Hoe cyberbewust ben jij?

Gepubliceerd op: 13-09-2019

Een vliegticket boeken, online kleding bestellen of de dekking van je autoverzekering aanpassen. Herkenbaar? Het zijn allemaal dingen die iedereen weleens doet en ze hebben één belangrijke overeenkomst: het invoeren van persoonsgegevens. We laten onze gegevens overal achter.

Dit geldt ook voor de klanten die in het systeem van jouw bedrijf staan. Mensen moeten er vanuit kunnen gaan dat deze persoonlijke informatie goed beveiligd is, maar niet alle bedrijven hebben hun IT-beveiliging of interne procedures goed op orde. Slecht beveiligde informatie kan leiden tot een datalek en misbruik van deze persoonlijke gegevens.

Wat is een datalek eigenlijk?

We spreken van een datalek als persoonsgegevens in handen vallen van derden die daar geen toegang toe zouden mogen hebben. Denk aan een hack van het systeem, een verloren USB of printje met patiëntengegevens, een brief of mail met gevoelige informatie naar de verkeerde persoon, een gestolen medisch dossier. Maar ook wanneer klantgegevens per ongeluk gewist worden of wanneer door een brand klantgegevens verloren gaan is er sprake van een datalek.

Als er veel en/of gevoelige gegevens gelekt of verloren zijn gegaan en als er een kans is op nadelige gevolgen voor de bescherming van deze persoonsgegevens, dan moet je dit datalek melden bij de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens).

Meldingsplicht datalekken en boetes

Sinds 1 januari 2016 geldt de Meldplicht Datalekken: organisaties zijn verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Dat is met de komst van de nieuwe Europese privacywetgeving in 2018 niet veranderd. In grote lijnen komt het er neer dat je verplicht bent te weten waar in jouw organisatie risico’s liggen op een datalek, dat je (preventieve) maatregelen hebt genomen en dat medewerkers weten waar ze op moeten letten en wat ze wel en niet moeten doen.

Er staan ook grote boetes op een datalek en als blijkt dat je je zaakjes niet goed op orde hebt. Bij een ernstig lek moet een bedrijf alle betrokkenen informeren. Doe je dat niet? Dan dreigt in dat geval een forse boete tot wel 20 miljoen euro of 10% van de omzet.

Datalekken zijn een grote bedreiging voor het imago en continuïteit van een bedrijf.

Wanneer privacygevoelige gegevens van bijvoorbeeld klanten, prospects, medewerkers of andere betrokken personen in verkeerde handen of op straat terechtkomen, dan kan dat veel onrust en forse imagoschade teweegbrengen.

Recent kwam een groot ziekenhuis meerdere keren in het nieuws vanwege datalekken. Eerst omdat uit onderzoek naar voren kwam dat de beveiliging van patiëntendossiers niet op alle punten in orde is, waarvoor een boete van 460.000 euro werd opgelegd door de Autoriteit Persoonsgegevens. Vorige week werd de gebrekkige interne beveiliging min of meer bevestigd, toen bleek dat lijsten met oa namen en geboortedata van patiënten zijn gebruikt als boodschappenlijstje en vervolgens waren blijven liggen in een winkelkarretje. Het is dan ook niet raar dat 94% van de Nederlanders maakt zich zorgen over hun privacy.

Hoe kun je datalekken zo goed mogelijk voorkomen?

Het lijkt dus heel logisch dat je voorzichtig om gaat met de gegevens van jouw klanten, maar uit bovenstaande voorbeeld blijkt maar weer eens dat de praktijk een stuk weerbarstiger is. Daarom hebben we 9 tips voor je op een rij gezet om datalekken zo veel mogelijk voorkomen.

Deze tips zijn niet alleen bedoeld om zo snel mogelijk in gebruik te nemen, maar ook vooral om je bewust te maken van de veranderende regelgeving en de bijkomende risico’s. Iedereen kan namelijk het slachtoffer worden van een datalek en dus een boete riskeren. 

