Zo voorkom je een datalek

Een telecomprovider, een vliegmaatschappij, een marktonderzoeksbureau: allemaal hadden ze begin 2023 een datalek. Wat doe je als je bedrijf klantgegevens heeft gelekt? En hoe voorkom je zo’n datalek?

Wat is een datalek?

Bij een datalek vallen persoonsgegevensin handen van mensen die geen toegang tot die gegevens mogen hebben. Denk aan naam, adres en telefoonnummer. Een datalek ontstaat door een beveiligingsprobleem of doordat iemand onzorgvuldig handelt. Bijvoorbeeld een medewerker die een USB-stick met klantgegevens in de trein laat liggen. Of persoonsgegevens die onbeveiligd op een computerserver staan.

Gevaren

Bij een datalek loop je mogelijk zelf reputatieschade op. Niemand vertelt graag aan klanten of leveranciers dat hun persoonsgegevens op straat liggen. De gevolgen zijn mogelijk ook ernstig voor de slachtoffers. Criminelen misbruiken hun gelekte persoonsgegevens bijvoorbeeld voor phishing en identiteitsfraude.

Een datalek komt vaak voor, zowel bij grote als kleine bedrijven. Ernstige datalekken moet je binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP), anders krijg je mogelijk een boete.

Ernst van datalekken neemt toe

In 2022 kreeg de Autoriteit Persoonsgegevens (AP) ruim 21.000 meldingen van een datalek. Een daling ten opzichte van 2021 toen het er bijna 25.000 waren. De AP ziet wel dat de ernst van de datalekken toeneemt. Bij ernstige datalekken zijn de risico’s en de gevolgen groot. Criminelen kunnen bijvoorbeeld misbruik maken van medische gegevens en daarmee valse verzekeringsclaims indienen.

Ontdek het lek

Er is al snel sprake van een datalek. Een foutje is zo gemaakt. Het overkomt zeker niet alleen grote bedrijven. Stel, je verliest je laptop of je mailt per ongeluk gevoelige informatie aan de verkeerde persoon. Dan heb je al een datalek.

Een datalek door een beveiligingsprobleem ontdek je vaak pas bij het uitvoeren van controles. Je lekt dan mogelijk al heel lang data. Let daarom op de volgende zaken:

  • Controleer regelmatig de logboeken van je IT-systemen. Zijn gegevens onverwacht gewijzigd of verdwenen? Zijn er verdachte inlogpogingen op accounts? Met een logboek weet je wie op welk moment in je netwerk is. En wat ze daar doen. Er is software te koop waarmee je een logboek kunt instaleren.
  • Wees alert op klanten, leveranciers en andere zakenrelaties die klagen over phishing of andere pogingen tot oplichting.
  • Check meldingen van je antivirussoftware of firewall. Is er verdacht netwerkverkeer? Is er verdachte software actief?

Vertrouw je het niet? Schakel je IT-beheerder in of vraag een cybersecurityspecialist om advies.

AVG: privacy en persoonsgegevens

Bescherm persoonsgegevens

Met een paar maatregelen voorkom je dat je eigen persoonsgegevens en die van je klanten in verkeerde handen vallen. Neem bijvoorbeeld de volgende acties:

  • Bespreek regelmatig met medewerkers de verwerking van persoonsgegevens in je bedrijf. Verstuur en bewaar gegevens op een veilige manier.
  • Zorg dat je alles weet van de privacywetgeving: de Algemene verordening gegevensbescherming (AVG).
  • Geef niet zomaar wachtwoorden, klantgegevens en toegang tot je systemen aan anderen, zoals zelfstandigen die je inhuurt of leveranciers.
  • Verwerkt een andere partij persoonsgegevens voor je bedrijf? Zorg dan voor een verwerkersovereenkomst. Andersom: check als zzp’er bij elke nieuwe opdracht of je met persoonsgegevens van je opdrachtgever werkt. Ook dan is een verwerkersovereenkomst nodig.
  • Vertel klanten welke gegevens je van hen verzamelt en met welk doel. Meld daarbij ook hoe ze zich uitschrijven of de gegevensverzameling stopzetten.
  • Investeer in goede beveiliging van al je IT-systemen. Gebruik bijvoorbeeld sterke wachtwoorden en tweefactorauthenticatie. Bespreek je beveiliging ook regelmatig met een cybersecurityexpert.

Stappenplan bij datalek

Neem de volgende stappen als je een datalek hebt:

  1. Check of het om persoonsgegevens gaat. Persoonsgegevens zijn herleidbaar tot een persoon. Denk aan naam, adres, woonplaats, maar ook telefoonnummers en e-mailadressen.
  2. Stop het datalek als het nog bestaat. Denk aan het op afstand wissen van een verloren smartphone. Is reparatie van het datalek ingewikkeld? Schakel dan een cybersecurityexpert of een digitaal forensisch expert in.
  3. Maak een inschatting van het risico van het datalek. Hoe gevoeliger de persoonsgegevens, hoe hoger het risico. Check de lijst met voorbeelden van de Autoriteit Persoonsgegevens (AP).
  4. Meld het datalek verplicht binnen 72 uur bij de AP. Dit geldt voor datalekken die leiden tot risico voor de rechten en vrijheden van de slachtoffers. Meld je het niet? Dan legt de AP je mogelijk een boete op.
  5. Meld het datalek aan de slachtoffers van wie je gegevens hebt gelekt. Dit geldt voor datalekken die grote gevolgen kunnen hebben voor jou en de slachtstoffers. Denk aan reputatieschade, identiteitsfraude en discriminatie.
  6. Registreer in alle gevallen het datalek in je verplichte datalekregister.

Zijn jouw gegevens gelekt?

Ontvang je zelf wel eens een bericht over een datalek bij een ander bedrijf, bijvoorbeeld een toeleverancier? Doorloop dan de volgende stappen:

  1. Lees het bericht van het bedrijf dat het datalek meldde zorgvuldig. Welke gegevens liggen precies op straat? Zo’n bericht ontvang je alleen bij lekken met een hoog risico.
  2. Wijzig meteen je wachtwoord als dat in de gelekte gegevens zit. Doe dat ook voor accounts waar je hetzelfde wachtwoord gebruikt.
  3. Blokkeer creditcards die in de gelekte gegevens voorkomen.
  4. Wees extra alert op pogingen tot oplichting. Grote kans dat cybercriminelen je gelekte gegevens gebruiken voor phishing en identiteitsfraude.
  5. Check regelmatig op haveibeenpwned.com of scatteredsecrets.comof je mogelijk slachtoffer bent van een datalek met een lager risico.