Een kwijtgeraakte zakelijke telefoon of USB-stick, een gestolen laptop van de zaak of inbraak in het databestand door een hacker zijn cruciaal wanneer hier persoonsgegevens staan opgeslagen. In dat geval is namelijk volgens de Wet bescherming persoonsgegevens (Wpb) sprake van een datalek. Zelfs het versturen van een mailing met adressen in het cc-veld of het verliezen van persoonsgegevens door bijvoorbeeld een brand, is volgens de Wbp een vorm van datalekken. In hoeverre kunt u datalekken voorkomen? En hoe kunt u in uw CRM-strategie hier rekening mee houden? In deze blog krijgt u een aantal handige tips.
Zowel bewust als onbewust kunnen medewerkers een datalek veroorzaken
Bewust omgaan met persoonsgegevens
Sinds de inwerkingtreding van de meldplicht datalekken op 1 januari 2016 dienen organisaties zeer bewust om te gaan met de verwerking en het beheer van persoonsgegevens. Om het geheugen even op te frissen: de meldplicht datalekken houdt in dat organisaties bij een ernstig datalek binnen 24 uur een melding moeten doen bij de Autoriteit Persoonsgegevens. Daarbij dienen zij in sommige gevallen het datalek te melden aan de betrokkenen, oftewel de personen van wie de gegevens zijn gelekt. Dit kan natuurlijk tot enorme reputatieschade leiden voor een organisatie. Aan de andere kant kan het niet melden van een datalek leiden tot enorm hoge boetes met alle gevolgen van dien. Het beste is dus om elke vorm van datalekken te voorkomen, maar ook dat is een utopie. De kans op het ontstaan van een datalek valt namelijk nooit volledig uit te sluiten. Technisch gezien kunnen systemen wel steeds beter worden beveiligd tegen aanvallen van buitenaf. Hier is nog een duidelijke vorm van invloed op.
Het grootste gevaar blijven de handen achter te knoppen, de medewerkers binnen uw organisatie.
Onbewuste datalekkers
Vaak gaat het om onwetendheid of het niet kunnen inschatten van de gevolgen van bepaalde acties van medewerkers, bijvoorbeeld het laten slingeren van USB-stick in de trein of op kantoor met privacygevoelige persoonsgegevens.
Wat u concreet kunt doen in kader van datalekken
Hieronder een aantal tips om u enigszins op weg te helpen bij een goede aanpak in het kader van datalekken en de Wbp.
- Gebruik niet meer gegevens dan nodig.
- Zorg voor een strikt beleid met betrekking tot het verwerken van persoonsgegevens.
- Beperk de toegang tot gegevens tot een selecte groep bevoegden.
- Gebruik moderne beveiligingstechnieken. De persoonsgegevens die worden verwerkt moeten goed zijn beveiligd.
- Inventariseer waar welke gegevens worden verwerkt. De datastromen van de organisatie. Let daarbij op gevoelige gegevens die worden verwerkt.
- Zorg voor een goed ingericht incidentenbeheer (wat te doen als het mis gaat?). Stel een procedure op waaruit duidelijk blijkt wie de verantwoordelijke is en welke afdeling/functionaris betrokken moet worden indien een datalek wordt geconstateerd. Informeer daarbij de receptie, het callcenter, de servicedesk over een aanspreekpunt (Functionaris Gegevensbescherming).
- Beslis wie de datalekken gaat beoordelen en meld bij de Autoriteit Persoonsgegevens.
Technisch gezien kunnen systemen wel steeds beter worden beveiligd tegen aanvallen van buitenaf.
- Stel een procedure op over hoe de betrokkenen dienen te worden geïnformeerd ingeval van een datalek om de reputatieschade zoveel mogelijk te beperken.
- Vermeld proces en mailadres voor privacy gerelateerde zaken op de website en in relevante documentatie.
- Neem regelmatig de huidige beveiligingsmaatregelen onder de loep. Inventariseer de mogelijke risico’s van verlies van gegevens en pas waar nodig het beveiligingsbeleid aan.
- Stel een duidelijke procedure op voor het omgaan met signalen voor mogelijke datalekken.
- Inventariseer de contracten met de bewerkers en zorg dat die waar nodig worden aangepast. Controleer geregeld gemaakte afspraken met bewerkers om iedereen scherp te houden en bewustzijn te creëren.
Het beste is om elke vorm van datalekken te voorkomen, maar ook dat is een utopie. De kans op het ontstaan van een datalek valt namelijk nooit volledig uit te sluiten.
- Gebruik encryptie waardoor melding aan betrokkenen achterwege kan worden gelaten.
De Autorisatie Persoonsgegevens biedt een handleiding voor personen, organisaties, ondernemingen en overheidsinstellingen die persoonsgegevens verwerken of gaan verwerken. Dit document biedt handvatten en handige tips voor het nemen van maatregelen om aan de Wet bescherming persoonsgegevens te voldoen. Bekijk de handleiding voor verwerkers van persoonsgegevens >
Data binnen SCOPE extra beveiligd tegen lekken
Ook voor bedrijven die minder afhankelijk zijn van klantgegevens kan dataverlies of -diefstal grote gevolgen hebben, namelijk reputatieschade
Uiteraard beschikt SCOPE zelf ook over persoonsgegevens van klanten. Deze zijn sinds de inwerkintreding van de Wpb extra streng beveiligd. Voor de ASP en Hosting omgevingen van onze klanten zijn extra maatregelen getroffen door onder andere autorisaties in het netwerk en beperkte (fysieke) toegang. Alle gegevens worden daarbij encrypted (versleuteld) opgeslagen. Verder zijn er heldere protocollen opgesteld om zo correct en zo zorgvuldig mogelijk te handelen bij een eventuele datalek. Uiteraard hopen wij, net als u, dat wij hier nooit op terug hoeven te vallen en staan wij altijd scherp op signalen van datalekken.
Meer weten?
De Europese Privacy Verordening (EVP) zal naar verwachting in 2018 de Wet bescherming persoonsgegevens gaan vervangen. Deze EVP zal een rechtstreekse werking hebben in alle lidstaten van de EU en richt zich ook op de bewerkers van persoonsgegevens, in plaats van alleen de verantwoordelijke.