Cybersecurity

Datalekken voorkomen: onze tips

Datalekken en onze tips voor bestuurders en bestuursmedewerkers om ze te voorkomen

In 2018 werden er in Nederland 21.000 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Dat is 2 keer zoveel als in het jaar daarvoor. De sectoren zorg (29%), financiën (26%) en openbaar bestuur (17%) zijn verantwoordelijk voor de meeste gevallen. Bij meer dan de helft van de meldingen zijn gegevens van 1 persoon gelekt, in 3% van de gevallen ging het om gegevens van meer dan 5.000 personen.

De cijfers hierboven gaan over datalekken van persoonsgegevens. Sinds de Europese invoering van de Algemene Verordening Gegevensbescherming (AVG, in het Engels General Data Protection Regulation (GDPR)) in 2018 is er veel aandacht voor de bescherming van persoonsgegevens. De forse boetes bij overtreding van deze verordening, die kan oplopen tot 5% van de wereldwijde omzet, dragen daar zeker aan bij.

In dit blog gaan we nader in op datalekken van persoonsgegevens. U krijgt antwoord op de vragen:

  • Wat zijn datalekken precies?
  • Met welke maatregelen is de kans op datalekken te minimaliseren?
  • Wat te doen als er ondanks alle voorzorgsmaatregelen toch persoonsgegevens zijn gelekt?

Wat zijn datalekken?

Voor datalekken zijn verschillende definities in omloop. De AVG hanteert de volgende definitie: ‘Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatig verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.’

De meest voorkomende soorten datalekken zijn:

  • Het versturen van persoonsgegevens aan een verkeerde ontvanger, bijvoorbeeld veroorzaakt door gebruik van een verkeerd (mail)adres, een typefout of een vergissing bij de bezorging.
  • Verlies of diefstal van papieren, laptop, usb-stick of andere informatiedragers met persoonsgegevens.
  • Diefstal van gegevens via inbreuk in computersystemen door bijvoorbeeld hacking (inbraak in computersystemen), phishing (nepmails die leiden tot het achterlaten van vertrouwelijke informatie) of ransomware (software die gegevens ontoegankelijk maakt).

De gegevens die het meest vrijkomen bij datalekken zijn naam, adres, woonplaats, burgerservicenummer en medische gegevens. In enkele gevallen gaat om financiële gegevens, zoals bankrekeningnummers en gegevens van creditkaarten. Inmiddels is er ook een levendige handel ontstaan in buitgemaakte data, zoals blijkt uit het nieuwsbericht ‘Hacker vult grootschalige database aan tot 841 miljoen gelekte accounts’ (zie bronnen).

Whitepaper: het belang van beveiligde bestuurscommunicatie

Zoals u heeft kunnen lezen, worden datalekken vaak veroorzaakt door gegevens door te geven aan een verkeerde ontvanger.
Wat kunt u hier als bestuurder of bestuursmedewerker aan doen?
Dat leest u in onze whitepaper, het belang van beveiligde bestuurscommunicatie.

Hoe is de kans op datalekken te minimaliseren?

Van de datalekken uit het verleden valt veel te leren over het voorkomen ervan. Inmiddels zijn tal van maatregelen op organisatorisch, technisch en persoonlijk vlak gepubliceerd die allemaal bijdragen aan een veilige omgang met persoonsgegevens. In onderstaande lijst hebben we een aantal belangrijke punten voor u opgesomd:

  • Opstellen en regelmatig aanpassen van procedures rond het omgaan met persoonsgegevens
    • Aandachtspunten zijn bijvoorbeeld: Wie heeft toegang tot welke gegevens? Is het toegestaan persoonsgegevens op eigen computers te bewaren of alleen in centrale dataopslag? Wat zijn de regels rond het inloggen op bedrijfsnetwerk vanaf privéadressen? Wie is verantwoordelijk voor de verwijdering van persoonsgegevens op afgeschreven hardware?
  • Zorgen voor een goede beveiliging van IT-systemen en goede back-ups van IT-systemen, en samenwerken met een deskundige en betrouwbare IT-partner.
  • Medewerkers regelmatig attenderen op het belang van de procedures rond persoonsgegevens en de risico’s bij de verwerking (zorgvuldig omgaan met papieren en digitale informatiedagers, herkennen phishingmails, etc.).
  • Als Raad van Bestuur en directie het goede voorbeeld geven in de omgang met persoonlijke gegevens, bijvoorbeeld door een tool voor beveiligde communicatie, zoals Messenger, te gebruiken.
  • Opstellen procedure voor interne melding van datalekken, rekening houdend met de meldplicht binnen 72 uur bij het AP.
    • Hierbij hoort ook het benoemen van een team dat actie onderneemt bij een datalek. Denk aan juridische en IT-experts en communicatieprofessionals. Zie onze case study onderaan dit artikel voor meer informatie.
  • Bijhouden incidentenlijst rond verwerking persoonsgegevens en deze regelmatig evalueren.

Naast alle concrete acties is een goede sfeer in het bedrijf belangrijk. Als medewerkers zich vrij voelen om hun vragen en vergissingen rond het omgaan met persoonsgegevens te melden zonder dat ze daar direct voor worden gestraft, dan helpt dat om de procedures steeds duidelijker te maken. Uiteindelijk leidt dat tot een veiliger omgang met persoonsgegevens.

Wat te doen bij een datalek?

Is er binnen uw organisatie een datalek opgetreden, dan moet u dit onder bepaalde omstandigheden melden bij de AP en bij de betrokken personen. Actuele details hierover vindt u op de site van de AVG. Is een melding verplicht, dan moet die binnen 72 uur nadat u hiervan kennis heeft genomen worden gedaan bij de AP. Is er een hoog risico voor rechten en vrijheden van natuurlijke personen, dan heeft u de verplichting ze direct te informeren. U bent verplicht om afspraken te maken met de partijen waarmee u samenwerkt, bijvoorbeeld een leverancier of serviceprovider, zodat ze u direct informeren als bij hen een datalek is opgetreden. Dan kunt u de benodigde maatregelen nemen. Los van melding aan AP bent u verplicht intern alle datalekken te documenteren, bijvoorbeeld in een incidentenregister.

Het te laat melden van datalekken kan consequenties hebben. Zo heeft taxibedrijf Uber in 2018 een boete gehad van € 600.000 omdat ze het AP en de betrokken personen niet binnen een periode van 72 hadden geïnformeerd over het lekken van namen, mailadressen en telefoonnummers. Het ging hierbij om gegevens van chauffeurs en klanten.

Het is ook handig om te weten dat de AP in 2019 extra aandacht heeft voor het niet melden datalekken. Dit kan bijvoorbeeld worden ontdekt als betrokken personen melding maken van een datalek, terwijl het door de betreffende organisatie niet is gemeld.

Case study: wat te doen in het geval van een datalek

In bijgaande case study van Diligent (Engels) kunt u lezen hoe bestuurders kunnen omgaan met een datalek.

Bronnen

AANBEVOLEN BLOGS