Een organisatie zonder datalekken: een compliment of juist een aandachtspunt!

Vrijwel dagelijks lezen we in het nieuws over datalekken. Of het nu bij het mkb is, een zorg- en welzijnsinstelling of een school, elke organisatie heeft ermee te maken. In 2019 ontving de AP bijna 27.000 datalekmeldingen. De techniek in gegevensbescherming is natuurlijk belangrijk, maar het menselijk handelen is doorslaggevend. Slachtoffers geven zelf persoonsgegevens als ze gebeld of gemaild worden, ze verliezen hun laptop of smartphone met daarin persoonsgegevens of beveiligen hun apparaten onvoldoende. De mens is in de keten van cybersecurity nog altijd de zwakste schakel. Maar hoe is het dan mogelijk dat er organisaties zijn die weinig tot geen datalekken hebben? Hebben ze hun informatiebeveiliging zo goed voor elkaar? Of worden deze datalekken niet gemeld? Lees dit artikel voor meer informatie.

Beveiligingsincidenten en datalekken

Het feit dat er in een organisatie weinig of geen datalekken lijken te zijn, hoeft niet te betekenen dat er niks aan de hand is. We moeten goed beseffen dat er in elke organisatie datalekken en/of beveiligingsincidenten zijn. Het grootste deel van de beveiligingsincidenten en/of datalekken wordt niet veroorzaakt door technisch falen van techniek, maar door menselijke fouten. In elke organisatie doen medewerkers hun best om het werk snel, efficiënt en kwalitatief goed te doen. Tijdens deze werkzaamheden kan zomaar een datalek ontstaan. Bijvoorbeeld door een e-mail met gevoelige gegevens naar een verkeerde persoon te versturen.

Datalekken melden

Hoe binnen een organisatie wordt omgegaan met de melding en afhandeling van beveiligingsincidenten en/of datalekken is van grote invloed op de veiligheids- en privacycultuur. Medewerkers moeten ten eerste in staat zijn om datalekken en/of beveiligingsincidenten te herkennen. Vervolgens moeten ze weten wat ze moeten doen en bij wie ze moeten zijn. Organisaties moeten ervoor zorgen dat medewerkers zich veilig voelen om een datalek te melden. Door de mogelijkheid te creëren om datalekken op een eenvoudige manier te melden, geeft een organisatie het signaal af dat er aandacht is voor het aanpakken en leren van datalekken. Volgens de AVG moet iedere organisatie die verwerkingsverantwoordelijke is een datalekregister opstellen. Het doel van het datalekregister is dat het op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check-learn-act-cyclus wordt besproken. Zo kan een organisatie leren van fouten en verbeteringen doorvoeren. Maar eerst moeten medewerkers goed getraind worden in het herkennen van datalekken en beveiligingsincidenten en ze moeten zich veilig voelen om te melden als ze een datalek hebben ontdekt of veroorzaakt.

Herkennen

De AP heeft enkele voorbeelden van datalekken gepubliceerd:

• Een medewerker heeft persoonsgegevens van een groot aantal studenten naar de verkeerde mailinglijst verzonden.
• Een DDOS-aanval heeft ertoe geleid dat een ziekenhuis gedurende 30 uur medische dossiers niet kon inzien.
• Een direct-marketingmail is verzonden naar ontvangers in ‘CC’ in plaats van in ‘BCC’. Dit heeft als gevolg dat e-mailadressen van alle ontvangers voor iedereen zichtbaar is.
• Een online dienst is gehackt waardoor klantgegevens geëxtraheerd konden worden.
• Door een Ransomware zijn alle persoonsgegevens binnen een organisatie ontoegankelijk geworden.

Maatregelen

Op grond van de AVG dient een organisatie voldoende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. Eén van de organisatorische maatregelen is dat de organisatie ervoor moet zorgen dat medewerkers datalekken kunnen herkennen, weten wat ze moeten doen als ze een datalek tegenkomen én wat de mogelijke gevolgen zijn van niet-melden.  Neem als organisatie maatregelen om de kans op nieuwe datalekken te verminderen.

Bronnen:

Autoriteit Persoonsgegevens

Meer informatie?

De Privacy Experts ondersteunt scholen en samenwerkingsverbanden op het gebied van IBP. We bieden passende diensten aan tegen voordelige prijzen en ontwikkelen operationele AVG-kennisproducten die scholen goed kunnen gebruiken.

NIEUW: We bieden een totaaloplossing Privacy365 om het privacybewustzijn van de gehele organisatie doorlopend te borgen. Ontdek wat Privacy365 voor uw organisatie kan betekenen.

Wil je meer weten over onze visie of aanpak, of ben je benieuwd naar andere informatie? Neem dan vrijblijvend contact met ons op.