Hoe is een datalek te voorkomen?

Hoe is een datalek te voorkomen?

De AVG (Algemene Verordering Gegevensbescherming) schrijft voor dat organisaties die persoonlijke gegevens gebruiken ervoor moeten zorgen dat deze gegevens goed beveiligd worden. Dit betekent dat zowel bedrijven als overheidsinstellingen maatregelen moeten treffen om de gegevens veilig te houden. Sinds 25 mei 2018 is deze nieuwe, strengere Europese privacywet actief.

Toch een datalek? Voorkom een boete!

Door de juiste maatregelen te treffen wil je een datalek voorkomen. Maar hoeveel actie je ook onderneemt, het is niet mogelijk om het risico naar nul te brengen. Krijgt jouw organisatie toch te maken met een datalek, dan zal de Autoriteit Persoonsgegevens bij het beoordelen van het lek kijken wat de organisatie heeft gedaan om persoonsgegevens te beschermen. De boete zal lager uitvallen of in sommige gevallen zelfs voorkomen kunnen worden, als de organisatie kan aantonen dat er passende maatregelen zijn getroffen om datalekken te voorkomen.

Technologische en organisatorische maatregelen

Om een datalek te voorkomen, moeten organisaties volgens de Autoriteit Persoonsgegevens twee soorten maatregelen treffen. Aan de ene kant moeten ze technologie inzetten om lekken te voorkomen en aan de andere kant is het ook belangrijk om als organisatie verstandig om te gaan met persoonsgegevens. Hier volgen een aantal technologische en organisatorische tips waarmee je datalekken kunt voorkomen:

#1 Registreer verwerking van persoonsgegevens bij de Autoriteit Persoonsgegevens

Sommige verwerkingen van persoonsgegevens moeten gemeld worden bij de Autoriteit Persoonsgegevens. Deze meldingen worden bijgehouden in een openbaar register. Dit helpt mensen gebruik te maken van hun rechten op het gebied van privacy.

#2 Wijs een functionaris voor de gegevensbescherming (FG) aan

De functionaris gegevensbescherming is intern de verantwoordelijke voor het beleid rondom het beschermen van persoonsgegevens. Hij of zij houdt toezicht op het toepassen en naleven van de Algemene verordening gegevensbescherming (AVG). Voor iedere organisatie is het verstandig een FG aan te wijzen, maar in 3 situaties is dit volgens de AVG verplicht. Het aanstellen van een FG is verplicht voor publieke organisaties, organisaties die op grote schaal mensen volgen (denk aan cameratoezicht) en organisaties die veel te maken hebben met het verwerken van bijzondere persoonsgegevens.

#3 Breng gegevensstromen in kaart

Zorg ervoor dat je weet waar persoonsgegevens zich bevinden in de organisatie en welke routes de gegevens afleggen. Zo kom je erachter in welke processen persoonsgegevens verwerkt worden en waar het risico op een datalek zich dus bevindt. Vergeet hierbij ook de papieren gegevens niet.

#4 Maak gebruik van encryptie

Door gegevens versleuteld op te slaan en te delen, verklein je de kans op een datalek. Versleutelde berichten kunnen alleen gelezen en bewerkt worden door mensen die beschikken over de juiste sleutel. Encryptie kan ervoor zorgen dat data nog steeds veilig is wanneer er een datalek plaatsvindt.

#5 Verzamel geen onnodige gegevens

Gegevens die niet bewaard hoeven te worden volgens de bewaartermijn en niet van nut zijn voor de organisatie, kun je het beste vernietigen. Dit klinkt logisch, maar in de praktijk blijkt dat organisaties enorm veel gegevens bewaren die ze nergens meer voor nodig hebben. Hoe minder gegevens je bewaart, hoe kleiner de kans is op het lekken van data.

#6 Zorg voor goede security

Maak gebruik van technische oplossingen om persoonsgegevens te beschermen. Denk bijvoorbeeld aan een goede firewall, beveiliging voor het draadloze netwerk, laat wachtwoorden aan bepaalde eisen voldoen en kies voor securitysoftware die altijd up-to-date is. Dit biedt bescherming tegen de kwade bedoelingen van cybercriminelen en malware (waaronder ransomware). Check deze pagina voor de 'Security Tools' van Successfully of neem eens contact op met onze Security Officer Roy Sandbergen!

#7 Kies nooit voor cloudopslag buiten de EU

In de Verenigde Staten is de privacywetgeving veel minder streng dan in de Europese Unie. De Patriot Act in de VS zorgt ervoor dat de Amerikaanse overheid altijd gegevens mag opvragen wanneer er sprake is van een ‘aannemelijk belang’. Als gegevens toegankelijk worden voor de Amerikaanse overheid, spreken we van een datalek. Outlook Webmail, Gmail, Dropbox en Google Drive zijn daarom absoluut niet geschikt voor het versturen van persoonsgegevens.

#8 Schenk aandacht aan de zwakste schakel: de medewerker

Datalekken worden vaak door medewerkers veroorzaakt. Hoewel er kwade opzet in het spel kan zijn, is dit meestal niet het geval. Vaak ontstaan lekken doordat medewerkers gebruik maken van publieke clouddiensten zoals Dropbox. Ook laten ze soms USB-sticks slingeren, delen ze onbeveiligde maar privacygevoelige documenten of klikken ze op bijlagen in verdachte e-mails. Door medewerkers bewust te maken van het privacy beleid en ze te helpen op een goede manier om te gaan met vertrouwelijke gegevens, kunnen veel datalekken voorkomen worden.

Bescherm de organisatie tegen ransomware

Ransomware wordt ook wel gijzelsoftware genoemd. Cybercriminelen gebruiken ransomware als chantagemiddel. Als je computer besmet is met ransomware, heb je geen toegang meer tot je gegevens. Cybercriminelen vragen geld om de computer en de gegevens weer vrij te geven. In de praktijk blijkt betalen niet altijd te helpen om weer toegang te krijgen tot de gegevens. Het kan ook zo zijn dat het hele computersysteem gegijzeld is. Als organisatie wil je er natuurlijk alles aan doen om een besmetting met ransomware te voorkomen. Een aanval met ransomware valt ook onder de meldplicht datalekken. Check deze pagina waar wij uitleggen wat Ransomware is en wat Successfully hier voor jouw organisatie mee kan doen.

Successfully Continuous Scanning dienst

Recentelijk zijn we een samenwerking aangegaan met Guardian360, op het gebied van Continuous Security Scanning. Met (managed) Continuous Security Scanning kan jij als organisatie pro-actief op de hoogte zijn over potentiële kwetsbaarheden op jouw ICT omgeving en kan je ervoor zorgen dat er pro-actief op gehandeld wordt vóórdat je bijvoorbeeld gehackt wordt of er een datalek kan ontstaan. Check deze pagina voor meer informatie of neem contact op met onze Security Office Roy Sandbergen!