20 november 2019 -
Elke manager leert door schade en schande dat mensen nu eenmaal fouten maken. Soms door pure onnozelheid, maar meestal door een onhandige samenloop van omstandigheden. Daarom is het niet zo gek dat organisaties nog steeds data lekken, ondanks alle voorzorgsmaatregelen.
De vraag voor een manager is dan ook niet alleen; hoe voorkomt u een datalek? Maar vooral; hoe leidt u zo’n ongeluk in goede banen?
Volgens de Cybersecuritymonitor 2019 van het Centraal Bureau voor de Statistiek (CBS) doen bedrijven steeds meer aan cybersecurity. Zo investeert 69 procent van de grote bedrijven (+500 medewerkers) in data-encryptie. Toch had vorig jaar nog meer dan de helft van de grote organisaties last van een hack of datalek. Volgens de Autoriteit Persoonsgegevens worden de meeste incidenten veroorzaakt door het versturen van persoonsgegevens aan een verkeerde ontvanger, gevolgd door het verliezen van een laptop of USB-stick.
Flextrend
Het is moeilijk om er precies de vinger op te leggen, maar het lijkt erop dat de flexwerktrend de kans vergroot dat er spullen kwijtraken. Medewerkers zijn tenslotte steeds vaker buiten de veilige kantoormuren aan het werk. Op het moment dat uw medewerker een USB-stick laat slingeren in een koffietentje of zijn laptop vergeet in de trein, heeft uw organisatie een serieus beveiligingsprobleem. Voorkomen kunt u het misschien niet, maar met een ‘wat-als-plan’ zorgt u ervoor dat u een datalek zo goed mogelijk afhandelt. Hieronder deelt Ferdi van der Zwaag van Kingston een globaal stappenplan wat u als basis kunt gebruiken voor een gedetailleerdere opzet:
Stap 1: Vergrendel het verloren apparaat
Onderzoek of u het apparaat op afstand kunt vergrendelen. Sommige fabrikanten van laptops hebben een anti-diefstalfunctie ingebouwd. Hiermee kunt u een laptop op afstand vergrendelen, ook al staat het apparaat uit. Maar ook besturingssystemen, zoals Windows en Apple, bieden een dergelijke functie.
Stap 2: Stel vast of er sprake is van een datalek
Wat veel mensen niet weten, is dat er alleen sprake is van een datalek als er gegevens van personen gelekt zijn. Als een verloren USB-stick volstaat met gevoelige financiële gegevens van uw organisatie, is dat natuurlijk ook vervelend, maar dan hoeft u zich geen zorgen te maken als het gaat om het naleven van de AVG. Deze gaat alleen over privacygevoelige persoonsgegevens.
Stap 3: Beoordeel het risico van het lek
Als u hebt vastgesteld dat het om een datalek gaat, dan is het in eerste instantie belangrijk dat u achterhaalt van wie er gegevens gelekt zijn en om wat voor soort gegevens het gaat. Daarnaast dient u te onderzoeken of u het datalek moet melden bij de Autoriteit Persoonsgegevens. U hoeft een datalek namelijk alleen te melden als de kans groot is dat de gegevens daadwerkelijk op straat belanden en dan is de impact hiervan groot. Een datalek brengt een hoog risico met zich mee wanneer het kan leiden tot lichamelijke, materiële of immateriële schade voor de betrokken personen. Hier vindt u nog meer vragen die u helpen met het inschatten van het risico. Mocht het risico hoog zijn, dan moet u zorgen dat u het datalek binnen 72 uur meldt bij de Autoriteit Persoonsgegevens.
Stap 4: Informeer de betrokken personen
U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen op de hoogte te brengen als het datalek waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. Kunt u onderbouwen dat dit niet zo is? Dan hoeft u het datalek niet aan hen te melden.
Stap 4: Communiceer het ongeluk binnen uw organisatie
Als er sprake is van een datalek dat dreigt uit te lekken naar de media, is het belangrijk dat u uw medewerkers snel informeert, zodat ze het nieuws niet van anderen horen of erger; in de krant lezen.
Stap 5; Implementeer betere voorzorgsmaatregelen
De laatste stap is de evaluatie. Waar ging het mis? Hoe kan er voorkomen worden dat het nog eens gebeurt? Datalekken volledig uitsluiten is misschien geen haalbaar doel, maar u kunt bijvoorbeeld wel betere voorzorgsmaatregelen treffen zoals het versleutelen van laptops en USB-sticks. Als u een gedegen encryptie in uw hardware verwerkt, is de kans klein dat vinders met kwade bedoelingen de gegevens kunnen openen. Het beste is om voor dubbele beveiliging te kiezen door middel van encryptie en een wachtwoord.
Ferdi van der Zwaag, Business Development Manager bij Kingston, zegt hierover: "Wanneer uw organisatie te maken heeft met gevoelige persoonsgegevens raden we altijd aan om gegevens te versleutelen via een wachtwoord (encryptie), zodat data nooit in foute handen kan vallen. Binnen uw organisatie kunt u dit borgen door alleen 100 procent hardware-gecodeerde sticks toe te staan in USB-poorten. Aanvullend kunt u bijvoorbeeld investeren in harde schijven die zichzelf vergrendelen na tien mislukte inlogpogingen op rij. Zo weet u zeker dat uw gegevens veilig zijn als een schijf, laptop of USB-stick kwijtraakt of gesloten wordt."