Alles over het datalek: voorkomen én genezen
Je medewerkers als eerste verdedigingslinie
Een datalek heb je sneller dan je denkt. Met één klik op een verkeerde link ben je belangrijke documenten kwijt en met een zoekgeraakte USB-stick ligt privacygevoelige informatie op straat. Wat is een datalek, hoe voorkom je het en wat moet je doen als je er toch mee te maken krijgt?
Wat is een datalek?
Een datalek is een inbreuk op de beveiliging van persoonsgegevens binnen je onderneming. Het gaat om onbedoelde toegang tot de gegevens, vernietiging, wijziging of vrijkomen van persoonsgegevens. Vrij breed dus. In principe spreek je van een datalek als het gaat om een beveiligingsincident waarbij data een rol speelt.
Voorbeelden van een datalek zijn klassieke hacks (online inbraak in een databestand). Maar ook een gestolen of kwijtgeraakte laptop, telefoon of USB-stick.
Ook klantgegevens per ongeluk naar een verkeerd e-mailadres mailen en een brand in een datacentrum vallen onder datalekken.
Meldplicht datalek AVG
Sinds 2016 geldt vanuit de AVG de meldplicht datalekken. Dat betekent dat je een datalek in de meeste gevallen moet melden bij de Autoriteit Persoonsgegevens. Behalve als het niet waarschijnlijk is dat het datalek een risico vormt voor ‘de rechten en vrijheden van betrokkenen’. Bij deze rechten kun je denken aan bescherming van persoonsgegevens en persoonlijke levenssfeer.
Een datalek voorkomen: 7 tips
In de praktijk maken veel ondernemers zich pas zorgen als het al te laat is. Maar voorkomen is vooral bij datalekken beter dan genezen.
Om een datalek te voorkomen, moet je er eerst voor zorgen dat je medewerkers zich bewust zijn van de risico's. Veel mensen denken ‘dat gebeurt mij niet’ - maar één verkeerde klik kan voor enorm veel ellende zorgen.
De eerste stap in het voorkomen van cybercrime is bewustwording van de risico’s onder je medewerkers. Het gedrag van je eigen mensen bepaalt voor een groot deel het risico dat jouw onderneming loopt om slachtoffer te worden van cybercriminelen.
Je maakt je medewerkers met deze 7 tips bewust van datalekken:
Zet het op de agenda. Start met een teammeeting en bespreek: hoe denken zij over datalekken, wat doen jullie nu al om datalekken te voorkomen, waar denken zij dat zwakke plekken zitten? Bedenk dat een vergeten laptop of gestolen geprinte klantenlijst ook een datalek is.
Maak een plan. Hebben jullie de risico’s in kaart? Kijk dan hoe je daarop kan anticiperen met een cybersecurity-strategie. Neem hierin niet alleen menselijke fouten mee, maar kijk ook naar kwetsbare punten in jullie digitale omgeving, online apparaten en andere mogelijke risico’s.
Creëer open communicatie. Waar gehakt wordt, vallen spaanders. Het kan een keer mis gaan. Zorg dat er een open sfeer is binnen je bedrijf, waarin mensen fouten durven toe te geven. Zo komen datalekken sneller boven.
Deel de regels rondom dataveiligheid met elkaar, ook als er nieuwe mensen bijkomen. Zorg dat deze regels op een vaste plek terug te vinden zijn: intranet, in de cloud of in jullie - beveiligde - online omgeving.
Let op thuiswerkers. Heb je veel mensen die vaak thuis werken en vanuit daar toegang hebben tot vertrouwelijke informatie? Maak ook daar afspraken over en investeer in extra beveiliging of trainingen over veilig thuiswerken.
Schakel een expert in. Merk je dat de ernst van datalekken niet goed genoeg doordringt? Nodig een cybersecuritydeskundige uit die kan vertellen welke gevolgen een datalek kan hebben.
Check regelmatig. Heb je een interne nieuwsbrief? Zorg dat hierin online veiligheid regelmatig terugkomt. Een tip, een korte checklist of iemand die over zijn ervaringen vertelt.
Wat moet ik doen bij een datalek?
Heb je toch te maken met een datalek? Dan is het natuurlijk zaak om het lek zo snel mogelijk te dichten. Daarna is het belangrijk om een stap verder te gaan in je online beveiliging. Hoe heeft het mis kunnen gaan en hoe voorkom je dit in de toekomst?
Vanuit de AVG heb je als bedrijf verschillende verplichtingen bij een datalek:
Doe binnen 72 uur na het ontdekken van het datalek een melding bij de Autoriteit Persoonsgegevens. Dit kan via een formulier op de website.
Stop het datalek en kijk hoe je herhaling kunt voorkomen.
Informeer degene van wie de gegevens bij het datalek betrokken zijn over wat er gebeurd is en welke maatregelen hij of zij kan nemen. Dit is een verplichting vanuit de AVG wanneer het datalek een hoog risico heeft voor de rechten en vrijheden van deze personen. Op deze manier kan iemand eventueel voorzorgsmaatregelen nemen, bijvoorbeeld het wijzigen van een wachtwoord.
Lukt het je niet om alle informatie gelijk in de eerste melding mee te sturen? Je kunt een melding altijd aanpassen, aanvullen en zo nodig ook intrekken.
Maak van het datalek een melding in je datalek register. In dit register houdt je alle datalekken bij. Je noteert alle feiten van het datalek, de gevolgen en de maatregelen die je hebt genomen om het datalek te stoppen. De Autoriteit Persoonsgegevens kan dit register opvragen om te zien of je de juiste maatregelen hebt genomen.
Nog meer tips en stappen bij een cyberaanval lees je in dit artikel.
Hoe kan ik voldoen aan de meldplicht datalekken?
Volgens de meldplicht datalekken moet je het lek proactief melden aan het College Bescherming Persoonsgegevens. Is er ook persoonsinformatie van Europese burgers gelekt? Dan moet je het ook melden aan de Europese toezichthouder. Daarnaast moet je de betrokkenen, van wie de persoonsgegevens gelekt zijn, op de hoogte stellen. Deze meldingen maak je binnen 72 uur, nadat het lek ontdekt is.