Een kwijtgeraakte zakelijke telefoon of USB-stick, een gestolen laptop van de zaak of inbraak in het databestand door een hacker zijn cruciaal wanneer hier persoonsgegevens staan opgeslagen. In dat geval is namelijk volgens de Wet bescherming persoonsgegevens (Wpb) sprake van een datalek. Zelfs het versturen van een mailing met adressen in het cc-veld of het verliezen van persoonsgegevens door bijvoorbeeld een brand, is volgens de Wbp een vorm van datalekken. In hoeverre kunt u datalekken voorkomen? En hoe kunt u in uw CRM-strategie hier rekening mee houden? In deze blog krijgt u een aantal handige tips.

Zowel bewust als onbewust kunnen medewerkers een datalek veroorzaken

Bewust omgaan met persoonsgegevens

Sinds de inwerkingtreding van de meldplicht datalekken op 1 januari 2016 dienen organisaties zeer bewust om te gaan met de verwerking en het beheer van persoonsgegevens. Om het geheugen even op te frissen: de meldplicht datalekken houdt in dat organisaties bij een ernstig datalek binnen 24 uur een melding moeten doen bij de Autoriteit Persoonsgegevens. Daarbij dienen zij in sommige gevallen het datalek te melden aan de betrokkenen, oftewel de personen van wie de gegevens zijn gelekt. Dit kan natuurlijk tot enorme reputatieschade leiden voor een organisatie. Aan de andere kant kan het niet melden van een datalek leiden tot enorm hoge boetes met alle gevolgen van dien. Het beste is dus om elke vorm van datalekken te voorkomen, maar ook dat is een utopie. De kans op het ontstaan van een datalek valt namelijk nooit volledig uit te sluiten. Technisch gezien kunnen systemen wel steeds beter worden beveiligd tegen aanvallen van buitenaf. Hier is nog een duidelijke vorm van invloed op.

Het grootste gevaar blijven de handen achter te knoppen, de medewerkers binnen uw organisatie.

Onbewuste datalekkers

Zowel bewust als onbewust kunnen medewerkers een datalek veroorzaken. Het is daarom enorm belangrijk om toegangsrollen toe te kennen, strikte procedures en autorisaties toe te passen. Ook de noodzaak van het creëren van bewustwording onder alle medewerkers moet niet worden onderschat. Vaak gaat het om onwetendheid of het niet kunnen inschatten van de gevolgen van bepaalde acties van medewerkers, bijvoorbeeld het laten slingeren van USB-stick in de trein of op kantoor met privacygevoelige persoonsgegevens. Deze vorm van data had in de eerste plaats al niet beschikbaar moeten worden gemaakt op een USB-stick (toegang en procedure). De medewerker dient op zijn of haar beurt op de hoogte te zijn van de mogelijke gevolgen van deze actie (bewustwording). Ook trends als ‘het nieuwe werken’ en ‘BYOD’ (Bring Your Own Device) vergroten de kans op onbewust datalekken en maken het treffen van voorzorgmaatregelen een nog grotere noodzaak.

Vaak gaat het om onwetendheid of het niet kunnen inschatten van de gevolgen van bepaalde acties van medewerkers, bijvoorbeeld het laten slingeren van USB-stick in de trein of op kantoor met privacygevoelige persoonsgegevens.

 

Wat u concreet kunt doen in kader van datalekken

Hieronder een aantal tips om u enigszins op weg te helpen bij een goede aanpak in het kader van datalekken en de Wbp.

  • Gebruik niet meer gegevens dan nodig.
  • Zorg voor een strikt beleid met betrekking tot het verwerken van persoonsgegevens.
  •  Beperk de toegang tot gegevens tot een selecte groep bevoegden.
  • Gebruik moderne beveiligingstechnieken. De persoonsgegevens die worden verwerkt moeten goed zijn beveiligd.
  • Inventariseer waar welke gegevens worden verwerkt. De datastromen van de organisatie. Let daarbij op gevoelige gegevens die worden verwerkt.
  • Zorg voor een goed ingericht incidentenbeheer (wat te doen als het mis gaat?). Stel een procedure op waaruit duidelijk blijkt wie de verantwoordelijke is en welke afdeling/functionaris betrokken moet worden indien een datalek wordt geconstateerd. Informeer daarbij de receptie, het callcenter, de servicedesk over een aanspreekpunt (Functionaris Gegevensbescherming).
  • Beslis wie de datalekken gaat beoordelen en meld bij de Autoriteit Persoonsgegevens.

