Skip to main content

blog

Datalekken in jouw organisatie reduceren

In elke organisatie worden gegevens verwerkt: van de eigen medewerkers, leveranciers, klanten, etc. Deze data zijn interessant voor partijen die snel geld willen verdienen, door bij jou of je relaties in te breken. Virtueel en/of fysiek. Je bent verplicht aan iedereen die jou informatie toevertrouwt, deze zorgvuldig te verwerken en bewaren. Om diefstal te voorkomen, maar ook om privacy te borgen. Wetgeving als de Algemene Verordening Gegevensbescherming herinnert ons hieraan.

Vertrouwen en onzorgvuldigheid

Maar dat is makkelijker gezegd dan gedaan. Want, waar gehackt wordt, vallen spaanders. Ruim een derde van de datalekken ontstaat door mensen die zich laten verleiden tot het maken van fouten. In situaties waarbij wordt ingespeeld op vertrouwen, door bijvoorbeeld phishing. Of ze zijn het gevolg van onzorgvuldigheid. Zoals wanneer een medewerker een USB-stick met belangrijke data in de trein laat liggen. Of een vertrouwelijk document op de printer, waar iedereen het kan zien. Datalekken ontstaan, vaak, niet door kwade wil en zijn moeilijk te voorspellen.

Plan, do, check, act 

Het helpt als je, in het geval van een datalek. heldere processen en procedures hebt ingericht. Net als de juiste autorisaties. Niet iedere medewerker hoeft contactgegevens van klanten in te kunnen zien of heeft toegang nodig tot de serverruimte. Vastleggen wie voor welke data verantwoordelijk is, en waarom, is een positieve stap binnen de informatiebeveiliging van jouw organisatie. Deze informatielijnen direct af kunnen sluiten wanneer er gelekt is, is een belangrijk vervolgstap. Als je het lek niet hebt kunnen voorkomen, probeer dan in elk geval de schade te minimaliseren. Bij voorkeur door het inzetten van noodplannen die je vooraf op basis van risicoanalyses gemaakt hebt. Als jij je organisatieprocessen zichtbaar hebt, zit je niet met de handen in het haar wanneer je collega tóch op die interessante URL klikt.

DPIA - Data Protection Impact Assessment?!

Het zorgvuldig in kaart brengen van de privacy risico’s in jouw organisatie is altijd aan te raden. Wanneer je bijzondere persoonsgegevens verwerkt is dit zelfs verplicht! Hou je bijvoorbeeld een zwarte lijst bij met klanten die niet langer welkom zijn, of wordt het gedrag van je buitendienst-collega’s gemonitord door middel van een GPS-systeem? Dan verlangt de Autoriteit Persoonsgegevens, dat je met behulp van een DPIA aangeeft waarom je dit doet en wat er exact met die gegevens gedaan wordt. Maar ook als een DPIA niet verplicht is, wil je weten hoe je de risico’s op een datalek in kaart kunt brengen. De gevolgen kunnen namelijk groot zijn. Denk hierbij aan financiële verliezen, maar ook aan zaken als imagoschade.

Klik op de 'read more' knop om de gehele blog te lezen.