Datalekken en andere privacyincidenten voorkomen? Verklein de menselijke risicofactor!

Veel datalekken en andere cyberincidenten ontstaan door onbewust gedrag van medewerkers. Dat risico valt gelukkig met de juiste maatregelen sterk te verkleinen. Zo pak je dat aan.

Lees Blog

Het grootste risico voor de privacy van je klanten, medewerkers, partners en andere contacten? Het zijn niet hackers of andere schimmige figuren, maar je eigen personeel. Bedreigingen van binnenuit laten zich lastig voorspellen, houden zich niet aan trends, maar kunnen wel enorme schade aanrichten. Datalekken bijvoorbeeld worden in het overgrote deel van de gevallen veroorzaakt door ‘geklungel’ van het eigen personeel, en niet door bewuste diefstal van de kwaadwillende hacker.

Deze maatregelen verkleinen de menselijke risicofactor:

1. Een bewuste organisatie begint bij een bewuste boardroom

De meeste leidinggevenden begrijpen dat privacy en security serieuze issues zijn, maar lang niet iedereen begrijpt zijn of haar eigen rol daarin. Een cultuur van bewustzijn begint bij een bewuste boardroom. Zonder hun erkenning van de risico’s en kennis over het onderwerp kun je moeilijk wonderen van het overige personeel verwachten.

Inmiddels erkennen veel raden van bestuur dat zij in geval van een inbreuk vaak wettelijk aansprakelijk kunnen worden gesteld. En dat ze moeten aantonen dat zij de nodige zorgvuldigheid hebben betracht bij het beschermen van klanten en activa. Houd wel in het achterhoofd dat het C-level personeel doorgaans niet alle onderwerpen begrijpt die te maken hebben met IT-beveiliging. Help hen met het begrijpen van de complexiteit van dit onderwerp en pleit voor bewustwording in je organisatie.

2. Zorg voor voldoende toegankelijke kennis van het privacy- en ICT-gebruiksbeleid

Kennis is macht, en in dit geval bescherming. Hoe meer je medewerkers weten over hoe ze je kunnen helpen met het voorkomen van datalekken en andere cyberincidenten, hoe veiliger je bedrijf en je gegevens zullen zijn.

Zorg er dan ook voor dat het gehele personeelsbestand op de hoogte is van het privacy- en ICT-gebruiksbeleid van de organisatie. Mocht je nog niet over een (gedocumenteerd) beleid beschikken, dan is dit een goed moment om deze op te stellen.

De spelregels goed op papier zetten is een ding, maar een goede kennisgeving richting het personeel is daarmee niet gegarandeerd. Ieder personeelslid zou op de hoogte moeten zijn van het privacy- en ICT-gebruiksbeleid Laat hen deze beleidspapieren ondertekenen en besteed tijdens het onboardingproces van nieuwe medewerkers hier uitgebreid aandacht aan. Dat voorkomt dat medewerkers zich kunnen schuilen achter het ‘ik wist het niet’-excuus.

3. Houd persoonlijke sessies met medewerkers

Vaak ontstaan onnodige risico’s door simpelweg het ontbreken van kennis en bewustzijn van de gevaren. Hackers maken eenvoudig misbruik van die onwetendheid via social engineering. Ze gebruiken een babbeltruc, klikken op bijlagen en links in valse e-mail (phishing) of strooien met besmette usb-sticks op kantoor.

Die onwetendheid kan en moet je wegnemen met een bewustwordingsprogramma. Zo’n interne opleiding werkt, vooral wanneer je gevarieerd en creatief gebruik maakt van allerlei soorten lesmateriaal. Maak gebruik van persoonlijke sessies, webinars, infographics en video’s om de boodschap over te brengen.

4. Creëer een meldcultuur, geen angstcultuur

Hoe eerder een cyberincident wordt opgemerkt, hoe groter de kans dat de schade beperkt blijft. Dat geldt zeker voor een datalek. Ernstige datalekken moeten altijd worden gemeld bij de Autoriteit Persoonsgegevens, en mogelijk ook aan de betrokkenen. Zorg dat medewerkers precies weten wat ze in zo’n geval moeten doen. Namen en telefoonnummers van IT-verantwoordelijken moeten voor hen altijd binnen handbereik zijn.

Het daarbij belangrijk dat medewerkers lekken door eigen fouten durven melden. Bestraf hen niet, maar complimenteer ze wanneer ze lekken eerlijk melden. Niets zo schadelijk voor de lange termijn als datalekken die onder het spreekwoordelijke tapijt weggemoffeld worden.

5. Hanteer een strak autorisatiebeleid

Veel datalekken ontstaan doordat persoonsgegevens onder ogen komen of verwerkt worden door medewerkers die daartoe niet gerechtigd zijn. Dat kun je voorkomen met een strikt toegangsbeleid. Toegang tot programma’s, software, systemen en apps moet centraal geregeld zijn. Iedere medewerker moet over de juiste rechten beschikken. Niet te weinig (ze moeten immers wel hun taken kunnen uitvoeren), maar ook zeker niet teveel.

