Nieuwsbrief ›
Zoeken ›
Nieuws
20 april 2017
 

5500 datalekmeldingen: waar gaat het mis?

 
 

Een jaar na de invoering van de meldplicht datalekken maakte de Autoriteit Persoonsgegevens (AP) eind 2016 de balans op: ruim 5.500 meldingen in krap een jaar tijd. Een groot deel van die meldingen was te voorkomen geweest.

Waar gaat het bij veel organisaties mis? Erik Ploegmakers, Managing Director van KPN Security Services praat u bij over datalekken en de voorzorgsmaatregelen die u kunt nemen om deze te voorkomen.

Beveiligingslek of datalek?
"De meldingen die de Autoriteit Persoonsgegevens te in 2016 ontving, gingen in veel gevallen over verkeerd bezorgde brieven, verkeerd geadresseerde e-mails en een slechte beveiliging van klantportalen waardoor klanten elkaars gegevens konden inzien,"zegt Ploegmakers. Ook komt het vaak voor dat USB-sticks met persoonsgegevens kwijtraken of dat een laptop wordt gestolen.
In lang niet in alle gevallen stelde de Autoriteit Persoonsgegevens te ook echt een datalek vast. Zo is er geen sprake van een datalek als er geen persoonsgegevens in het spel zijn. Evenmin als misbruik van de gelekte persoonsgegevens is uit te sluiten. Of in juridisch potjeslatijn: u moet redelijkerwijs kunnen uitsluiten dat persoonsgegevens onrechtmatig zijn verwerkt. Kunt u dat? Dan gaat het ‘slechts’ om een beveiligingslek en is een melding niet nodig.

Vijf voorzorgsmaatregelen
Volgens Ploegmakers kunnen organisaties zelf het nodige doen om ‘onrechtmatige verwerking’ uit te sluiten en een gang naar de Autoriteit Persoonsgegevens te voorkomen:

1. Inventariseer waar persoonsgegevens zich bevinden
Weet u niet of er op die verloren smartphone of laptop persoonsgegevens staan? Dan kunt u misbruik van persoonsgegevens niet uitsluiten en zit er niets anders op dan contact opnemen met de Autoriteit Persoonsgegevens te.
 
2. Voorkom onnodige verzameling en verwerking van persoonsgegevens
De reden om terughoudend te zijn met het verzamelen van persoonsgegevens ligt voor de hand: wat u niet heeft, kunt u ook niet ‘lekken’. Toch kiezen steeds meer bedrijven ervoor om zo groot mogelijke dataverzamelingen aan te leggen om hier analyses op los te laten. Zij lopen hiermee wel een verhoogd risico.
 
3. Maak data onleesbaar maken met behulp van encryptie
Als u data met een goede encryptie ‘codeert’, heeft bijvoorbeeld een hacker niets aan buitgemaakte persoonsgegevens. Diefstal of verlies van goed versleutelde persoonsgegevens hoeft u dan ook niet te melden. Uit een onderzoek van Vanson Bourne blijkt helaas dat minder dan de helft van de organisaties ‘verregaand’ gebruikmaakt van encryptie.
Ook bij het verzenden van gevoelige gegevens gaat het vaak mis. Zo gebruikt slechts 44 procent van de websites van de Nederlandse overheid een veilige https-verbinding.
 
4. Zorg voor een goede back-up
Bij vernietiging van persoonsgegevens kan ook sprake zijn van een datalek. Met een goede back-up voorkomt u dat persoonsgegevens bijvoorbeeld bij een brand voorgoed verloren gaan en dat u een datalek moet melden. Uit diverse onderzoeken blijkt echter dat een kwart van de organisaties helemaal geen back-ups maakt.
 
5. Voorkom misbruik met technische en organisatorische maatregelen
Dit gaat verder dan het versleutelen van de gegevens. Denk hierbij aan monitoring om diefstal van inloggegevens snel op het spoor te zijn, logmanagement om na te gaan of de hacker klantdata heeft benaderd en een streng wachtwoordbeleid om met nieuwe wachtwoorden de toegang zo snel mogelijk te blokkeren.

Naïviteit ten top 
Veel organisaties zijn in de praktijk nog niet zover. Autoriteit Persoonsgegevens te -voorzitter Aleid Wolfsen sprak zelfs over ‘naïviteit ten top’. Bijvoorbeeld op laptops met medische gegevens zijn vaak helemaal geen wachtwoorden ingesteld.

De nieuwe Europese richtlijnen straffen naïviteit af
Kortom, er zijn meerdere manieren om te voorkomen dat een beveiligingslek ontaardt in een datalek. Helaas verzuimen organisaties op grote schaal om de noodzakelijke voorzorgsmaatregelen te nemen.
Dit kan organisaties vanaf 25 mei 2018 nog duurder komen te staan. Op die dag vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) onze nationale Wet bescherming persoonsgegevens. De maximale boete voor het niet melden van een datalek stijgt dan van 820.000 euro naar twintig miljoen euro of vier procent van de wereldwijde jaaromzet. Boetes die zelfs grote organisaties fataal kunnen zijn.
 

 
Doorsturen »  Reageer »  Nieuwsbrief »  

 

Gerelateerde nieuwsitems

 
 
Reacties
 
Er zijn nog geen reacties.

Reageren

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de
code te wijzigen.
ADVERTORIAL
Loopt het contract van een van u zwangere medewerkers binnenkort af maar wilt u haar het liefst in dienst houden? Bespreek samen jullie plannen om een goede samenwerking te behouden voor na de zwangerschap.
Data Recovery Nederland haalt voor klant 115 bitcoins terug
Meer dan 100 checklists
Word Brisk-abonnee en krijg gratis toegang tot meer dan 100 checklists voor ondernemers
Managersonline.nl
Het internetmagazine voor directeuren en managers
BOEKENNIEUWS
Maandagmorgen staat alles op z’n kop! is een no-nonsense managementboek dat je helpt concrete stappen te zetten om je marktkracht te vergroten. Een verademing na al die hypes over Agile, Scrum en Holacracy. Een down-to-earth boek waarmee je als ondernemer bereikt wat je wilt bereiken. Want het is niet zo moeilijk als de goeroes je willen laten geloven: ‘Het geheim zit in jouw besluit om maandagmorgen direct aan de slag te gaan’.
Lees verderMeer boeken
BRISK-INDEX
Stijgers Dalers
Doc data 1.78  87.4 %
Altice 10.44  10.5 %
Value8 5.44  5 %
TNT express 8.45  -9.5 %
Groothandels 49.3  -3.3 %
Brill kon 34.6  -1.7 %
Meer beurs