Geen wondermiddel tegen datalekken, wel deze tips

Het aantal meldingen van datalekken in Nederland stijgt. Dat is niet zo gek: Nederland is in hoge mate gedigitaliseerd en daardoor is het risico op datalekken relatief hoog. Wat kun je doen om een datalek te voorkomen?

Volgens de Datalekkenrapportage 2021 van de Autoriteit Persoonsgegevens (AP) ontving de privacywaakhond vorig jaar 24.866 datalekmeldingen. Dat is een stijging van 4% ten opzichte van 2020 (23.976 meldingen). Opvallend is dat het aandeel datalekken als gevolg van cybercrime (hacking, malware of phishing) opnieuw fors toeneemt.

Datalekken als gevolg van digitale aanvallen omvatten nu zo’n 9% van het totale aantal meldingen, tegenover 5% vorig jaar. Volgens de Datalekkenrapportage kreeg de AP vorig jaar 88% meer van deze meldingen binnen dan in 2020.

Het risico op datalekken is al langer onder de aandacht bij overheden. Niet voor niets voerde de Nederlandse overheid in 2016 de Meldplicht Datalekken in en ook op Europees niveau is nieuwe wetgeving ontwikkeld. Data Leakage Prevention (DLP), het voorkomen van datalekken, is dan ook belangrijker dan ooit. Dat vraagt om extra aandacht voor goed ingerichte cybersecurity en adequate bescherming van persoonsgegevens.

Wat is een datalek?

Een datalek is een inbreuk op de beveiliging, waarbij gegevens bij een ongeautoriseerde partij terechtkomen of onbedoeld verloren gaan of gewijzigd worden. De wet- en regelgeving rond de bescherming van persoonsgegevens beschrijft een datalek specifiek als een inbreuk op de beveiliging, waarbij persoonsgegevens betrokken zijn.

Soorten lekken

Datalekken zijn er in allerlei soorten en maten. Sommige zitten in de techniek, terwijl andere fysiek van aard zijn. Daarnaast kunnen lekken zowel per ongeluk als bewust ontstaan:
 

• Fysiek en bewust
  Bedrijfsspionage, gegevens stelen, medewerkers gaan uit dienst en nemen documenten mee, het lekken van de miljoenennota
• Fysiek maar onbewust
  Vertrouwelijke papieren laten slingeren, op een feestje vertellen over ongepubliceerde jaarcijfers, telefoontjes in de trein over gevoelige informatie, onbedoeld een bestand verwijderen
• Technisch maar onbewust
  Covert channels, onbedoeld gegevens delen met derde organisaties
• Technisch en bewust
  Hacken, SQL-injecties, spyware

Waarom is DLP belangrijk?

• Verantwoordelijkheid naar klanten en medewerkers
• Voldoen aan Europese en nationale wetgeving
• De eigen bedrijfsvoering beschermen
• Imagoschade voorkomen

Meldplicht

Per 1 januari 2016 werd de Meldplicht Datalekken van kracht, als onderdeel van de toenmalige Wet bescherming persoonsgegevens (Wbp). De Wbp werd in mei 2018 werd vervangen door de Algemene verordening gegevensbescherming (AVG). Organisaties moeten voortaan in bepaalde gevallen een melding doen bij de Autoriteit Persoonsgegevens wanneer sprake is van een datalek waarbij persoonsgegevens betrokken zijn.

Wat je kunt doen om een datalek te voorkomen

Er is geen wondermiddel dat data leakage helemaal helpt voorkomen. Wel zijn er – vaak complexe – tools die het digitale dataverkeer monitoren en op basis van de classificatie bepaalde handelingen wel of niet toestaan of een signaal geven wanneer er data dreigt te lekken.

Dit zijn echter geen totaaloplossingen. Benader DLP daarom als een onderdeel van je integrale informatiebeveiligingsbeleid. Dataclassificatie en risicoanalyse maken duidelijk wat voor jouw data de eisen zijn op gebied van vertrouwelijkheid, integriteit en beschikbaarheid. Daarna kun je maatregelen nemen op drie vlakken: mens, techniek en proces.

• Mensgerichte maatregelen
  Bewustzijn over informatiebeveiliging verhogen, alertheid bij medewerkers, duidelijkheid over wat wel en niet mag
• Technische maatregelen
  Van firewalls en antivirussoftware tot het voorkomen dat data worden gekopieerd en het blokkeren van usb-poorten, monitoring met DLP-oplossingen
• Procesgerichte maatregelen
  Dataclassificatie, risicoanalyse, backup-procedure, incidentmanagement, meldingsprocedure

DATALEK-WEETJES

Een datalek is:

“Onbedoelde toegang tot of vernietiging, wijziging of vrijkomen van gegevens”

20 miljoen euro

De maximale boete die de Autoriteit Persoonsgegevens kan opleggen bij overtreding van de meldplicht datalekken bedraagt 20 miljoen euro of 4% van de wereldwijde jaaromzet.

24.866

Zoveel datalekmeldingen ontving de AP in 2021

Fysiek vs. Techniek

• Fysieke lekken komen vaker voor.
• Technische lekken krijgen meer aandacht.
• Fysieke lekken komen vaker uit de eigen organisatie, technische lekken van buitenaf.