1. Zorg dat medewerkers zich bewust zijn van de bedreigingen

Mensen zijn de zwakste schakel als het gaat om ICT-beveiliging, en dat geldt ook voor het voorkomen van datalekken. Maar liefst 79 procent van alle datalekken worden veroorzaakt door ‘fouten’ veroorzaakt door het ontbreken van ICT-gebruiksbeleid of opzettelijke gedragingen van het eigen personeel. In veel gevallen is onwetendheid de boosdoener. Medewerkers klikken bijvoorbeeld op links en bijlagen in verdachte e-mail en installeren daarmee malware. Ze laten bijvoorbeeld USB-sticks slingeren in het openbaar vervoer, of kopiëren bewust gevoelige gegevens op mobiele datadragers.

Of ze houden zich niet aan het opgestelde privacybeleid en gaan daardoor op een verkeerde manier om met privacygevoelige gegevens. Cybercriminelen maken vaak misbruik van de onwetendheid en goedgelovigheid van medewerkers. Dat noemen we ‘social engineering’.

Monitor waar nodig op de handhaving van het privacy- en ICT-gebruiksbeleid. En geef je medewerkers de volgende tips en richtlijnen mee en leg ze uit waarom je deze richtlijnen meegeeft.

  • Neem je gevoelige gegevens mee, bijvoorbeeld op een USB-stick? Zorg dan dat ze versleuteld zijn; Een USB stick is zo vergeten en voor je het weet liggen er persoonsgegevens op straat.

  • Verstuur geen persoonsgegevens via WhatsApp, gratis e-mailaccounts of gratis opslag in de Cloud; Veel aanbieders van clouddiensten zijn gevestigd in de VS, waardoor de Amerikaanse overheid zich op basis van de Patriot Act toegang kan verschaffen tot jouw klantgegevens.

  • Instrueer medewerkers om lokale opslag van persoonsgegevens, op smartphone, tablet of laptop, tot een minimum te beperken. Zeker wanneer deze ook toegankelijk zijn via de eigen randapparatuur.

  • Maak medewerkers bewust van de risico’s die het downloaden en installeren van software en apps en installeren op bedrijfsapparatuur met zich meebrengen. Dit zorgt immers voor kwetsbaarheden in de databeveiliging.

  • Meldt medewerkers dat (kopieën van) bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers verwijderd moeten worden. Het is belangrijk dat iedereen zich ervan bewust is dat ze zorgvuldig met dit soort bestanden moeten omgaan, zodat onbevoegden er niet bij kunnen.

  • Geef aan dat medewerkers extra voorzichtig moeten zijn wanneer ze vanuit een externe locatie gebruikmaken van een publiek netwerk om verbinding te maken met het bedrijfsnetwerk. Internetverbindingen zijn namelijk niet altijd veilig. Raad daarom aan om openbare netwerken te vermijden wanneer het kan en dat men gebruikmaakt van een beveiligde verbinding. Een VPN-verbinding kan hiervoor een oplossing bieden.

​Organiseer tenslotte workshops en trainingen om het personeel bewust te maken van de risico’s. Laat ze bijvoorbeeld de de online cursus "Digitale Veiligheid" op www.travelcollege.nl volgen om inzicht te krijgen in het belang van digitale veiligheid en praktische handvatten te krijgen om veilig te kunnen werken in dit digitale tijdperk.

2.  Versleutel je bestanden met persoonsgegevens en gebruik waar mogelijk een beveiligde SFTP-server

Bijna alle organisaties maken gebruik van netwerken voor het transporteren van persoonsgegevens. Deze datacommunicatie kan binnen de eigen organisatie plaatsvinden, maar ook met externe bureaus of partnerorganisaties. Wanneer persoonsgegevens over netwerken worden verstuurd, ontstaat een beveiligingsrisico.

Het is mogelijk dat de gegevens tijdens het transport in handen komen van onbevoegden of dat gegevens aangepast worden. Dit is op verschillende manieren te ondervangen, bijvoorbeeld door gebruik te maken van een SFTP-server of extranet.

Als gegevens uitwisselt per e-mail of fysieke gegevensdragers zoals USB-stickszorg dat deze gegevens goed versleuteld zijn. Versleuteling van privacygevoelige verkleint ernst van een datalek. Met encryptietechnologie maak je digitale gegevens onleesbaar voor derden. Wanneer versleutelde gegevens in de handen van derden terechtkomen, is er meestal geen sprake van een datalek. De data is onversleuteld immers onleesbaar en niet herleidbaar naar (individuele) personen.

