Datalek voorkomen en voorbereid zijn

We kennen allemaal de verhalen in de kranten over de AVG, GDPR en nu NIS2 en de noodzaak ervan. Een datalek kan immers iedere organisatie overkomen. Maar je kunt er wel voor zorgen dat je een datalek zo veel mogelijk voorkomt. En is er toch een datalek, dan is het belangrijk dat je snel actie onderneemt.

Je voorkomt datalekken zo veel mogelijk door beveiligingsmaatregelen te nemen die zijn afgestemd op jouw specifieke organisatie. En om bij een datalek snel in actie te komen, helpt het als je daarvoor een werkproces hebt klaarliggen. Zodat iedereen in de organisatie weet hoe te handelen bij een datalek.

Beveiligingsmaatregelen

Er is geen kant-en-klare oplossing waarmee iedere organisatie gegarandeerd beveiligd is tegen datalekken. Het gaat in de praktijk om een set van verschillende maatregelen die elkaar aanvullen en versterken. En die je continu moet controleren en waar nodig moet bijstellen (‘plan-do-check-act’). Deze set maatregelen is voor iedere organisatie anders. De basis voor jouw beveiligingsmaatregelen is het beveiligingsplan.

Beveiligingsplan

Een goed beveiligingsplan om datalekken te voorkomen begint in elk geval met een risicoanalyse. Zodat je weet waar de organisatie het kwetsbaarst is voor datalekken. Op basis daarvan bepaal je de maatregelen. Zorg dat je zicht hebt op de informatiestromen in jouw organisatie en welke bedrijfs- en privacy risico’s die met zich meebrengen. Actualiseer dit overzicht regelmatig. Deze vragen helpen je daarbij:

  • Hoe zien de informatiestromen in jouw organisatie eruit?
  • Waar zitten de kritieke bedrijfsprocessen?
  • Welke persoonsgegevens worden er allemaal verwerkt? Op welke (digitale en fysieke) plekken staan die opgeslagen? Welke zijn het gevoeligst?
  • Welke systemen zijn er? Is er een functionaliteit of software aanwezig die  niet (meer) nodig is?
  • Welke medewerkers hebben allemaal toegang tot welke persoonsgegevens? En hebben ze die toegang ook echt nodig voor hun functie?
  • Wat kan er misgaan? En welke risico’s levert dat op? Denk aan inbraak, phishing, brand, kwijtraken van mobiele apparaten etc.
Datalekken voorkomen of gevolgen beperken

In de Algemene verordening gegevensbescherming (AVG) staat dat er ‘passende technische en organisatorische maatregelen’ genomen moet worden om persoonsgegevens te beveiligen. Maar wat passend is, verschilt per organisatie.

Toezichthouder Autoriteit Persoonsgegevens (AP) geeft geen advies op maat of technische instructies. Wel volgen hier een aantal algemene tips. Deze tips zijn gebaseerd op de meest voorkomende datalekmeldingen die de AP ontvangt.

  1. Neem voldoende beveiligingsmaatregelen. Zoals maatregelen om het risico op een datalek door ransomware te verkleinen.
  2. Houd een interne opschoonactie. Verwijder bijvoorbeeld e-mails of bestanden die niet meer nodig zijn. Hier zitten namelijk vaak persoonsgegevens in. Of schoon adresboeken op. Hiermee voorkom je dat een datalek onnodig veel persoonsgegevens raakt. Verwijder je persoonsgegevens, controleer dan of deze gegevens nog in een back-up zitten. Zo ja, verwijder de gegevens dan ook uit de back-up.
  3. Zorg dat medewerkers alleen persoonsgegevens kunnen inzien die ze echt nodig hebben voor hun werk. Controleer periodiek de logbestanden op onrechtmatige inzagen.
  4. Maak jouw medewerkers bewust. Onder meer van het risico op hacking, phishing en malware. 
  5. Schakel alleen leveranciers in die genoeg garanties geven voor passende technische en organisatorische beveiligingsmaatregelen. Sluit een verwerkersovereenkomst af waarin je precies regelt welke persoonsgegevens de leverancier voor jou verwerkt en wat je van elkaar kunt verwachten bij een datalek.
  6. Stel de bcc in als standaardoptie in jouw e-mailprogramma. Hiermee verklein je de kans op een datalek doordat een medewerker per ongeluk de e-mailadressen van een groepsmail zichtbaar maakt voor iedereen.
  7. Beveilig mobiele apparaten. Er zijn diverse maatregelen die je kunt treffen om de schade bij een datalek door verlies van bijvoorbeeld een mobiele telefoon te beperken. Bijvoorbeeld door de harde schijf te versleutelen of gebruik te maken van meerfactorauthenticatie.