Datalekken: wat moet je doen en hoe voorkom je ze?
Je kunt er tegenwoordig niet meer omheen. Digitalisering is hot. Veel werkprocessen worden geautomatiseerd en steeds meer bedrijven streven naar een paperless office. Dit lijkt ideaal. Echter, digitalisering leidt ook tot nieuwe risico’s voor een bedrijf. Zo is het de laatste jaren regelmatig voorgekomen dat er vertrouwelijke informatie van een bedrijf op straat kwam te liggen. Dit is, in het kader van de AVG-wet, natuurlijk een nachtmerrie voor iedere organisatie.
Een dergelijk lek, waarbij persoonsgegevens zijn kwijtgeraakt, gestolen, onrechtmatig zijn ingezien of verwerkt, noemen we een datalek. Vaak ligt er een menselijke fout ten grondslag aan een datalek. Zo kan het bijvoorbeeld voorkomen dat een medewerker vertrouwelijke informatie heeft gedeeld met iemand die hier geen toegang tot hoort te krijgen. Daarnaast worden digitale systemen soms niet goed genoeg beveiligd, waardoor ze eenvoudig gehackt kunnen worden.
Maar wat moet je dan precies doen als er data uit je bedrijf gelekt is?
- Stap 1: Dicht het lek.
Wanneer er net een datalek is geconstateerd is het als eerste zaak om het actieve lek te dichten. - Stap 2: Vergaar informatie.
Hiermee wordt bedoeld dat je zo veel mogelijk informatie verzamelt over het lek. Hoeveel gegevens zijn er gelekt? Om welke gegevens gaat het precies? Probeer hierbij ook te achterhalen hoe het lek kon ontstaan. - Stap 3: Meld het datalek.
Sinds 1 januari 2016 bestaat de “Meldplicht Datalekken”. Dit betekent dat je verplicht bent om een datalek te melden bij de Autoriteit Persoonsgegevens, wanneer het lek ernstige gevolgen kan hebben voor de betrokkenen. Verder is het ook noodzakelijk om het datalek te melden bij alle mensen van wie er data gelekt is wanneer dit lek schadelijk kan zijn voor de persoonlijke levenssfeer van diegene. Denk hierbij aan imago, privacy of financiële schade. - Stap 4: Tref voorkomende maatregelen.
Doordat je in stap 2 hebt geconstateerd hoe het lek kon ontstaan, kun je nu maatregelen treffen om ervoor te zorgen dat het lek zich nooit meer voor zal doen. Heeft een medewerker bijvoorbeeld per ongeluk het datalek veroorzaakt? Zorg dan voor een solide privacybeleid, waarin duidelijk vermeld wordt hoe persoonsgegevens verwerkt moeten worden, met welke doeleinden dit gedaan moet worden, wie bevoegd is om welke data in te zien en wie waarvoor verantwoordelijk is.
Uiteraard geldt er voor datalekken wel dat voorkomen beter is dan genezen. Dit genezen begint al bij het informeren en trainen van medewerkers. Maak medewerkers bekend met de actuele privacywetgeving en de verschillende werkwijzen van hackers. Verder is het belangrijk om duidelijke afspraken te maken met collega’s en klanten. Voorkom bijvoorbeeld dat er gevoelige informatie verspreid wordt via onveilige middelen, zoals e-mail. Zorg er tevens voor dat er een draaiboek wordt opgesteld voor het geval er zich een datalek voordoet, zodat iedereen precies weet wie wat moet doen in een dergelijke situatie en het lek snel verholpen wordt.
Bronnen: Yoursafetynet, MT en Justitia