9 tips om datalekken te voorkomen
09 sep 2019Vorige week hebben we aandacht besteed aan Privacy. En iedereen vindt privacy belangrijk en begrijpt dat je voorzichtig moet zijn met je eigen en andermans persoonlijke gegevens, maar gek genoeg handelen we er niet altijd naar.
Dat terwijl je klanten vanuit moeten kunnen gaan dat hun persoonlijke informatie goed beveiligd is, maar niet alle bedrijven hebben hun IT-beveiliging of interne procedures goed op orde. Slecht beveiligde informatie kan leiden tot een datalek en misbruik van deze persoonlijke gegevens.
Wat is een datalek eigenlijk?
We spreken van een datalek als persoonsgegevens in handen vallen van derden die daar geen toegang toe zouden mogen hebben. Denk aan een hack van het systeem, een verloren USB of printje met patintengegevens, een brief of mail met gevoelige informatie naar de verkeerde persoon, een gestolen medisch dossier. Maar ook wanneer klantgegevens per ongeluk gewist worden of wanneer door een brand klantgegevens verloren gaan is er sprake van een datalek.
Als er veel en/of gevoelige gegevens gelekt of verloren zijn gegaan en als er een kans is op nadelige gevolgen voor de bescherming van deze persoonsgegevens, dan moet je dit datalek melden bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens).
Meldingsplicht datalekken en boetes
Sinds 1 januari 2016 geldt de Meldplicht Datalekken: organisaties zijn verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Dat is met de komst van de nieuwe Europese privacywetgeving in 2018 niet veranderd. In grote lijnen komt het er neer dat je verplicht bent te weten waar in jouw organisatie risico’s liggen op een datalek, dat je (preventieve) maatregelen hebt genomen en dat medewerkers weten waar ze op moeten letten en wat ze wel en niet moeten doen.
Er staan ook grote boetes op een datalek en als blijkt dat je je zaakjes niet goed op orde hebt. Bij een ernstig lek moet een bedrijf alle betrokkenen informeren. Doe je dat niet? Dan dreigt in dat geval een forse boete tot wel 20 miljoen euro of 10% van de omzet.
Datalekken zijn een grote bedreiging voor het imago en continuteit van een bedrijf.
Wanneer privacygevoelige gegevens van bijvoorbeeld klanten, prospects, medewerkers of andere betrokken personen in verkeerde handen of op straat terechtkomen, dan kan dat veel onrust en forse imagoschade teweegbrengen.
Recent kwam een groot ziekenhuis meerdere keren in het nieuws vanwege gebrekkige privacy procedures en vervolgens zelfs een datalek. Eerst omdat uit onderzoek naar voren kwam dat de beveiliging van patintendossiers niet op alle punten in orde is, waarvoor een boete van 460.000 euro werd opgelegd door de Autoriteit Persoonsgegevens. Vorige week werd de gebrekkige interne beveiliging min of meer bevestigd, toen bleek dat lijsten met oa namen en geboortedata van patinten zijn gebruikt als boodschappenlijstje en vervolgens waren blijven liggen in een winkelkarretje. Het is dan ook niet raar dat 94% van de Nederlanders maakt zich zorgen over hun privacy.
Hoe kun je datalekken zo goed mogelijk voorkomen?
Het lijkt dus heel logisch dat je voorzichtig om gaat met de gegevens van jouw klanten, maar uit bovenstaande voorbeeld blijkt maar weer eens dat de praktijk een stuk weerbarstiger is. Daarom hebben we 9 tips voor je op een rij gezet om datalekken zo veel mogelijk voorkomen.
Deze tips zijn niet alleen bedoeld om zo snel mogelijk in gebruik te nemen, maar ook vooral om je bewust te maken van de veranderende regelgeving en de bijkomende risico’s. Iedereen kan namelijk het slachtoffer worden van een datalek en dus een boete riskeren.
1. Zorg dat medewerkers zich bewust zijn van de bedreigingen
Mensen zijn de zwakste schakel als het gaat om ICT-beveiliging, en dat geldt ook voor het voorkomen van datalekken. Maar liefst 79 procent van alle datalekken worden veroorzaakt door ‘fouten’ veroorzaakt door het ontbreken van ICT-gebruiksbeleid of opzettelijke gedragingen van het eigen personeel. In veel gevallen is onwetendheid de boosdoener. Medewerkers klikken bijvoorbeeld op links en bijlagen in verdachte e-mail en installeren daarmee malware. Ze laten bijvoorbeeld USB-sticks slingeren in het openbaar vervoer, of kopiren bewust gevoelige gegevens op mobiele datadragers. Of ze houden zich niet aan het opgestelde privacybeleid en gaan daardoor op een verkeerde manier om met privacygevoelige gegevens.
Niet alles is wat het lijkt. Zeker online. Maak je medewerkers bewust van cyberrisico's. En zorg dat ze veilig met de informatie van jouw bedrijf omspringen. Monitor waar nodig op de handhaving van het privacy- en ICT-gebruiksbeleid. En geef je medewerkers duidelijke en praktische tips en richtlijnen mee en leg ze uit waarom je deze richtlijnen meegeeft.
