Zo voorkom je een datalek

Een telecomprovider, een vliegmaatschappij, een marktonderzoeksbureau: allemaal al eens in het nieuws geweest met een datalek. Wat doe je als je bedrijf bijvoorbeeld klantgegevens heeft gelekt? En hoe voorkom je zo’n datalek?

Online sessie 3 juli: NIS2 / Cyberbeveiligingswet

Ontdek wat de NIS2 / Cyberbeveiligingswet is en hoe je de regels toepast in jouw bedrijf.

Meld je aan

Wat is een datalek?

Bij een datalek komen persoonsgegevensin handen van mensen die die gegevens niet mogen hebben. Denk aan naam, adres en telefoonnummer. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand niet voorzichtig genoeg is. Bijvoorbeeld een medewerker die een USB-stick met klantgegevens in de trein laat liggen. Of persoonsgegevens die op een onveilige computer staan.

Gevaren

Bij een datalek loop je mogelijk reputatieschade op. Niemand vertelt graag aan klanten of leveranciers dat hun persoonsgegevens op straat liggen. De gevolgen kunnen groot zijn voor de slachtoffers. Criminelen misbruiken hun gelekte persoonsgegevens bijvoorbeeld voor phishing en identiteitsfraude.

Een datalek komt vaak voor, zowel bij grote als kleine bedrijven. Ernstige datalekken moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP), anders krijg je mogelijk een boete.

Ernst van datalekken neemt toe

In 2023 kreeg de Autoriteit Persoonsgegevens (AP) ruim 25.000 meldingen van een datalek. Een stijging ten opzichte van 2022 toen het er ruim 21.000 waren. De AP ziet ook dat de ernst van de datalekken toeneemt. Bij ernstige datalekken zijn de risico’s en de gevolgen groot. Criminelen kunnen bijvoorbeeld misbruik maken van medische gegevens en daarmee valse schademeldingen aan verzekeraars sturen.

Ontdek het lek

Er is al snel sprake van een datalek. Een foutje is zo gemaakt. Het overkomt zeker niet alleen grote bedrijven. Stel, je verliest je laptop of je mailt per ongeluk gevoelige informatie aan de verkeerde persoon. Dan heb je al een datalek.

Een datalek door een beveiligingsprobleem ontdek je vaak pas bij het uitvoeren van controles. Je lekt dan mogelijk al heel lang data. Let daarom op de volgende zaken:

  • Controleer regelmatig de logboeken van je IT-systemen. Zijn gegevens onverwacht veranderd of zelfs verdwenen? Proberen onbekende mensen in te loggen op je accounts? Met een logboek weet je wie op welk moment in je netwerk is. En wat ze daar doen. Je kunt software kopen om zo'n logboek bij te houden.
  • Let op klanten, leveranciers en andere zakenrelaties die bij je klagen over phishing of andere vormen van oplichting. Het kan zijn dat hun persoonsgegevens op straat liggen door een datalek bij jou.
  • Check meldingen van je antivirussoftware of firewall. Kijk of er verdacht netwerkverkeer is. Of dat er verdachte software actief is.

Is het lastig of wil je dat iemand meekijkt bij verdachte zaken? Vraag je IT-beheerder of een cybersecurityspecialist om hulp.

AVG: privacy en persoonsgegevens

Bescherm persoonsgegevens

Met een paar maatregelen voorkom je dat je eigen persoonsgegevens en die van je klanten in verkeerde handen vallen. Neem bijvoorbeeld de volgende acties:

  • Bespreek regelmatig met medewerkers de verwerking van persoonsgegevens in je bedrijf. Verstuur en bewaar gegevens op een veilige manier.
  • Zorg dat je goed op de hoogte bent van de privacywetgeving: de Algemene verordening gegevensbescherming (AVG).
  • Geef niet zomaar wachtwoorden, klantgegevens en toegang tot je systemen aan anderen, zoals zzp'ers die je inhuurt.
  • Verwerkt een andere organisatie persoonsgegevens voor je bedrijf? Zorg dan voor een verwerkersovereenkomst. Andersom: check als zzp’er bij elke nieuwe opdracht of je met persoonsgegevens van je opdrachtgever werkt. Ook dan is een verwerkersovereenkomst nodig.
  • Vertel klanten welke gegevens je van hen verzamelt en met welk doel. Meld daarbij ook hoe ze het verzamelen van die gegevens stopzetten.
  • Zorg voor goede beveiliging van al je IT-systemen. Gebruik bijvoorbeeld sterke wachtwoorden en tweefactorauthenticatie. Laat ook regelmatig een cybersecurityexpert naar je beveiliging kijken.
Check als zzp’er bij elke nieuwe opdracht of je met persoonsgegevens van je opdrachtgever werkt. Ook dan is een verwerkersovereenkomst nodig.

Stappenplan bij datalek

Neem de volgende stappen als je een datalek hebt:

  1. Check of het om persoonsgegevens gaat. Persoonsgegevens zijn terug te leiden naar een persoon. Denk aan naam, adres, woonplaats, maar ook telefoonnummers en e-mailadressen.
  2. Stop het datalek als het nog bestaat. Denk aan het op afstand wissen van een verloren smartphone. Is reparatie van het datalek ingewikkeld? Vraag dan een cybersecurityexpert of een digitaal forensisch expert om hulp.
  3. Maak een inschatting van het risico van het datalek. Hoe gevoeliger de persoonsgegevens, hoe hoger het risico. Check de lijst met voorbeelden van de Autoriteit Persoonsgegevens.
  4. Meld het datalek binnen 72 uur bij de Autoriteit Persoonsgegevens. Dit moet bij ernstige datalekken die leiden tot risico voor de rechten en vrijheden van de slachtoffers. Meld je het niet? Dan krijg je mogelijk een boete van de Autoriteit Persoonsgegevens.
  5. Meld het datalek aan de slachtoffers van wie je gegevens hebt gelekt. Dit geldt voor datalekken die grote gevolgen kunnen hebben voor jou en de slachtoffers. Denk aan reputatieschade, identiteitsfraude en discriminatie.
  6. Zet in alle gevallen het datalek in je verplichte datalekregister.

Zijn jouw gegevens gelekt?

Ontvang je zelf een bericht over een datalek bij een ander bedrijf, bijvoorbeeld een van je leveranciers? Volg dan deze stappen:

  1. Lees het bericht van het bedrijf dat het datalek meldde goed door. Welke gegevens liggen precies op straat? Zo’n bericht ontvang je alleen bij lekken met een hoog risico.
  2. Verander meteen je wachtwoord als dat in de gelekte gegevens zit. Doe dat ook voor accounts waar je hetzelfde wachtwoord gebruikt. En gebruik sterke unieke wachtwoorden.
  3. Blokkeer creditcards die in de gelekte gegevens voorkomen.
  4. Let extra op mensen die je proberen op te lichten. De kans is namelijk groot dat cybercriminelen je gelekte gegevens misbruiken voor phishing en identiteitsfraude.
  5. Check regelmatig op haveibeenpwned.com of scatteredsecrets.com of je misschien slachtoffer bent van een datalek met een lager risico.