Technisch gezien kunnen systemen wel steeds beter worden beveiligd tegen aanvallen van buitenaf.

  • Stel een procedure op over hoe de betrokkenen dienen te worden geïnformeerd ingeval van een datalek om de reputatieschade zoveel mogelijk te beperken.
  • Vermeld proces en mailadres voor privacy gerelateerde zaken op de website en in relevante documentatie.
  • Neem regelmatig de huidige beveiligingsmaatregelen onder de loep. Inventariseer de mogelijke risico’s van verlies van gegevens en pas waar nodig het beveiligingsbeleid aan.
  • Stel een duidelijke procedure op voor het omgaan met signalen voor mogelijke datalekken.
  • Inventariseer de contracten met de bewerkers en zorg dat die waar nodig worden aangepast. Controleer geregeld gemaakte afspraken met bewerkers om iedereen scherp te houden en bewustzijn te creëren.

Het beste is om elke vorm van datalekken te voorkomen, maar ook dat is een utopie. De kans op het ontstaan van een datalek valt namelijk nooit volledig uit te sluiten.

  • Gebruik encryptie waardoor melding aan betrokkenen achterwege kan worden gelaten.
    De Autorisatie Persoonsgegevens biedt een handleiding voor personen, organisaties, ondernemingen en overheidsinstellingen die persoonsgegevens verwerken of gaan verwerken. Dit document biedt handvatten en handige tips voor het nemen van maatregelen om aan de Wet bescherming persoonsgegevens te voldoen. Bekijk de handleiding voor verwerkers van persoonsgegevens >

 

Data binnen SCOPE extra beveiligd tegen lekken

Ook binnen uw CRM-strategie heeft u te maken met de Wpb en dient u zorgvuldig om te gaan met de verwerking van persoonsgegevens in uw CRM-systeem. Met de ontwikkeling van het CRM-systeem SCOPE 4 hebben wij hier dan ook uitgebreid aandacht aan besteed. Zo is het systeem beter beveiligd tegen hacken en kunnen rechten en verantwoordelijkheden worden toegekend aan bepaalde functionarissen. Ook voeren wij geregeld pentesten uit in SCOPE 4 om eventuele nieuwe kwetsbaarheden in het systeem op te sporen.

Ook voor bedrijven die minder afhankelijk zijn van klantgegevens kan dataverlies of -diefstal grote gevolgen hebben, namelijk reputatieschade

Uiteraard beschikt SCOPE zelf ook over persoonsgegevens van klanten. Deze zijn sinds de inwerkintreding van de Wpb extra streng beveiligd. Voor de ASP en Hosting omgevingen van onze klanten zijn extra maatregelen getroffen door onder andere autorisaties in het netwerk en beperkte (fysieke) toegang. Alle gegevens worden daarbij encrypted (versleuteld) opgeslagen. Verder zijn er heldere protocollen opgesteld om zo correct en zo zorgvuldig mogelijk te handelen bij een eventuele datalek. Uiteraard hopen wij, net als u, dat wij hier nooit op terug hoeven te vallen en staan wij altijd scherp op signalen van datalekken.

Meer weten?

Meer weten over de beveiligingsmaatregelen van SCOPE en de voordelen van SCOPE CRM? Lees hier meer over SCOPE CRM Basis of neem contact op met Sales Manager Bas van der Veer via 06-1140 0519 of stuur een e-mail naar b.vanderveer@scope.nl. Samen met u bespreken wij graag de CRM-mogelijkheden binnen uw organisatie.

De Europese Privacy Verordening (EVP) zal naar verwachting in 2018 de Wet bescherming persoonsgegevens gaan vervangen. Deze EVP zal een rechtstreekse werking hebben in alle lidstaten van de EU en richt zich ook op de bewerkers van persoonsgegevens, in plaats van alleen de verantwoordelijke.