90% van de datalekken begint met een menselijke fout
Datalekken komen steeds vaker voor. In 2022 werden er in Nederland 21.151 datalekken gemeld bij de Autoriteit Persoonsgegevens. Opvallend is dat 88% van deze datalekken te wijten is aan menselijke fouten. Dit kwam uit een studie van de Stanford University en beveiligingsbedrijf Tessian. In het kader van het Normenkader IBP is het belangrijk om te begrijpen dat menselijke fouten een constante bedreiging kunnen vormen voor de beveiliging van persoonsgegevens op school.

1% risico, 100% impact
Vaak besteed je als school of stichting flinke bedragen aan softwarelicenties en technologische oplossingen om hackers buiten de deur te houden. Ook is er doorgaans aandacht voor zaken als firewalls, spamfilters, e-mailbescherming en antivirusprogramma's. Maar de menselijke kant wordt nog vaak over het hoofd gezien. En die is minstens zo belangrijk. Zeker op scholen, waar gevoelige informatie over leerlingen en medewerkers wordt bewaard. Zelfs als je 99% van de bedreigingen kunt tegenhouden, blijft er altijd die ene procent over die grote schade kan veroorzaken en hoge kosten met zich kan meebrengen.
Wat is een datalek?
Als school wil je de persoonsgegevens van leerlingen en ouders zo goed mogelijk beschermen. Toch kan er soms iets misgaan. Stel je voor: je hebt geen toegang meer tot belangrijke gegevens, of onbevoegde personen krijgen onbedoeld toegang. Dan is er sprake van een beveiligingsincident. Als zo'n incident invloed heeft op de privacy van leerlingen of medewerkers, spreken we van een datalek.
Foutje bedankt!
Veel datalekken worden veroorzaakt door menselijk handelen. En hoewel dit soms als een misser wordt gezien, hoef je je niet te schamen voor zo’n foutje. Het kan iedereen overkomen. Hier zijn enkele voorbeelden van menselijke fouten die wij vaak tegenkomen:
1. Een verkeerde ontvanger
Je staat op het punt een e-mail te verzenden naar de IB’er. In zowel het bericht als de bijlagen is privacygevoelige informatie te vinden. In de adresregel van de ontvanger begin je met het typen van de naam en direct krijg je een aantal suggesties. Bij het versturen kom je erachter dat je de mail naar de verkeerde persoon hebt gestuurd. Helaas heeft deze persoon nu gegevens ontvangen die niet voor hem of haar bestemd waren.
2. Een phishing mail
Je bent druk bezig met het afronden van je lesdag wanneer je een e-mail van de directeur krijgt. Het onderwerp van de e-mail is ‘Dringend’. Snel open je de mail waarin de directeur vraagt of je een betaling wil doen. Zelf zit de directeur in een vergadering, dus kan hij of zij het niet doen. Het moet vandaag gebeuren, dus je doet snel de betaling. De volgende dag vertel je de directeur dat de betaling is gelukt. Je krijgt een vragende reactie: “Welke betaling?”. Snel loop je naar je computer en kom je erachter dat het mailadres niet overeenkomt met dat van de directeur.
3. Een onveilige website
Je hebt voor een lesvoorbereiding een website geopend waarbij je twijfels hebt of dit wel zo’n slim idee was. Je hebt ook nog eens op een verdachte link geklikt binnen deze website. Al snel krijg je aan de lopende band virusmeldingen. In verband met de drukte negeer je deze verdachte waarschuwingen. Uiteindelijk blijkt dat cybercriminelen toegang hebben gekregen tot de systemen van de school en schadelijke software hebben gedownload. En nu?
Oeps! Drie factoren die menselijke fouten in de hand werken
Mensen maken fouten, dat geldt voor iedereen. Het is daarom niet realistisch om te denken dat het jou of je collega's nooit zal overkomen. Alleen vertrouwen op de ICT-afdeling is niet voldoende om menselijke fouten te voorkomen. Er zijn drie factoren die de kans op fouten vergroten:
-
1. Onvoldoende training
Een gebrek aan de juiste training zorgt voor (een verhoogd risico op) een datalek. Terwijl juist een training een relatief laagdrempelig middel is om medewerkers van de juiste handvatten te voorzien. Medewerkers die niet weten hoe ze met gevoelige informatie om moeten gaan of hoe ze phishingaanvallen kunnen herkennen, zijn eerder geneigd een fout te maken.
-
2. Stress en tijdsdruk
We herkennen het allemaal wel. Nog even snel dat ene mailtje sturen of die ene taak afronden voordat je het weekend in gaat. Begrijpelijk, maar juist onder druk maken mensen sneller fouten, zoals het overhaast invoeren van wachtwoorden of het sturen van een mail met gevoelige informatie aan het verkeerde adres.
-
3. Gebrek aan bewustzijn van de risico’s
Je in kunnen beelden wat de mogelijk gevolgen van jouw acties zijn wekt een gevoel van verantwoordelijkheid op bij medewerkers. Als medewerkers niet op de hoogte zijn van de mogelijke risico’s die gepaard gaan met datalekken, is de kans groter dat ze onbewust fouten maken die tot een dergelijk lek kunnen leiden.
Van Oeps! naar oplossing
Gelukkig zijn er maatregelen die scholen kunnen nemen om menselijke fouten te verminderen en de kans op datalekken te verkleinen:
We kunnen het niet vaak genoeg benadrukken: bewustwording is de basis van digitale veiligheid. Techniek helpt, maar echte veiligheid begint bij mensen. Zorg dat medewerkers weten hoe ze om moeten gaan met gevoelige informatie, phishingaanvallen kunnen herkennen en beveiligingsmaatregelen naleven.
Verschillende technische oplossingen kunnen een cruciale rol spelen in het buiten de deur houden van cybercriminelen. Zet geavanceerde firewalls, antivirussoftware en multi-factor-authenticatie in om cybercriminelen buiten de deur te houden.
Vaak zijn medewerkers niet (volledig) op de hoogte van de mogelijke risico’s en de gevolgen. Benadruk het belang van digitale veiligheid en moedig medewerkers aan om verdachte activiteiten direct te melden.
Wat kun je op dit moment al doen om een datalek op school te voorkomen?
Bij Cloudwise begrijpen we dat foutief menselijk handelen niet altijd te voorkomen is. Maar met de juiste tools, trainingen en maatregelen kun je de risico’s minimaliseren en datalekken een stap voor blijven. Via de Cloudwise Academy richten we ons specifiek op het versterken van bewustwording en het creëren van een cultuur van digitale veiligheid. Zo zijn medewerkers goed voorbereid op de dreigingen die hun dagelijkse werk kunnen verstoren

Adviesgesprek aanvragen
Wil jij stappen zetten in het verantwoord inzetten van ICT in het onderwijs? En jezelf en je team ontwikkelen. Ga dan in gesprek met onze onderwijsadviseurs over de mogelijkheden.