Organisaties verwerken steeds meer privacygevoelige informatie. Daarmee groeit het risico op een datalek. Zeker met de komst van de AVG / GDPR zijn de mogelijke gevolgen ernstiger dan ooit. Hoe voorkom je imagoschade en torenhoge boetes? 7 tips
Datalekken zijn een grote bedreiging voor het imago en continuïteit van een organisatie. Wanneer privacygevoelige gegevens van bijvoorbeeld klanten, prospects, medewerkers leerlingen of andere betrokken personen in verkeerde handen of op straat terechtkomen, dan kan dat veel onrust en forse imagoschade teweegbrengen.
Meldplicht Datalekken
Sinds 1 januari 2016 geldt de Meldplicht Datalekken: organisaties zijn verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Dat verandert met de komst van de nieuwe Europese privacywetgeving niet. De Autoriteit Persoonsgegevens kan de organisatie dwingen om passende maatregelen te nemen. Bij een ernstig lek moet de organisatie alle betrokkenen informeren, wat tot nog meer onrust en imagoschade leidt. Ook dreigt in dat geval een forse boete van 20 miljoen euro of 10% van de omzet. In een ander artikel beschrijven we wat allemaal onder een datalek verstaan wordt.
Hoe kun je datalekken zo goed mogelijk voorkomen? 7 tips:
1. Zorg voor een compliant privacy- en ICT-gebruiksbeleid
Het allerbelangrijkste in het voorkomen van datalekken is een grondig en compliant privacybeleid. De wet is hierin onverbiddelijk: organisaties die persoonsgegevens verwerken, mogen dat alleen volgens strenge wet- en regelgeving doen.
Het opstellen en handhaven van een privacybeleid is beslist geen eenvoudige opgave. Zo moet tussen de verantwoordelijke en de verwerker een verwerkersovereenkomst worden opgesteld, die ook weer aan allerlei juridische eisen moet voldoen. Toch is dat slechts een van de verplicht te nemen maatregelen. Gelukkig bestaat er speciale software die bedrijven hiermee ontzorgen. YourSafetynet bevat alle benodigde contracten, sjablonen en voorbeelddocumenten voor een eenvoudige organisatorische uitrol van een privacy- en ICT-gebruiksbeleid. Deze zijn allemaal compliant met de AVG / GDPR. Stap-voor-stap-wizards vertellen je precies wat je moet doen.
2. Maak gebruik van encryptie
Versleuteling van privacygevoelige gegevens is een van de middelen om datalekken te voorkomen, of in ieder geval de ernst ervan te verkleinen. Met encryptietechnologie maak je digitale gegevens onleesbaar voor derden. Wanneer versleutelde gegevens in de handen van derden terechtkomen, is er meestal geen sprake van een datalek. De data is onversleuteld immers onleesbaar en niet herleidbaar naar (individuele) personen.
Vaak wordt encryptie als een zaligmakende one-stop-solution tegen datalekken weggezet. Dat is absoluut niet het geval. Sterker nog, wanneer geen goede afspraken over de encryptie is gemaakt, dan is de versleuteling zelf een onrechtmatige verwerking van persoonsgegevens. De Autoriteit Persoonsgegevens kan dat vervolgens kenmerken als een datalek.
3. Vermijd cloudopslagdiensten buiten de EU
De Europese richtlijnen op het gebied van dataprivacy zijn streng. Gelukkig maar, op die manier beschermen de Europese overheden onze privacy. De VS neemt het nadrukkelijk minder nauw met dat grondrecht. De Amerikaanse overheid mag door de Patriot Act altijd data opvragen van providers wanneer daar volgens de VS een ‘aannemelijk belang bij is’.
Wanneer gegevens in handen van de Amerikaanse overheid terechtkomen, is er sprake van een datalek. Vermijd dan ook voor de opslag en verwerking van persoonsgegevens het gebruik van de publieke cloud gehost op Amerikaanse servers. Denk daarbij aan diensten als Google Drive en Dropbox. Ook webmaildiensten als Gmail en Outlook Webmail zijn om deze redenen ongeschikt voor het versturen van privacygevoelige gegevens.
4. Zorg voor afdoende security-voorzieningen tegen hackers en malware
Cybercriminelen hebben het vaak gemunt op persoonsgegevens. Deze kunnen immers veel geld opleveren. Ook ransomware is een populair middel. Hierbij gaat het om een vorm van afpersing: kwaadaardige software zorg daarbij voor de versleuteling van (persoons)gegevens. Alleen tegen losgeld worden deze data weer leesbaar gemaakt. In beide gevallen is er sprake van een datalek. Bescherming tegen hackers en malware is dan ook een basisvoorziening die in geen enkele organisatie mag ontbreken. Zorg voor een moderne IPS/firewall, goed beveiligde draadloos netwerk, up-to-date securitysoftware op de endpoints en dwing het gebruik van sterke wachtwoorden of zelfs wachtzinnen af.
5. Monitor op risicovolle databewegingen
Datalekken worden vaak veroorzaakt door medewerkers, al dan niet bewust. Ze laten bijvoorbeeld USB-sticks slingeren in het openbaar vervoer, of kopiëren bewust gevoelige gegevens op mobiele datadragers. Speciale software kan het IT-netwerk automatisch monitoren op dergelijke ‘verdachte’ handelingen en tijdig de IT-beheerder waarschuwen. Maak van deze oplossingen gebruik.
6. Werk aan het privacy- en security-bewustzijn van het personeel
Mensen zijn de zwakste schakel als het gaat om ICT-beveiliging, en dat geldt ook voor het voorkomen van datalekken. Maar liefst 79 procent van alle datalekken worden veroorzaakt door ‘fouten’ veroorzaakt door het ontbreken van ICT-gebruiksbeleid of opzettelijke gedragingen van het eigen personeel. In veel gevallen is onwetendheid de boosdoener. Medewerkers klikken bijvoorbeeld op links en bijlagen in verdachte e-mail en installeren daarmee ransomware. Of ze houden zich niet aan het opgestelde privacybeleid en gaan daardoor op een verkeerde manier om met privacygevoelige gegevens. Cybercriminelen maken vaak misbruik van de onwetendheid en goedgelovigheid van mensen. Dat noemen we ‘social engineering’.
Organiseer workshops en trainingen om het personeel bewust te maken van de risico’s. Monitor waar nodig op de handhaving van het privacy- en ICT-gebruiksbeleid. Ook hier kan een oplossing als YourSafetynet de organisatie mee ontzorgen.
7. Zorg voor een Incident Response Plan voor als het toch misgaat
Mocht een datalek onverhoopt plaatsvinden, dan is het goed wanneer je als organisatie een ‘noodplan’ hebt klaarleggen. In zo’n Incident Response Plan staat nauwkeurig beschreven welke stappen moeten worden doorlopen en welke rollen medewerkers hebben. Als voorzet hebben wij een stappenplan bij datalekken opgesteld.
Mocht de recherche in het spel komen, bijvoorbeeld wanneer een datalek het gevolg is van een misdrijf, dan is het goed zo veel mogelijk informatie ter beschikking te hebben. Weet wie bij welke data kan en zorg voor logs die alle handelingen nauwgezet bijhouden.
Datalekken zijn nooit voor de volle 100% te voorkomen. Maar de juiste maatregelen maken de kans erop wel behoorlijk kleiner. Iedere organisatie is dat aan zijn betrokkenen verplicht, zowel wettelijk als moreel.
Alle berichten