Datalek melden en voorkomen
U bent verplicht om de gegevens die u van klanten en zakenpartners heeft te beschermen. Ook voor een datalek. Lees hoe u een datalek kunt voorkomen. En wat u moet doen bij een datalek in uw bedrijf.
Wat is een datalek?
U heeft een datalek wanneer cybercriminelen toegang weten te krijgen tot computerbestanden met zakelijke persoonsgegevens. Of bedrijfsgeheimen of financiële informatie. Het is ook een datalek als vertrouwelijke informatie per ongeluk openbaar wordt.
Er zijn verschillende manieren waarop een datalek kan ontstaan. Bijvoorbeeld als:
- een zakelijk e-mail met vertrouwelijke informatie naar het verkeerde adres wordt verzonden
- een zakelijke laptop van een medewerker is gestolen of verloren
- de gegevens op een smartphone voor het doorverkopen niet helemaal zijn verwijderd
- een zakelijk digitaal account wordt gehackt waardoor een cybercrimineel bij alle gegevens kan
Door een datalek kunt u ongemerkt de Algemene Verordening Gegevensbescherming (AVG) overtreden en een boete krijgen.
Gevaren van datalekken
Het kan grote gevolgen hebben wanneer vertrouwelijke informatie in verkeerde handen valt. Zo kunnen cybercriminelen makkelijker online fraude plegen met de persoonsgegevens van uw klanten. Ze kunnen ook gerichter phishingmails sturen naar slachtoffers van een datalek.
Met gelekte wachtwoorden proberen cybercriminelen mogelijk op verschillende platformen in te loggen. Het is verstandig om klanten te adviseren hun wachtwoord te veranderen na een datalek.
Datalek voorkomen
Een datalek kan iedere organisatie overkomen. Toch kunt u dingen doen om een datalek te voorkomen. Hiervoor zijn verschillende manieren:
- Verzamel alleen (gevoelige) informatie die u nodig heeft. U kunt hierbij denken aan burgerservicenummers en financiële gegevens. Bedenk hierbij ook of u deze informatie echt moet opslaan.
- Verwijder (gevoelige) gegevens die u niet meer nodig heeft. Ga met een kritische blik door systemen waarmee u gegevens opslaat.
- Maak bewuste keuzes met wie u (gevoelige) gegevens deelt. Hou bij wie van uw medewerkers toegang heeft tot vertrouwelijke informatie. Zorg dat medewerkers alleen toegang hebben tot gegevens die nodig zijn voor hun werk. Maak afspraken met deze medewerkers hoe zij omgaan met (gevoelige) gegevens.
- Verwerkt een ander bedrijf persoonsgegevens of gevoelige informatie voor uw bedrijf? Maak dan een verwerkersovereenkomst.
- Sla gevoelige informatie op zo min mogelijk plekken op. Sla het liefst de informatie centraal op om de gegevens beter in de gaten te houden.
- Gebruik Data Loss Prevention (DLP) software als aanvulling voor het beschermen van informatie. Met DLP-software kunt u gevoelige informatie sorteren en beheren.
- Wees alert op klanten en zakelijke relaties die klagen over phishing of andere digitale vormen van oplichting.
Wat te doen bij een datalek?
U bent verplicht om een datalekregister op te stellen en bij te houden. Registreer het datalek daarom altijd in het datalekregister van uw organisatie. Is het datalek nog bezig? Probeer het dan zo snel mogelijk te stoppen. Bepaal daarna of u het datalek moet melden bij de Autoriteit Persoonsgegevens (AP).
Onderzoek welke informatie gelekt is. Zijn er persoonsgegevens gelekt? Meld dit dan bij de slachtoffers van wie de gegevens zijn gelekt. Probeer te achterhalen hoe het is gebeurd en wat de omvang van het datalek is.
Lees welke stappen u moet doorlopen bij een datalek op Autoriteitpersoonsgegevens.nl
Datalek herkennen
Soms heeft u niet door dat er een datalek is. Toch zijn er dingen die kunnen wijzen op een datalek.
Veelvoorkomende verdachte activiteiten zijn:
- verdachte inlogactiviteiten
- vreemde bestandwijzigingen
- onverwacht opduiken van onbekende bestanden
- het zoekraken van documenten met gevoelige informatie
- bestanden zijn vernietigd door iemand die daar geen toestemming voor heeft
- afwijkende beheerdersactiviteiten
- meldingen van uw antivirussoftware over verdacht netwerkverkeer of verdachte software