Het was altijd al uiterst pijnlijk voor een organisatie als vertrouwelijke gegevens op straat kwamen te liggen. Nu de meldplicht datalekken geldt en (sinds 25 mei 2018) ook de Algemene verordening gegevensbescherming (AVG) actief is, komt daar sinds mei 2018 ook nog het risico op een forse boete bij. Genoeg reden dus om stevige maatregelen te treffen en daarmee datalekken te voorkomen. In dit artikel lees je meer over de maatregelen die je kunt treffen om datalekken te voorkomen en geven we je praktische tips. Ook vertellen we meer over het risico op datalekken met malware en wat je daar tegen kunt doen.
Datalek voorkomen
De AVG (Algemene verordering gegevensbescherming) schrijft voor dat organisaties die persoonlijke gegevens gebruiken ervoor moeten zorgen dat deze gegevens goed beveiligd worden. Dit betekent dat zowel bedrijven als overheidsinstellingen maatregelen moeten treffen om de gegevens veilig te houden. Sinds 25 mei 2018 is deze nieuwe, strengere Europese privacywet actief.
Meldplicht datalekken boete
De boete die de Autoriteit Persoonsgegevens op kan leggen bij datalekken (of de onrechtmatige verwerking van persoonsgegevens) is niet mals. Deze boete kan oplopen tot meer dan 800.000 euro of 10 procent van de jaaromzet van de organisatie.
Bekijk hier het boetebeleid van de Autoriteit Persoonsgegevens.
Toch een datalek? Voorkom een boete!
Door de juiste maatregelen te treffen wil je een datalek voorkomen. Maar hoeveel actie je ook onderneemt, het is niet mogelijk om het risico naar nul te brengen. Krijgt jouw organisatie toch te maken met een datalek, dan zal de Autoriteit Persoonsgegevens bij het beoordelen van het lek kijken wat de organisatie heeft gedaan om persoonsgegevens te beschermen. De boete zal lager uitvallen of in sommige gevallen zelfs voorkomen kunnen worden, als de organisatie kan aantonen dat er passende maatregelen zijn getroffen om datalekken te voorkomen.
Technologische en organisatorische maatregelen
Om een datalek te voorkomen, moeten organisaties volgens de Autoriteit Persoonsgegevens twee soorten maatregelen treffen. Enerzijds moeten ze technologie inzetten om lekken te voorkomen en anderzijds is het ook belangrijk om als organisatie verstandig om te gaan met persoonsgegevens. Hier volgen een aantal technologische en organisatorische tips waarmee je datalekken kunt voorkomen.
Tips: Maatregelen om een datalek te voorkomen
1. Registreer verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens
Sommige verwerkingen van persoonsgegevens moeten gemeld worden bij de Autoriteit Persoonsgegevens. Deze meldingen worden bijgehouden in een openbaar register. Dit helpt mensen gebruik te maken van hun rechten op het gebied van privacy. Hier lees je welke persoonsgegevens wel of niet gemeld moeten worden.
2. Wijs een functionaris voor de gegevensbescherming (FG) aan
De functionaris gegevensbescherming is intern de verantwoordelijke voor het beleid rondom het beschermen van persoonsgegevens. Hij of zij houdt toezicht op het toepassen en naleven van de Algemene verordening gegevensbescherming (AVG). Voor iedere organisatie is het verstandig een FG aan te wijzen, maar in 3 situaties is dit volgens de AVG verplicht. Het aanstellen van een FG is verplicht voor publieke organisaties, organisaties die op grote schaal mensen volgen (denk aan cameratoezicht) en organisaties die veel te maken hebben met het verwerken van bijzondere persoonsgegevens.
3. Breng gegevensstromen in kaart
Zorg ervoor dat je weet waar persoonsgegevens zich bevinden in de organisatie en welke routes de gegevens afleggen. Zo kom je erachter in welke processen persoonsgegevens verwerkt worden en waar het risico op een datalek zich dus bevindt. Vergeet hierbij ook de papieren gegevens niet.
4. Maak gebruik van encryptie
Door gegevens versleuteld op te slaan en te delen, verklein je de kans op een datalek. Versleutelde berichten kunnen alleen gelezen en bewerkt worden door mensen die beschikken over de juiste sleutel. Encryptie kan ervoor zorgen dat data nog steeds veilig is wanneer er een datalek plaatsvindt.
5. Verzamel geen onnodige gegevens
Gegevens die niet bewaard hoeven te worden volgens de bewaartermijn en niet van nut zijn voor de organisatie, kun je het beste vernietigen. Dit klinkt logisch, maar in de praktijk blijkt dat organisaties enorm veel gegevens bewaren die ze nergens meer voor nodig hebben. Hoe minder gegevens je bewaart, hoe kleiner de kans is op het lekken van data.
6. Zorg voor goede security
Maak gebruik van technische oplossingen om persoonsgegevens te beschermen. Denk bijvoorbeeld aan een goede firewall, beveiliging voor het draadloze netwerk, laat wachtwoorden aan bepaalde eisen voldoen en kies voor securitysoftware die altijd up-to-date is. Dit biedt bescherming tegen de kwade bedoelingen van cybercriminelen en malware (waaronder ransomware). Lees verderop in dit artikel meer over de gevaren en het voorkomen van een besmetting met ransomware.
7. Kies nooit voor cloudopslag buiten de EU
In de Verenigde Staten is de privacywetgeving veel minder streng dan in de Europese Unie. De Patriot Act in de VS zorgt ervoor dat de Amerikaanse overheid altijd gegevens mag opvragen wanneer er sprake is van een ‘aannemelijk belang’. Als gegevens toegankelijk worden voor de Amerikaanse overheid, spreken we van een datalek. Outlook Webmail, Gmail, Dropbox en Google Drive zijn daarom absoluut niet geschikt voor het versturen van persoonsgegevens.
8. Schenk aandacht aan de zwakste schakel: de medewerker
Datalekken worden vaak door medewerkers veroorzaakt. Hoewel er kwade opzet in het spel kan zijn, is dit meestal niet het geval. Vaak ontstaan lekken doordat medewerkers gebruik maken van publieke clouddiensten zoals Dropbox. Ook laten ze soms USB-sticks slingeren, delen ze onbeveiligde maar privacygevoelige documenten of klikken ze op bijlagen in verdachte e-mails. Door medewerkers bewust te maken van het privacy beleid en ze te helpen op een goede manier om te gaan met vertrouwelijke gegevens, kunnen veel datalekken voorkomen worden.
Bescherm de organisatie tegen ransomware
Ransomware wordt ook wel gijzelsoftware genoemd. Cybercriminelen gebruiken ransomware als chantagemiddel. Als je computer besmet is met ransomware, heb je geen toegang meer tot je gegevens. Cybercriminelen vragen geld om de computer en de gegevens weer vrij te geven. In de praktijk blijkt betalen niet altijd te helpen om weer toegang te krijgen tot de gegevens. Het kan ook zo zijn dat het hele computersysteem gegijzeld is. Als organisatie wil je er natuurlijk alles aan doen om een besmetting met ransomware te voorkomen. Een aanval met ransomware valt ook onder de meldplicht datalekken.
Er zijn verschillende maatregelen die je als organisatie kunt treffen om de kans op een infectie met ransomware (en andere malware) te verkleinen. Zo is het belangrijk om ervoor te zorgen dat software op apparaten altijd up-to-date is. Ook helpt het om de verschillende computersystemen en netwerken in de organisatie gescheiden te houden en geen gebruik te maken van oude netwerkprotocollen.
