Het is altijd al uiterst pijnlijk voor een organisatie als vertrouwelijke gegevens op straat komen te liggen. Nu sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) actief is, en de meldplicht datalekken geldt, lopen organisaties het risico om een forse boete opgelegd te krijgen indien zij niet aan deze meldplicht voldoen. Genoeg reden dus om stevige maatregelen te treffen en daarmee datalekken te voorkomen. In dit artikel lees je meer over de maatregelen die je kunt treffen om datalekken te voorkomen en geven we je praktische tips. Ook vertellen we meer over het risico op datalekken met malware en wat je daartegen kunt doen.
Datalek voorkomen
De AVG schrijft voor dat organisaties die persoonlijke gegevens gebruiken ervoor moeten zorgen dat deze gegevens goed beveiligd worden. Dit betekent dat zowel bedrijven als overheidsinstellingen maatregelen moeten treffen om de gegevens veilig te houden.
Meldplicht datalekken boete
De boete die de Autoriteit Persoonsgegevens op kan leggen bij datalekken (of de onrechtmatige verwerking van persoonsgegevens) is niet mals. De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Toch een datalek? Voorkom een boete!
Door de juiste maatregelen te treffen wil je een datalek voorkomen. Maar hoeveel actie je ook onderneemt, het is niet mogelijk om het risico naar nul te brengen. Krijgt jouw organisatie toch te maken met een datalek, dan zal de Autoriteit Persoonsgegevens bij het beoordelen van het lek kijken wat de organisatie heeft gedaan om persoonsgegevens te beschermen. De boete zal lager uitvallen of in sommige gevallen zelfs voorkomen kunnen worden, als de organisatie kan aantonen dat er passende maatregelen zijn getroffen om datalekken te voorkomen.
Technologische en organisatorische maatregelen
Om een datalek te voorkomen, moeten organisaties volgens de Autoriteit Persoonsgegevens twee soorten maatregelen treffen. Enerzijds moeten ze technologie inzetten om lekken te voorkomen en anderzijds is het ook belangrijk om als organisatie verstandig om te gaan met persoonsgegevens. Hier volgen een aantal technologische en organisatorische tips waarmee je datalekken kunt voorkomen.
Tips: Maatregelen om een datalek te voorkomen
1. Wijs een functionaris voor de gegevensbescherming (FG) aan
De functionaris gegevensbescherming is intern de verantwoordelijke voor het beleid rondom het beschermen van persoonsgegevens. Hij of zij houdt toezicht op het toepassen en naleven van de Algemene verordening gegevensbescherming (AVG). Voor iedere organisatie is het verstandig een FG aan te wijzen, maar in 3 situaties is dit volgens de AVG verplicht. Het aanstellen van een FG is verplicht voor publieke organisaties, organisaties die op grote schaal mensen volgen (denk aan cameratoezicht) en organisaties die veel te maken hebben met het verwerken van bijzondere persoonsgegevens.
2. Breng gegevensstromen in kaart
Zorg ervoor dat je weet waar persoonsgegevens zich bevinden in de organisatie en welke routes de gegevens afleggen. Zo kom je erachter in welke processen persoonsgegevens verwerkt worden en waar het risico op een datalek zich dus bevindt. Vergeet hierbij ook de papieren gegevens niet. Daarnaast kan een verwerkingsregister worden opgesteld om alle verwerkingen inzichtelijk te maken.
Voldoet jouw organisatie aan de privacywetgeving?
Ontdek of jouw organisatie voldoet aan de privacywetgeving. Start de gratis privacyscan van onze partner DAS en krijg direct inzicht in waar jouw organisatie staat.
3. Maak gebruik van encryptie
Door gegevens versleuteld op te slaan en te delen, verklein je de kans op een datalek en verlaag je de impact van een eventueel datalek. Versleutelde berichten kunnen alleen gelezen en bewerkt worden door mensen die beschikken over de juiste sleutel. Encryptie kan ervoor zorgen dat data nog steeds veilig is wanneer er een datalek plaatsvindt.
4. Verzamel geen onnodige gegevens
Gegevens die niet bewaard hoeven te worden volgens de bewaartermijn en niet van nut zijn voor de organisatie, kun je het beste vernietigen. Dit klinkt logisch, maar in de praktijk blijkt dat organisaties enorm veel gegevens bewaren die ze nergens meer voor nodig hebben. Hoe minder gegevens je bewaart, hoe kleiner de kans is op het lekken van data.
5. Zorg voor goede digitale security
Maak gebruik van technische oplossingen om persoonsgegevens te beschermen. Denk bijvoorbeeld aan een goede firewall, beveiliging voor het draadloze netwerk, laat wachtwoorden aan bepaalde eisen voldoen, maak gebruik van gezichtsherkenning (identity management) en kies voor securitysoftware die altijd up-to-date is. Dit biedt bescherming tegen de kwade bedoelingen van cybercriminelen en malware (waaronder ransomware). Lees verderop in dit artikel meer over de gevaren en het voorkomen van een besmetting met ransomware.
6. Let op met (cloud)opslag buiten de EU
In de Verenigde Staten is de privacywetgeving veel minder streng dan in de Europese Unie. Aangezien de Verenigde Staten buiten de Europese Unie vallen, en dus niet gebonden zijn aan de AVG, is deze doorgifte van persoonsgegevens aan strengere vereisten gebonden. Het doorgeven van persoonsgegevens aan de Verenigde Staten is mogelijk mits er passende waarborgen worden getroffen om de bescherming te waarborgen.
7. Schenk aandacht aan de zwakste schakel: de medewerker
Datalekken worden vaak door medewerkers veroorzaakt. Hoewel er kwade opzet in het spel kan zijn, is dit meestal niet het geval. Vaak ontstaan lekken doordat medewerkers gebruik maken van publieke clouddiensten zoals Dropbox. Ook laten ze soms USB-sticks slingeren, delen ze onbeveiligde maar privacygevoelige documenten of klikken ze op bijlagen in verdachte e-mails. Door medewerkers bewust te maken van het privacy beleid en ze te helpen op een goede manier om te gaan met vertrouwelijke gegevens, kunnen veel datalekken voorkomen worden.
Bescherm de organisatie tegen ransomware
Ransomware wordt ook wel gijzelsoftware genoemd. Cybercriminelen gebruiken ransomware als chantagemiddel. Als je computer besmet is met ransomware, heb je geen toegang meer tot je gegevens. Cybercriminelen vragen geld om de computer en de gegevens weer vrij te geven. In de praktijk blijkt betalen niet altijd te helpen om weer toegang te krijgen tot de gegevens. Het kan ook zo zijn dat het hele bedrijfsnetwerk gegijzeld is. Als organisatie wil je er natuurlijk alles aan doen om een besmetting met ransomware te voorkomen. Een aanval met ransomware valt ook onder de meldplicht datalekken.
Er zijn verschillende maatregelen die je als organisatie kunt treffen om de kans op een infectie met ransomware (en andere malware) te verkleinen. Zo is het belangrijk om ervoor te zorgen dat software op apparaten altijd up-to-date is. Ook helpt het om de verschillende computersystemen en netwerken in de organisatie gescheiden te houden en geen gebruik te maken van oude netwerkprotocollen.
Dus, starten we vandaag een veiligere werkplek?
Ready when you are. Spar met ons. Creëer met ons. Ontdek met ons. Wij zijn jouw volwaardige IT-partner. Laten we eens in gesprek gaan.
