Een cyberveilig bedrijf

Zo voorkom je een datalek

Steeds meer grote bedrijven krijgen volgens het CBS te maken met een datalek. De namen, mailadressen en soms zelfs rekeningnummers van klanten worden verhandeld door cybercriminelen. Hoe kun jij zo’n datalek voorkomen? En wat moet je doen als er klantgegevens zijn gelekt?

Bij een datalek vallen persoonsgegevens in handen van derden, die geen toegang tot die gegevens mogen hebben. Een datalek kan ontstaan door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. Sinds 2016 is het aantal bedrijven dat een datalek meemaakt toegenomen van 6 naar 8 procent. In de meeste gevallen gaat het om uitgelekte computerbestanden via een hack of zelfs via eigen medewerkers. Ook een gestolen laptop of klantenlijst kan een datalek vormen.

Oorzaak

Een datalek ontstaat niet zomaar. Data kunnen uitlekken doordat jij zelf onvoorzichtig omgaat met persoonsgegevens, of als een zakenpartner of leverancier jouw klantgegevens onzorgvuldig beheert. Als je ICT-beveiliging niet op orde is kan een hacker jouw klantgegevens stelen. Een lek kan ook ontstaan als je per ongeluk niet goed oplet, waardoor een laptop, USB-stick, wachtwoord of printjes op een onbeveiligde plek belanden.

Voorkom een datalek

Neem de juiste maatregelen om te voorkomen dat persoonsgegevens in verkeerde handen vallen. Daarmee voorkom je een datalek en andere vervelende gevolgen, zoals afpersing of een boete. Denk bijvoorbeeld aan de volgende acties:

  1. Bespreek regelmatig (bijvoorbeeld een keer per jaar) met collega’s de verwerking van persoonsgegevens in jouw bedrijf. Verstuur je gegevens op een veilige manier, of gewoon per e-mail?
  2. Zorg dat je goed op de hoogte bent van de wetgeving rond persoonsgegevens: de AVG.
  3. Geef niet zomaar wachtwoorden, klantgegevens en toegang tot je systemen aan derden, zoals aan bijvoorbeeld zzp'ers die voor je bedrijf werken of aan leveranciers.
  4. Gaat een derde partij voor jouw bedrijf persoonsgegevens verwerken? Zorg dan voor een verwerkersovereenkomst. Andersom geldt: ben je zzp'er? Check dan bij elke nieuwe opdracht of je met persoonsgegevens van je opdrachtgever werkt. In dat geval moet je een verwerkersovereenkomst afsluiten.
  5. De klanten van wie jij gegevens verzamelt, moeten daarvan op de hoogte zijn. Laat hen weten welke gegevens jij verzamelt en met welk doel. Geef hen ook de gelegenheid om zichzelf uit te schrijven of de verzameling stop te zetten.
  6. Investeer in goede ICT-beveiliging van je laptop, computer, telefoon en mobiele apparaten. Bespreek dit bijvoorbeeld ook een keer per jaar met een cybersecurity-expert.
  7. Werk je veel in de cloud? Versleutel dan de persoonsgegevens die je opslaat en deelt.

Toch een datalek?

Wat als klantgegevens ondanks jouw maatregelen toch op straat belanden? Je bent verplicht het datalek te melden bij de Autoriteit Persoonsgegevens. Je kunt zelfs een boete krijgen als blijkt dat je te weinig maatregelen hebt genomen. Denk je dat er sprake is van een datalek? Doorloop dan de volgende stappen:

1. Check of het gaat om data met persoonsgegevens

Persoonsgegevens zijn data met informatie over een natuurlijke persoon. Dit betekent dat informatie direct over iemand gaat, of naar die persoon te herleiden is. Het gaat dus om iemands naam, adres en woonplaats. Maar ook telefoonnummers, klantnummers, klantprofielen en e-mailadressen zijn persoonsgegevens.

2. Meld het lek bij de Autoriteit Persoonsgegevens

Als er gevoelige persoonsgegevens zijn gelekt, ben je verplicht het binnen 72 uur te melden aan de Autoriteit Persoonsgegevens. Gevoelige gegevens gaan bijvoorbeeld over iemands politieke opvatting, seksuele leven of gezondheid. Datalekken zonder gevoelige persoonsgegevens moet je altijd intern registreren.

3. Meld het lek eventueel aan betrokkenen

Je hoeft een datalek alleen aan betrokken personen te melden als het ernstige gevolgen kan hebben voor hun persoonlijke levenssfeer. Kunnen zij het slachtoffer worden van fysiek letsel, materiele schade of discriminatie door jouw datalek? Dan ben je verplicht het ook aan hen te melden. Vermoed je dat het lek voor betrokkenen niet schadelijk is? Dan hoef je het alleen te melden bij de Autoriteit Persoonsgegevens. Weet je het niet zeker? De Autoriteit Persoonsgegevens geeft hierover meer informatie.

Liever een praktijksituatie zien? In deze animatie zie je wat je moet, mag en kunt met de AVG.

Verwerkt jouw bedrijf persoonsgegevens? Weet wat de regels en verplichtingen volgens de wet AVG zijn.
Liesbeth Sparks

Hoe kun je je bedrijf beschermen tegen digitale bedreigingen? Daar houd ik me voor KVK mee bezig. Ik volg het laatste nieuws rond cybersecurity en spreek met experts en wetenschappers. Wat ik te weten kom deel ik graag met ondernemers!

InspiratiePage