er. In zowel het bericht als de bijlagen is privacygevoelige informatie te vinden. In de adresregel van de ontvanger begin je met het typen van de naam en direct krijg je een aantal suggesties. Bij het versturen kom je erachter dat je de mail naar de verkeerde persoon hebt gestuurd. Helaas heeft deze persoon nu gegevens ontvangen die niet voor hem of haar bestemd waren.

Een phishing mail
Je bent druk bezig met het afronden van je lesdag wanneer je een e-mail van de directeur krijgt. Het onderwerp van de e-mail is ‘Dringend’. Snel open je de mail waarin de directeur vraagt of je een betaling wil doen. Zelf zit de directeur in een vergadering, dus kan hij of zij het niet doen. Het moet vandaag gebeuren, dus je doet snel de betaling. De volgende dag vertel je de directeur dat de betaling is gelukt. Je krijgt een vragende reactie: “Welke betaling?”. Snel loop je naar je computer en kom je erachter dat het mailadres niet overeenkomt met dat van de directeur.

Een onveilige website
Je hebt voor een lesvoorbereiding een website geopend waarbij je twijfels hebt of dit wel zo’n slim idee was. Je hebt ook nog eens op een verdachte link geklikt binnen deze website. Al snel krijg je aan de lopende band virusmeldingen. In verband met de drukte negeer je deze verdachte waarschuwingen. Uiteindelijk blijkt dat cybercriminelen toegang hebben gekregen tot de systemen van de school en schadelijke software hebben gedownload. En nu?

Drie cruciale factoren die menselijke fouten stimuleren

We zijn allemaal mensen en we maken allemaal fouten, dus het is onrealistisch om te denken dat dit jou nooit zal overkomen. Enkel en alleen vertrouwen op de mensen van de ICT-afdeling is niet voldoende om fouten te voorkomen. Er zijn factoren die de kans op een fout vergroten:

Onvoldoende training:
Het is vaak zo dat een gebrek aan de juiste training zorgt voor (een verhoogd risico op) een datalek. Terwijl juist een training een relatief laagdrempelig middel is om medewerkers van de juiste handvatten te voorzien. Medewerkers die niet weten hoe ze met gevoelige informatie om moeten gaan of hoe ze phishingaanvallen kunnen herkennen, zijn eerder geneigd een fout te maken.
Stress en tijdsdruk:
We herkennen het allemaal wel. Nog even snel dat ene mailtje sturen of die ene taak afronden voordat je het weekend in gaat. Begrijpelijk, maar juist onder druk maken mensen sneller fouten, zoals het overhaast invoeren van wachtwoorden of het sturen van een mail met gevoelige informatie aan het verkeerde adres.
Gebrek aan bewustzijn van de risico’s:
Je in kunnen beelden wat de mogelijk gevolgen van jouw acties zijn wekt een gevoel van verantwoordelijkheid op bij medewerkers. Als medewerkers niet op de hoogte zijn van de mogelijke risico’s die gepaard gaan met datalekken, is de kans groter dat ze onbewust fouten maken die tot een dergelijk lek kunnen leiden.

Drie tips om de kans op menselijke fouten te verkleinen

Toch kun je als organisatie het een en ander doen om te zorgen dat zowel je mensen als je (technische) infrastructuur minder geneigd zijn fouten te maken. Onderwijsinstellingen kunnen daarom de volgende maatregelen nemen om het aantal menselijke fouten te verminderen en de kans op datalekken te verkleinen:

Bewustwoordingstrainingen:

Meer digitale veiligheid begint vaak bij bewustzijn. Het werk daarom goed om medewerkers te trainen in het omgaan met gevoelige informatie, het herkennen van phishingaanvallen en het volgen van beveiligingsmaatregelen.

Technische maatregelen:

Verschillende geavanceerde technische oplossingen kunnen een cruciale rol spelen in het buiten de deur houden van cybercriminelen. Denk hierbij aan oplossingen zoals firewalls, antivirus software en multi-factor authenticatie.

Veilige cultuur creëren:

Vaak zijn medewerkers niet (volledig) op de hoogte van de mogelijke risico’s op datalekken en de mogelijke gevolgen van zo’n datalek. Hierdoor is de kans groter dat een medewerker onbewust en onbedoeld een fout maakt dit tot een datalek zou kunnen leiden.

Wat kun je op dit moment al doen om een datalek op school te voorkomen?

Menselijke fouten zijn een belangrijke oorzaak van datalekken. Door bewustwording te creëren, trainingen te geven en technische maatregelen te implementeren, kunnen organisaties de kans op datalekken aanzienlijk verkleinen. Investeren in digitale veiligheid is essentieel om de privacy van gevoelige informatie te beschermen.

Wil je weten wat wij als Cloudwise Academy kunnen betekenen met betrekking tot bewustwording? We komen graag met je in contact om je meer te vertellen over de verschillende manieren waarop we meer bewustwording rondom datalekken creëren, ongeacht welke rol je in de organisatie bekleed.

Kom in contact!

Mathijs van Leeuwen

Trainer & Onderwijskundige bij Cloudwise Academy

Ik ben Mathijs, een enthousiaste trainer met een passie voor digitale geletterdheid en de integratie van ICT in het onderwijs. Als onderwijskundige met ervaring voor de klas, geloof ik sterk in de kracht van technologie om ons onderwijs verder te ontwikkelen. Mijn missie is om leraren te ondersteunen met de kennis en vaardigheden die nodig zijn om boeiende, (digitale) leeromgevingen te creëren!