Categorieën
Persoonlijk

Datalek is een nachtmerrie 6 tips voor nachtrust

Voor 2018 wens ik je het allerbeste. Maak er een succesvol en technologisch jaar van. Hoe kijk jij terug op 2017? Het nieuwe jaar is begonnen! Ik sloot het jaar af met trends voor het nieuwe jaar. Dit nieuwe jaar begin ik door met de deur in huis te vallen. Wist je dat een datalek in 90% van de gevallen door een menselijke fout wordt veroorzaakt? Hoe beperk jij als bedrijf zo’n datalek? En wat moet je volgens de GDPR doen bij een datalek. Dit is het jaar van de GDPR. Zo kwam er in 2017 van 20.000 personen privégegevens bij PON op straat door een datalek.

De Meldplicht Datalekken is in Nederland sinds 1 januari 2016 al van kracht. En dat blijft ook zo na 25 mei 2018. Het enige verschil is dat onder de GDPR elke datalek binnen een bedrijf moet worden gedocumenteerd. Dit zodat de Autoriteit Persoonsgegevens kan controleren of je aan de meldplicht hebt voldaan. Een datalek moet je overigens ook binnen 72 uur melden. Wie preventief actie neemt, verkleint de kans op een datalek natuurlijk.

Dashboard met zicht op een datalek

Inmiddels begrijpen veel bedrijven dat je eigen medewerkers vaak een cruciale rol spelen bij het veroorzaken van een datalek (echt niet bewust altijd). Kortom hier ligt ook de basis voor het voorkomen. Het gaat daarbij met name om de onwetendheid over de gevoeligheid van data zelf. Met Power BI en Azure AD kan je een dashboard met rijke analyses en heldere visuele rapportages maken dat (desgewenst) real time inzage geeft in mogelijke risico’s. Dit dashboard is gewoon uit Microsoft Appsource te downloaden zonder kosten.

datalek-azure-audit
Power BI dashboard “Azure Active Directory Activity Logs”

Maak van beveiliging geen hogere wiskunde. Betrek je gebruikers bij beveiliging en risico’s. Leg uit waarom en wat de gebruikers zelf kunnen. Ook hier geldt dat adoptie belangrijk is!

1. Mogen medewerkers zelf software downloaden en installeren op bedrijfsapparatuur?

Als medewerkers op eigen houtje software mogen installeren, zorgt dit voor kwetsbaarheden in de databeveiliging. Zorg er daarom voor dat dit op apparaten die toegang hebben tot persoonsgegevens niet is toegestaan. Dit kun je oplossen door apparaten te beheren.

2. Worden bij afgeschreven hardware alle persoonsgegevens daarop vernietigd?

Het is slim om bij het verkopen of vernietigen van hardware te zorgen dat persoonsgegevens onleesbaar zijn gemaakt. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf. Zorg dat de data overschreven wordt of maak de gegevensdragers in zijn geheel onbruikbaar. En vergeet vooral de printer niet – die hebben vaak nog duizenden print- en scanopdrachten in het geheugen staan.

3. Weten alle medewerkers dat (kopieën van) bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers verwijderd moeten worden?

Soms is het noodzakelijk dat bepaalde medewerkers tijdelijk een kopie van een klant- of prospectbestand krijgen. Denk aan het maken van een export van e-mailadressen uit je CRM, om deze vervolgens te uploaden in Mailchimp of een ander e-mailprogramma. Het is dan aan te raden medewerkers te instrueren de kopie te verwijderen, zowel van lokale apparatuur als eventuele externe gegevensdragers als USB-sticks etc.

4. Verzenden van persoonsgegevens?

Bijna alle bedrijven maken gebruik van netwerken voor het transporteren van persoonsgegevens. Deze datacommunicatie kan binnen de eigen organisatie plaatsvinden, maar ook met externe bureaus of partnerorganisaties. Wanneer persoonsgegevens over netwerken worden getransporteerd, ontstaat een beveiligingsrisico.

Het is mogelijk dat de gegevens tijdens het transport in handen komen van onbevoegden of dat gegevens gewijzigd worden. Dit is op verschillende manieren te ondervangen, bijvoorbeeld door gebruik te maken van een SFTP-server of extranet.

Als je bedrijf gegevens uitwisselt per e-mail of fysieke gegevensdragers zoals USB-sticks, adviseert de Autoriteit Persoonsgegevens deze gegevens goed te versleutelen. Daar komt nog bij dat het onwenselijk is dat er bestanden met persoonsgegevens rondzweven in mailboxen, omdat deze data volledig van de radar zijn. Daardoor is deze niet in beeld bij een ‘recht om vergeten te worden’-verzoek van een klant of bij een potentieel datalek.

5. Mogen medewerkers inloggen op bedrijfsnetwerken vanaf een publiek netwerk?

Medewerkers moeten extra voorzichtig zijn wanneer ze vanuit een externe locatie – de hippe koffietent – gebruikmaken van een publiek netwerk om verbinding te maken met het bedrijfsnetwerk. Internetverbindingen zijn namelijk niet per definitie veilig en openbare netwerken vormen een hoger risico. Communicatie via het reguliere protocol, waarmee internet werkt, is erg eenvoudig af te luisteren.

6. Slaat je bedrijf persoonsgegevens op in de cloud?

Let er dan op waar deze gegevens opgeslagen worden. Wanneer persoonsgegevens opgeslagen worden buiten de EU, zijn er specifieke regels om de bescherming van die gegevens te garanderen. Zorg dat je weet hoe een en ander bij je cloud-leverancier is geregeld.