of 59180 LinkedIn

5500 datalekmeldingen: waar gaat het mis?

Een jaar na de invoering van de meldplicht datalekken maakte de Autoriteit Persoonsgegevens (AP) eind 2016 de balans op: ruim 5.500 meldingen in krap een jaar tijd. Een groot deel van die meldingen was te voorkomen geweest. Waar gaat het bij veel organisaties mis?

Beveiligingslek of datalek?

De meldingen die de AP in 2016 ontving, gingen in veel gevallen over verkeerd bezorgde brieven, verkeerd geadresseerde e-mails en een slechte beveiliging van klantportalen waardoor klanten elkaars gegevens konden inzien. Ook komt het vaak voor dat USB-sticks met persoonsgegevens kwijtraken of dat een laptop wordt gestolen.

In lang niet in alle gevallen stelde de AP ook echt een datalek vast. Zo is er geen sprake van een datalek als er geen persoonsgegevens in het spel zijn. Evenmin als misbruik van de gelekte persoonsgegevens is uit te sluiten. Of in juridisch potjeslatijn: u moet redelijkerwijs kunnen uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt. Kunt u dat? Dan gaat het ‘slechts’ om een beveiligingslek en is een melding niet nodig.

 

5 voorzorgsmaatregelen

Organisaties kunnen zelf het nodige doen om ‘onrechtmatige verwerking’ uit te sluiten en een gang naar de AP te voorkomen:

 

1. Inventariseer waar persoonsgegevens zich bevinden

Weet u niet of er op die verloren smartphone of laptop persoonsgegevens staan? Dan kunt u misbruik van persoonsgegevens niet uitsluiten en zit er niets anders op dan contact opnemen met de AP.

 

2. Voorkom onnodige verzameling en verwerking van persoonsgegevens

De reden om terughoudend te zijn met het verzamelen van persoonsgegevens ligt voor de hand: wat u niet heeft, kunt u ook niet ‘lekken’. Toch kiezen steeds meer bedrijven ervoor om zo groot mogelijke dataverzamelingen aan te leggen om hier analyses op los te laten. Zij lopen hiermee wel een verhoogd risico.

 

3. Maak data onleesbaar maken met behulp van encryptie

Als u data met een goede encryptie ‘codeert’, heeft bijvoorbeeld een hacker niets aan buitgemaakte persoonsgegevens. Diefstal of verlies van goed versleutelde persoonsgegevens hoeft u dan ook niet te melden. Uit een onderzoek van Vanson Bourne blijkt helaas dat minder dan de helft van de organisaties ‘verregaand’ gebruikmaakt van encryptie.

Ook bij het verzenden van gevoelige gegevens gaat het vaak mis. Zo gebruikt slechts 44 procent van de websites van de Nederlandse overheid een veilige https-verbinding.

 

4. Zorg voor een goede back-up

Bij vernietiging van persoonsgegevens kan ook sprake zijn van een datalek. Met een goede back-up voorkomt u dat persoonsgegevens bijvoorbeeld bij een brand voorgoed verloren gaan en dat u een datalek moet melden. Uit diverse onderzoeken blijkt echter dat een kwart van de organisaties helemaal geen back-ups maakt.

 

5. Voorkom misbruik met technische en organisatorische maatregelen

Dit gaat verder dan het versleutelen van de gegevens. Denk hierbij aan monitoring om diefstal van inloggegevens snel op het spoor te zijn, logmanagement om na te gaan of de hacker klantdata heeft benaderd en een streng wachtwoordbeleid om met nieuwe wachtwoorden de toegang zo snel mogelijk te blokkeren.

Veel organisaties zijn in de praktijk nog niet zover. AP-voorzitter Aleid Wolfsen sprak zelfs over ‘naïviteit ten top’. Bijvoorbeeld op laptops met medische gegevens zijn vaak helemaal geen wachtwoorden ingesteld.

 

De nieuwe Europese richtlijnen straffen naïviteit af

Kortom, er zijn meerdere manieren om te voorkomen dat een beveiligingslek ontaardt in een datalek. Helaas verzuimen organisaties op grote schaal om de noodzakelijke voorzorgsmaatregelen te nemen.

Dit kan organisaties vanaf 25 mei 2018 nog duurder komen te staan. Op die dag vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) onze nationale Wet bescherming persoonsgegevens. De maximale boete voor het niet melden van een datalek stijgt dan van 820.000 euro naar 20 miljoen euro of vier procent van de wereldwijde jaaromzet. Boetes die zelfs grote organisaties fataal kunnen zijn.

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

 

Afbeelding 

KPN Lokale Overheid

Röntgenlaan 75 2719 DX Zoetermeer

Postbus 19535, 2500 CM Den Haag

070 – 343 69 00

kpnlokaleoverheid.nl

info.lokaleoverheid@kpn.com

 

Meer nieuws

Whitepapers

Afbeelding

 

‘Alleen door kennis uit te wisselen, komen we samen verder,’ stelt José Brenninkmeijer in deze eerste uitgave van Minds, het nieuwe magazine van KPN Consulting. ‘Met mooie voorbeelden brengen we de nieuwe wereld tot leven. Laat je verrassen door slimme tools en gadgets en inspireren door bijzondere samenwerkingen.’

 

Bekijk het online magazine hier 

Is de BIG al ingeburgerd in uw informatiebeveiliging?

Afbeelding

Afbeelding

Aansluiting op digikoppeling-Generieke Berichten Platform

Lokale overheden veranderen

Afbeelding

Bloggers