Veilig werken is een zaak van iedereen. Betrek al je medewerkers bij het beschermen van je bedrijf. Want alleen samen verlaagt je cyberrisico's echt. Organiseer tenslotte workshops en trainingen om het personeel bewust te maken van de risico’s. Laat ze bijvoorbeeld de de online cursus "Digitale Veiligheid" op www.travelcollege.nl volgen om inzicht te krijgen in het belang van digitale veiligheid en praktische handvatten te krijgen om veilig te kunnen werken in dit digitale tijdperk.
2. Versleutel je bestanden met persoonsgegevens en gebruik waar mogelijk een beveiligde SFTP-server
Bijna alle organisaties maken gebruik van netwerken voor het transporteren van persoonsgegevens. Deze datacommunicatie kan binnen de eigen organisatie plaatsvinden, maar ook met externe bureaus of partnerorganisaties. Wanneer persoonsgegevens over netwerken worden verstuurd, ontstaat een beveiligingsrisico.
Het is mogelijk dat de gegevens tijdens het transport in handen komen van onbevoegden of dat gegevens aangepast worden. Dit is op verschillende manieren te ondervangen, bijvoorbeeld door gebruik te maken van een SFTP-server of extranet.
Als gegevens uitwisselt per e-mail of fysieke gegevensdragers zoals USB-stickszorg dat deze gegevens goed versleuteld zijn. Versleuteling van privacygevoelige verkleint ernst van een datalek. Met encryptietechnologie maak je digitale gegevens onleesbaar voor derden. Wanneer versleutelde gegevens in de handen van derden terechtkomen, is er meestal geen sprake van een datalek. De data is onversleuteld immers onleesbaar en niet herleidbaar naar (individuele) personen.
3. Vernietig alle persoonsgegevens op afgeschreven hardware alle persoonsgegevens
Zorg dat persoonsgegevens onleesbaar zijn gemaakt bij het verkopen of vernietigen van hardwaren. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf. Zorg dus dat de data overschreven worden of maak de gegevensdragers in zijn geheel onbruikbaar. En vergeet vooral ook de printer niet - die hebben vaak nog honderden print- en scanopdrachten in het geheugen staan.
4. Zorg voor een gecontroleerd applicatieregister voor kritische bedrijfsapparatuur
Zorg er voor dat op apparaten, die toegang hebben tot persoonsgegevens, het niet is toegestaan voor medewerkers om zelf software of apps te downloaden en installeren. Dit kun je oplossen met een gecontroleerd applicatieregister.
5. Gebruik een apart draadloos gastnetwerk.
Zorg voor twee verschillende netwerken in je kantoor, waarbij gasten wl internettoegang hebben en kunnen communiceren met andere apparaten in het netwerk, maar geen toegang hebben tot het hoofdnetwerk van de router.
6. Beperk de toegang tot gegevens en gebruik niet meer gegevens dan nodig.
Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik. En vaak zijn niet alle persoonsgegevens nodig, verzamel dus geen ‘overbodige gegevens’ die geen waarde toevoegen.
7. Vermijd cloudopslag- en webmaildiensten buiten de EU
De Europese richtlijnen op het gebied van dataprivacy zijn streng. Maar de VS neemt het wat minder nauw met dat grondrecht. De Amerikaanse overheid mag door de Patriot Act altijd data opvragen van providers wanneer daar volgens de VS een ‘aannemelijk belang bij is’.
Wanneer gegevens in handen van de Amerikaanse overheid terechtkomen, is er sprake van een datalek. Vermijd dan ook voor de opslag en verwerking van persoonsgegevens het gebruik van de publieke clouddiensten die gehost worden op Amerikaanse servers. Denk daarbij aan diensten als Google Drive en Dropbox. Maar ook webmaildiensten als Hotmail, Gmail en Outlook Webmail zijn om deze redenen ongeschikt voor het versturen van privacygevoelige gegevens.
Zorg dus dat email en opslag en/of verwerking van gevoelige gegevens door een gecertificeerd bedrijf (NEN 7510 of ISO 27001) gebeurt. En maak in ieder geval duidelijke afspraken op papier, een ‘bewerkersovereenkomst’, met het betreffende bedrijf;
8. Voer een risicoanalyse uit
Voer een risicoanalyse uit op de processen waar gegevensuitwisseling van klanten of medewerkers plaatsvindt en neem waar nodig organisatorische en technische beveiligingsmaatregelen
9. Zorg voor een protocol ‘melding datalekken’ voor als het toch misgaat
Mocht een datalek onverhoopt plaatsvinden, dan is het goed wanneer je als organisatie een ‘noodplan’ hebt klaarleggen. Maak een protocol ‘melding datalekken’ en bepaal de verantwoordelijkheden hierbij. Zodat, als er een datalek is, iedereen weet wat hij moet doen.
In zo’n protocol staat nauwkeurig beschreven welke stappen moeten worden doorlopen en welke rollen medewerkers hebben. Weet wie bij welke data kan en zorg voor logs die alle handelingen nauwgezet bijhouden.
Hou ook een lijst bij van incidenten, ook als ze niet gemeld zijn bij de Autoriteit Persoonsgegevens. Je kunt van de incidenten leren en je kunt aantonen dat je zicht hebt op de fouten binnen je organisatie.
Datalekken zijn nooit voor de volle 100% te voorkomen. Maar de juiste maatregelen maken de kans erop wel behoorlijk kleiner!
Bron: marketingfacts, Beeproger, yoursafetynet, eenvoudinkwaliteit
