Helaas is een datalek niet altijd te voorkomen. Hackers zullen ieder gaatje in je beveiliging proberen te vinden om te misbruiken.
Maar vaak zijn ook medewerkers zelf schuldig aan het onzorgvuldig omgaan met gevoelige gegevens.
Inhoud datalek voorkomen
Wat is een datalek?
We spreken van een datalek of privacylek als persoonsgegevens in de verkeerde handen vallen.
Bij een datalek gaat het dus om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.
Voorbeelden van datalekken: uitgelekte computerbestanden, een (gestolen) klantenlijst, cyberaanvallen, e-mail verzonden naar verkeerde adressen, gestolen of gevonden laptops, afgedankte niet-geformateerde computers en verloren usb-sticks.
7 Tips om een datalek te voorkomen
1. Maak je medewerkers (privacy)bewust
Onder meer van het risico op hacking, phishing en malware. Je kunt hiervoor bijvoorbeeld de informatie gebruiken uit de campagne ‘eerst checken dan klikken’ van veiliginternetten.nl.
2. Beveilig (mobiele) apparaten
Er zijn diverse maatregelen die je kunt treffen om de schade bij een datalek door verlies van bijvoorbeeld een mobiele telefoon te beperken. Bijvoorbeeld door de harde schijf te versleutelen, sterke wachtwoorden te gebruiken en gebruik te maken van meerfactorauthenticatie.
3. Houd een interne opschoonactie
Verwijder bijvoorbeeld e-mails of bestanden die niet meer nodig zijn. Hier zitten namelijk vaak persoonsgegevens in. Of schoon adresboeken op. Hiermee voorkom je dat een datalek onnodig veel persoonsgegevens raakt. Of dat malware zich veel verder verspreidt.
4. Update regelmatig je software
Installeer regelmatig updates en bekijk of het automatisch installeren van updates voor jouw organisatie een werkbare oplossing is.
5. Deel geen gegevens via whatsapp
Veel problemen beginnen met gemakzucht. Even een WhatsApp-groep aanmaken om daar vervolgens gevoelige gegevens op te delen is uit den boze! Sowieso raden we af om WhatsApp zakelijk te gebruiken.
6. Stel de BCC in als standaardoptie in je e-mailprogramma
Je kent ze wel. Mailtjes waar 100 mensen in de cc staan. Niet alleen vervelend maar het is ook een vorm van een datalek. Met deze tip verklein je de kans op een datalek doordat een medewerker niet per ongeluk de e-mailadressen van een groepsmail zichtbaar maakt voor iedereen. Dus BCC mensen ipv CC.
7. Houd een lijst bij van incidenten
Ook als ze niet gemeld zijn bij de Autoriteit Persoonsgegevens. je kunt van de incidenten leren en je kunt aantonen dat je zicht hebt op de fouten binnen jouw organisatie.
Verminder je honger naar data
Er wordt tegenwoordig veel data verzameld. Opslag kost bijna niets meer dus waarom zou je niet alle data verzamelen?
Wanneer je als organisatie te maken krijgt met een datalek kan een eventuele boete hoog oplopen. Het niet opslaan van persoonsgegevens of het (eerder) verwijderen ervan is veiliger dan het verzamelen en gebruiken van teveel (onnodige) data.
Je moet jezelf steeds afvragen, heb ik deze gegevens echt nodig voor mijn bedrijfsprocessen. Data verzamelen omdat het kan is zeer onverantwoordelijk.
Maak je medewerkers bewust
De meeste lekken ontstaan door menselijke fouten. Zorg daarom dat oplossingen gebruiksvriendelijk zijn.
Met role-based access control beperk je de toegang tot data, waarbij de rol van de gebruiker leidend is. Stel altijd de vraag: wie moet bij welke data kunnen, en waarom?
Vrijwel altijd zal de conclusie zijn dat niet iedereen over dezelfde toegangsrechten mag beschikken.
Let ook op afwijkend gedrag. Op dit punt ging het goed mis bij de GGD. Medewerkers konden zonder probleem hele lijsten met gevoelige persoonsgegevens exporteren . Een manier is om een profiel voor iedere gebruiker aan te maken, zodat afwijkend gedrag sneller aan het licht komt.
Stel dat een callcentermedewerker per dag toegang tot zo’n tien dossiers nodig heeft om zijn werk te kunnen doen en dan opeens veertig dossiers per dag opent, is dat afwijkend gedrag. Dan moet er een alarm afgaan.
Let hierbij wel op dat je de privacy van je medewerkers waarborgt.
Maak een draaiboek
Zorg voor een draaiboek waarin je vastlegt welke systemen bedrijfskritisch zijn, wie in welke volgorde ingeschakeld moet worden bij welke problemen om ze zo snel mogelijk op te lossen en wat de boodschap moet zijn voor medewerkers, klanten en leveranciers.
Zorg ervoor dat je medewerkers de procedure kennen. Laat regelmatig een interne of externe expert naar je netwerk kijken en laat hem/haar de meldingen van het personeel bekijken.
Toch een datalek? Tijd voor actie!
