Datalek voorkomen en voorbereid zijn

Is er in uw eigen organisatie een datalek? Of heeft u ergens anders in uw omgeving een datalek gesignaleerd en wilt u de AP hierover een tip geven?

Direct een datalek melden of een datalektip geven

U voorkomt datalekken zo veel mogelijk door beveiligingsmaatregelen te nemen die zijn afgestemd op uw organisatie. En om bij een datalek snel in actie te komen, helpt het als u daarvoor een werkproces heeft klaarliggen. Zodat iedereen in uw organisatie weet hoe te handelen bij een datalek.

Beveiligingsmaatregelen

Er is geen kant-en-klare oplossing waarmee iedere organisatie gegarandeerd beveiligd is tegen datalekken. Het gaat in de praktijk om een set van verschillende maatregelen die elkaar aanvullen en versterken. En die u steeds moet controleren en waar nodig moet bijstellen ('plan-do-check-act'). Deze set maatregelen is voor iedere organisatie anders. De basis voor uw beveiligingsmaatregelen is uw beveiligingsplan.

Beveiligingsplan

Een goed beveiligingsplan om datalekken te voorkomen begint in elk geval met een risicoanalyse. Zodat u weet waar uw organisatie het kwetsbaarst is voor datalekken. Op basis daarvan bepaalt u de maatregelen. Zorg dat u zicht heeft op de informatiestromen in uw organisatie en welke bedrijfs- en privacyrisico’s die met zich meebrengen. Actualiseer dit overzicht regelmatig.

Deze vragen helpen u daarbij:

• Hoe zien de informatiestromen in uw organisatie eruit?
• Waar zitten de kritieke bedrijfsprocessen?
• Welke persoonsgegevens verwerkt u allemaal? Op welke (digitale en fysieke) plekken staan die opgeslagen? Welke zijn het gevoeligst?
• Welke systemen zijn er? Is er een functionaliteit of software aanwezig die u niet (meer) nodig heeft?
• Welke medewerkers hebben allemaal toegang tot welke persoonsgegevens? En hebben ze die toegang ook echt nodig voor hun functie?
• Wat kan er misgaan? En welke risico’s levert dat op? Denk aan inbraak, phishing, brand, kwijtraken van mobiele apparaten etc.

Datalekken voorkomen of gevolgen beperken

In de Algemene verordening gegevensbescherming (AVG) staat dat u ‘passende technische en organisatorische maatregelen’ moet nemen om persoonsgegevens te beveiligen. Maar wat passend is, verschilt per organisatie.

Als toezichthouder kan de Autoriteit Persoonsgegevens (AP) u geen advies op maat of technische instructies geven. Wel bieden wij een aantal algemene tips. Deze tips zijn gebaseerd op de meest voorkomende datalekmeldingen die de AP ontvangt.

1. Neem voldoende beveiligingsmaatregelen. Zoals maatregelen om het risico op een datalek door ransomware te verkleinen.
2. Houd een interne opschoonactie. Verwijder bijvoorbeeld e-mails of bestanden die niet meer nodig zijn. Hier zitten namelijk vaak persoonsgegevens in. Of schoon adresboeken op. Hiermee voorkomt u dat een datalek onnodig veel persoonsgegevens raakt. Verwijdert u persoonsgegevens, controleer dan of deze gegevens nog in een back-up zitten. Zo ja, verwijder de gegevens dan ook uit de back-up.
3. Zorg dat uw medewerkers alleen persoonsgegevens kunnen inzien die ze echt nodig hebben voor hun werk. Controleer periodiek de logbestanden op onrechtmatige inzagen.
4. Maak uw medewerkers bewust. Onder meer van het risico op hacking, phishing en malware. U kunt hiervoor bijvoorbeeld de informatie Eerst checken dan klikken gebruiken van veiliginternetten.nl.
5. Schakel alleen leveranciers in die genoeg garanties geven voor passende technische en organisatorische beveiligingsmaatregelen. Sluit een verwerkersovereenkomst af waarin u precies regelt welke persoonsgegevens de leverancier voor u verwerkt en wat u van elkaar kunt verwachten bij een datalek.
6. Stel de bcc in als standaardoptie in uw e-mailprogramma. Hiermee verkleint u de kans op een datalek doordat een medewerker per ongeluk de e-mailadressen van een groepsmail zichtbaar maakt voor iedereen.
7. Beveilig mobiele apparaten. Er zijn diverse maatregelen die u kunt treffen om de schade bij een datalek door verlies van bijvoorbeeld een mobiele telefoon te beperken. Bijvoorbeeld door de harde schijf te versleutelen of gebruik te maken van meerfactorauthenticatie.

Werkproces bij datalek

Om snel te kunnen reageren op een datalek, moet u maatregelen treffen om ervoor te zorgen dat iedereen in uw organisatie een (mogelijk) datalek onmiddellijk signaleert en intern meldt. Daarnaast is het een goed idee om een intern werkproces vast te stellen dat houvast biedt zodra er een datalek is.

Herkennen van een (mogelijk) datalek

Snel handelen begint bij het herkennen van een mogelijk datalek. U kunt mogelijke datalekken ontdekken door uw netwerkverkeer (geautomatiseerd) in de gaten te houden. Of een medewerker kan iets verdachts zien. Daarvoor moeten uw medewerkers wel eerst weten wat een datalek is.

Besteed daarom intern aandacht aan het onderwerp. Bijvoorbeeld tijdens een (inwerk)training of overleg. Stem de informatie af op het werkproces van de medewerker. Mailt iemand bijvoorbeeld veel met (onbekende) externe partijen? Wijs dan onder meer op het herkennen van phishingmails.

Intern melden

Uw medewerkers moeten niet terughoudend zijn om een datalek intern te melden. Een datalek kan iedereen overkomen. Het is juist professioneel om meteen in actie te komen. Besteed daarom intern aandacht aan het onderwerp. En zorg dat iedereen op de hoogte is van het werkproces bij datalekken en zich veilig genoeg voelt om een datalek te durven melden.

Uw werkproces datalekken

In uw interne werkproces voor datalekken neemt u bijvoorbeeld de volgende informatie op:
 

• Wie het eerste aanspreekpunt is bij een (mogelijk) datalek. Bijvoorbeeld de directeur, een privacycontactpersoon of de functionaris gegevensbescherming (FG).
• De termijn waarbinnen medewerkers een (mogelijk) datalek bij het aanspreekpunt moeten melden.
• Contactgegevens van het aanspreekpunt. Is er een noodlijn buiten kantooruren? Wie is achtervang tijdens vakanties?
• Afspraken wie wat doet bij de vervolgstappen om een datalek te beëindigen.
• De wijze waarop uw organisatie het datalek intern registreert.