3. Vernietig alle persoonsgegevens op afgeschreven hardware alle persoonsgegevens

Zorg dat persoonsgegevens onleesbaar zijn gemaakt bij het verkopen of vernietigen van hardwaren. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf. Zorg dus dat de data overschreven worden of maak de gegevensdragers in zijn geheel onbruikbaar. En vergeet vooral ook de printer niet - die hebben vaak nog honderden print- en scanopdrachten in het geheugen staan.

4. Zorg voor een gecontroleerd applicatieregister voor kritische bedrijfsapparatuur

Zorg er voor dat op apparaten, die toegang hebben tot persoonsgegevens, het niet is toegestaan voor medewerkers om zelf software of apps te downloaden en installeren. Dit kun je oplossen met een gecontroleerd applicatieregister.

5. Gebruik een apart draadloos gastnetwerk.

Zorg voor twee verschillende netwerken in je kantoor, waarbij gasten wél internettoegang hebben en kunnen communiceren met andere apparaten in het netwerk, maar geen toegang hebben tot het hoofdnetwerk van de router.

6. Beperk de toegang tot gegevens en gebruik niet meer gegevens dan nodig.

Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik. En vaak zijn niet alle persoonsgegevens nodig, verzamel dus geen ‘overbodige gegevens’ die geen waarde toevoegen.

7. Vermijd als cloudopslag- en webmaildiensten buiten de EU

De Europese richtlijnen op het gebied van dataprivacy zijn streng. Maar de VS neemt het wat minder nauw met dat grondrecht. De Amerikaanse overheid mag door de Patriot Act altijd data opvragen van providers wanneer daar volgens de VS een ‘aannemelijk belang bij is’.

Wanneer gegevens in handen van de Amerikaanse overheid terechtkomen, is er sprake van een datalek. Vermijd dan ook voor de opslag en verwerking van persoonsgegevens het gebruik van de publieke clouddiensten die gehost worden op Amerikaanse servers. Denk daarbij aan diensten als Google Drive en Dropbox. Maar ook webmaildiensten als Hotmail, Gmail en Outlook Webmail zijn om deze redenen ongeschikt voor het versturen van privacygevoelige gegevens.

Zorg dus dat email en opslag en/of verwerking van gevoelige gegevens door een gecertificeerd bedrijf (NEN 7510 of ISO 27001) gebeurt. En maak in ieder geval duidelijke afspraken op papier, een ‘bewerkersovereenkomst’, met het betreffende bedrijf;

8. Voer een risicoanalyse uit

Voer een risicoanalyse uit op de processen waar gegevensuitwisseling van klanten of medewerkers plaatsvindt en neem waar nodig organisatorische en technische beveiligingsmaatregelen

9. Zorg voor een protocol ‘melding datalekken’ voor als het toch misgaat

Mocht een datalek onverhoopt plaatsvinden, dan is het goed wanneer je als organisatie een ‘noodplan’ hebt klaarleggen. Maak een protocol ‘melding datalekken’ en bepaal de verantwoordelijkheden hierbij. Zodat, als er een datalek is, iedereen weet wat hij moet doen.
In zo’n protocol staat nauwkeurig beschreven welke stappen moeten worden doorlopen en welke rollen medewerkers hebben. Weet wie bij welke data kan en zorg voor logs die alle handelingen nauwgezet bijhouden.

Hou ook een lijst bij van incidenten, ook als ze niet gemeld zijn bij de Autoriteit Persoonsgegevens. Je kunt van de incidenten leren en je kunt aantonen dat je zicht hebt op de fouten binnen je organisatie.

Datalekken zijn nooit voor de volle 100% te voorkomen. Maar de juiste maatregelen maken de kans erop wel behoorlijk kleiner!


 
Bron: marketingfacts, Beeproger, yoursafetynet, eenvoudinkwaliteit

Waar heb jij een vraag over?

0
Je hebt aangegeven geen toestemming te geven voor het plaatsen van cookies. Sommige functies werken mogelijk niet zonder cookies. Mocht je jouw keuze willen wijzigen, dan kan dit altijd middels deze cookie-consent pop-up. Meer weten over de cookies die we gebruiken? Ga naar onze cookie-informatiepagina. Bekijk hier het privacybeleid van Reiswerk voor meer informatie over hoe wij met jouw persoonsgegevens omgaan.