Het privacylek dat niemand zag aankomen

Een IT-manager krijgt op maandagochtend een mailtje van een stagiair: “Ik kwam toevallig deze map tegen op de gedeelde schijf. Staan daar echt de salarisgegevens van het hele bedrijf in?” Dat is het moment waarop het kwartje valt. Niet dat de systemen gehackt zijn. Niet dat iemand kwaad wilde. Gewoon: een map die ooit door iemand is opgezet voor “het projectteam salarisharmonisatie” en nooit meer dichtgezet. Inmiddels heeft de halve organisatie er toegang toe - inclusief mensen die er allang niet meer werken.

Dit is het patroon dat we in vrijwel elke organisatie zien. Netwerkschijven die ooit “even tijdelijk” zijn opgezet. SharePoint-sites die door elk project worden aangemaakt en nooit opgeruimd. Mailboxen van vertrokken medewerkers die voor de zekerheid nog openstaan. Scans van ID-bewijzen in een HR-map uit 2014. Een BSN dat per ongeluk in een klantdossier is beland. De gemene deler: de organisatie weet niet meer wat er staat, wie erbij kan, en of het er überhaupt nog mag staan. En dat is geen abstract risico; tekortkomingen in de beveiliging van persoonsgegevens vallen onder een boetemaximum van €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In 2024 registreerde de Autoriteit Persoonsgegevens een recordaantal van bijna 38.000 datalekmeldingen, en de gemiddelde financiële schade van een cyberaanval bedroeg volgens de AP’s Datalekkenrapportage 2024 rond de €104.000. Of zoals de AP het zelf samenvat: “Wat je niet (meer) hebt, kan ook niet lekken.”

De Functionaris Gegevensbescherming stelt dan de logische vraag: geef me een overzicht van waar we persoonsgegevens opslaan, wie daarbij kan, en of de bewaartermijn nog loopt. Stilte. Dat overzicht bestaat niet. Er is een verwerkingsregister, maar dat zegt niets over de 40 TB aan losse bestanden op een fileserver. IT ziet welke rechten op welke map staan, maar niet wát er in die bestanden stáát. De klassieke oplossing, een extern bureau dat met honderd mensen door mappen klikt, is duur, traag en incompleet. Mensen die handmatig door tienduizenden bestanden gaan, missen dingen. Altijd.

Wij draaien het om. Voordat je beslist wat er moet gebeuren, moet je weten wat je hebt. Het platform scant file shares, SharePoint en DMS-systemen, maakt oude scans doorzoekbaar met OCR, en herkent automatisch documenten met persoonsgegevens, BSN’s, medische of financiële informatie, en bedrijfsvertrouwelijke stukken. Belangrijker nog: die inhoudsanalyse wordt gekoppeld aan de access control lists. Zo verschijnt er in één overzicht niet een abstracte heatmap, maar: “In deze map staan 3.400 documenten met persoonsgegevens en 287 medewerkers hebben hier toegang - waarvan 42 niet meer in dienst.” Daarna volgt de opruiming, gestuurd door business rules - welke documenten mogen weg op basis van bewaartermijnen, welke moeten verplaatst, waar moeten rechten worden ingetrokken - met een volledige audit trail. Want als de AP belt, is dat precies het verhaal dat je moet kunnen vertellen.

Het echte resultaat is niet een rapport. Het is rust. De FG kan aan de toezichthouder laten zien dat de organisatie weet wat ze heeft, waar het staat, en wie erbij kan. De organisatie gaat van reactief - wachten tot er iets uitkomt - naar aantoonbaar in control. Geen mail meer van een stagiair. En als die wel komt, is het antwoord: “We weten het al. En het is opgelost.”