Datalekken zijn een grote bedreiging voor het imago en continuïteit van een organisatie. Wanneer privacygevoelige gegevens van bijvoorbeeld klanten, prospects, medewerkers leerlingen of andere betrokken personen in verkeerde handen of op straat terechtkomen, dan kan dat veel onrust en forse imagoschade teweegbrengen.
Meldplicht Datalekken - AVG
Sinds 1 januari 2016 geldt de Meldplicht Datalekken: organisaties zijn verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Dat verandert met de komst van de nieuwe Europese privacywetgeving niet. De Autoriteit Persoonsgegevens kan de organisatie dwingen om passende maatregelen te nemen. Bij een ernstig lek moet de organisatie alle betrokkenen informeren, wat tot nog meer onrust en imagoschade leidt. Ook dreigt in dat geval een forse boete van 20 miljoen euro of 10% van de omzet.
Onder de nieuwe AVG moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen om datalekken te voorkomen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens? Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan.
Voorkomen is beter dan genezen
Hoe voorkom je een datalek? Hieronder hebben we een aantal veelvoorkomende oorzaken en tips verzameld.
- Zorg voor een compliant privacy- en ICT-gebruiksbeleid
Het allerbelangrijkste in het voorkomen van datalekken is een grondig en compliant privacybeleid. Organisaties die persoonsgegevens verwerken, mogen dat alleen volgens strenge wet- en regelgeving doen.
Het opstellen en handhaven van een privacybeleid is beslist geen eenvoudige opgave. Zo moet tussen de verantwoordelijke en de verwerker een verwerkersovereenkomst worden opgesteld, die ook weer aan allerlei juridische eisen moet voldoen. Toch is dat slechts een van de verplicht te nemen maatregelen. Gelukkig bestaat er speciale software die bedrijven hiermee ontzorgen.
- Maak gebruik van encryptie
Versleuteling van privacygevoelige gegevens is een van de middelen om datalekken te voorkomen, of in ieder geval de ernst ervan te verkleinen. Met encryptietechnologie maak je digitale gegevens onleesbaar voor derden. Wanneer versleutelde gegevens in de handen van derden terechtkomen, is er meestal geen sprake van een datalek. De data is onversleuteld immers onleesbaar en niet herleidbaar naar (individuele) personen.
- Vermijd cloudopslagdiensten buiten de EU
De Europese richtlijnen op het gebied van dataprivacy zijn streng. De Amerikaanse overheid mag daarentegen door de Patriot Act altijd data opvragen van providers wanneer daar volgens de VS een ‘aannemelijk belang bij is’. Wanneer gegevens in handen van de Amerikaanse overheid terechtkomen, is er sprake van een datalek. Vermijd dan ook voor de opslag en verwerking van persoonsgegevens het gebruik van de publieke cloud gehost op Amerikaanse servers. Denk daarbij aan diensten als Google Drive en Dropbox. Ook webmaildiensten als Gmail en Outlook Webmail zijn om deze redenen ongeschikt voor het versturen van privacygevoelige gegevens.
- Zorg voor afdoende security-voorzieningen tegen hackers en malware
Cybercriminelen hebben het vaak gemunt op persoonsgegevens. Deze kunnen immers veel geld opleveren. Ook ransomware is een populair middel. Hierbij gaat het om een vorm van afpersing: kwaadaardige software zorg daarbij voor de versleuteling van (persoons)gegevens. Alleen tegen losgeld worden deze data weer leesbaar gemaakt. In beide gevallen is er sprake van een datalek.
- Monitor op risicovolle databewegingen
Datalekken worden vaak veroorzaakt door medewerkers, al dan niet bewust. Ze laten bijvoorbeeld USB-sticks slingeren in het openbaar vervoer, of kopiëren bewust gevoelige gegevens op mobiele datadragers.
- Werk aan het privacy- en security-bewustzijn van het personeel
Mensen zijn de zwakste schakel als het gaat om ICT-beveiliging, en dat geldt ook voor het voorkomen van datalekken. Bijna 80% van alle datalekken worden veroorzaakt door ‘fouten’ veroorzaakt door het ontbreken van ICT-gebruiksbeleid of opzettelijke gedragingen van het eigen personeel. In veel gevallen is onwetendheid de boosdoener. Cybercriminelen maken vaak misbruik van de onwetendheid en goedgelovigheid van mensen.
Mocht de recherche in het spel komen, bijvoorbeeld wanneer een datalek het gevolg is van een misdrijf, dan is het goed zo veel mogelijk informatie ter beschikking te hebben. Weet wie bij welke data kan en zorg voor logs die alle handelingen nauwgezet bijhouden. Datalekken zijn nooit volledig te voorkomen. Maar de juiste maatregelen maken de kans erop wel behoorlijk kleiner. Iedere organisatie is dat aan zijn betrokkenen verplicht, zowel wettelijk als moreel.
Bron: AVG, yoursafetynet.com, (foto) Unsplash
