Metadata in documenten kunnen zorgen voor een datalek

Ook documenten kunnen namen bevatten van medewerkers. Op het moment dat die documenten met de buitenwereld gedeeld worden, kan er sprake zijn van een datalek. Niet iets waar u meteen aan denkt, zoals ook de Autoriteit Persoonsgegevens deze week zelf ondervond.

20 maart 2018 | Door redactie

In de meeste documenten worden achter de schermen de zogenoemde metadata opgeslagen. Afhankelijk van de manier waarop een organisatie haar softwaresystemen heeft ingericht, kunnen deze metadata de namen van de makers bevatten. Dit zijn negen van de tien keer medewerkers van de organisatie. Op het moment dat die documenten met de buitenwereld gedeeld worden, kunnen buitenstaanders de metadata ook bekijken, aangezien deze niet afgeschermd zijn. Nog afgezien van het feit dat medewerkers hier niet van op de hoogte zijn, wordt het pijnlijk als het gaat om een organisatie waarvan medewerkers van de buitenwereld worden afgeschermd.

Lek bij Autoriteit Persoonsgegevens

Dat bleek de afgelopen het geval bij toezichthouder de Autoriteit Persoonsgegevens. Haar beleid is dat namen van medewerkers aan een onderzoek uit privacyoverwegingen niet bekend worden gemaakt, maar door de metadata kwamen de namen toch naar buiten. Dan is er sprake van een datalek, en de Autoriteit moest dus de hand in eigen boezem steken. Bovendien moest zij kosten maken om de metadata te laten anonimiseren. Niet alleen de namen van de auteurs worden erin opgeslagen, maar ook hoe lang er aan het document gewerkt is en wanneer, of hoe vaak het geprint is.

Metadata oproepen

In Word zijn de metadata op te roepen door het document te openen en dan op Bestand te klikken. Er opent zich een overzicht (Info), waarbij aan de rechterkant van het scherm de metadata van het document te zien zijn. Bij een pdf (tool) werkt het min of meer op dezelfde manier. Door na het openen van het document te klikken op Bestand en dan Eigenschappen (of File en Properties) wordt het mogelijk de metadata in te zien. Extra aandacht is nodig voor documenten die gemaakt zijn door medewerkers die niet meer bij de organisatie werken. Als die documenten met externe partijen gedeeld worden, is de betreffende persoon daar niet van op de hoogte.