Waar mogelijk moet de identiteit worden vastgesteld aan de hand van controlemethodes als tweefactorauthenticatie, biometrische kenmerken en sterke wachtwoorden. Op die manier verklein je bovendien de kans dat kwaadwillenden toegang krijgen tot het bedrijfsnetwerk en daarmee tot persoonsgegevens en andere privacygevoelige data.

6. Maak goede afspraken over socialmediagebruik

Privacygevoelige data vinden vaak een onzalige weg naar buiten via socialmediakanalen. Het resulteert niet zelden in een gigantisch datalek, want het virale karakter van social media vergroot de kans op een razendsnelle verspreiding.

Dat vraagt om goede afspraken met medewerkers over wat wel en wat niet kan en mag op deze media. Dat is niet altijd enkel een kwestie van een goed fatsoen. Wat mogen medewerkers bijvoorbeeld wel en niet kwijt over klanten op social media? Mogen zij foto’s waarop andere collega’s herkenbaar in beeld zijn online plaatsen? En hoe moeten ze omgaan met bedrijfsgevoelige informatie? Dergelijke afspraken moeten worden vastgelegd in een socialmediareglement. Zorg dat iedereen van dit reglement op de hoogte is en houd voor zover mogelijk toezicht op de naleving ervan.

7. Houd een verwerkingsregister bij

Het verwerken van persoonsgegevens is vaak mensenwerk. Wanneer zo’n verwerking niet volgens de afspraken verloopt, dan moeten de verantwoordelijken daarop kunnen worden aangesproken. Dat verkleint de kans op herhaling en vergroot bovendien de compliance. Organisaties moeten namelijk volgens de nieuwe Europese privacywetgeving, de Algemene Verordening Gegevensverwerking (AVG) ofwel General Data Protection Regulation (GDPR), voortaan een uitgebreid overzicht bijhouden van verwerkingen van persoonsgegevens.

Een verwerkingsregister bestaat uit een aantal verplichte onderdelen:

  • Naam en contactgegevens van de verantwoordelijke(n), eventuele verwerker(s) en de Functionaris Gegevensbescherming ofwel Veiligheidsfunctionaris;
  • Het doel van de verwerking;
  • Beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
  • Eventuele doorgifte aan derde landen of internationale organisaties;
  • Beoogde termijnen waarbinnen de gegevens moeten worden gewist;
  • Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Volgens de is zo’n register verplicht voor organisaties met meer dan 250 medewerkers. Ook geldt de wet voor organisaties die op grote schaal persoonsgegevens verwerken. Wat ons betreft doet iedere organisatie die persoonsgegevens verwerkt er goed aan een dergelijk register op te stellen.

8. Voer regelmatig scans en controles uit

Uw systemen en netwerk veranderen voortdurend. Medewerkers komen en gaan, en dat geldt ook voor mobiele apparaten en andere systemen. Bovendien zullen gebruikers vaak nieuwe tools nodig hebben. Zo’n veranderend IT-landschap is kwetsbaar als niet regelmatig controles worden uitgevoerd. Een fout van een medewerker zit in een klein hoekje. Die kans kun je verkleinen door risicovolle zaken in je IT-park tijdig te signaleren, bijvoorbeeld door het laten uitvoeren van een privacy- en/of security-audit. Aan de hand van zo’n audit kun je eventueel extra maatregelen nemen en het beleid aanscherpen.

9. Monitor en reguleer ICT-gebruik

In sommige gevallen kan het nodig zijn onnodig ICT-gebruik aan banden te leggen. Bijvoorbeeld wanneer je het vermoeden hebt dat veel tijd verspild wordt en risico’s ontstaan door privégebruik van zakelijke ICT-middelen. Denk aan ongebreideld gebruik van sites als Funda en Marktplaats, social media als Facebook, privé-webmail, chat en andere zaken. ‘Alles op slot’ is in deze tijd van digitale vrijheden nauwelijks meer een reële optie, maar het beperken en reguleren van dit gebruik is dat wel degelijk.

In sommige gevallen kan het (tijdelijk) monitoren van individuele medewerkers noodzakelijk zijn. Ben daarin dan wel altijd transparant en maak in dat geval goede afspraken. Het zonder overleg monitoren van personen is absoluut uit den boze en druist in tegen de privacywetgeving.

YourSafetynet helpt

Onze softwareoplossing YourSafetynet helpt je bij het verkleinen van de risico’s op datalekken, zeker ook die veroorzaakt door eigen medewerkers. Lees meer over onze oplossing tegen datalekken, download onze gratis whitepaper over de nieuwe privacywetgeving AVG of vraag een gratis en vrijblijvende testversie aan. Ook hebben we voor de sectoren onderwijs, bedrijfsleven & overheid, zorg en accountacy & finance gratis edities van het magazine ‘YourPrivacy’ beschikbaar gesteld over de privacywetgeving en datalekken…

YourPrivacy
Stap-voor-stap: Google Analytics AVG-vriendelijk

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

Wil je op de hoogte blijven van nieuwe blogs over privacy-issues,
meldplicht datalekken en aanverwante zaken?

Meld je dan aan voor onze nieuwsbrief
en mis geen enkele update.