Kunnen we datalekken voorkomen?

Niemand komt graag negatief in het nieuws. Organisaties ook niet. Toch berichten de media regelmatig over datalekken.

Ziekenhuizen bijvoorbeeld rapporteren gemiddeld één datalek per dag. Overheden (waaronder gemeenten, ministeries, politie) halen ook regelmatig de pers. Niet fraai. Als organisatie wil je niet je naam negatief in het nieuws. En toch gebeurt het. Wij denken echter dat – tot op zekere hoogte – een flink aantal van de datalekken voorkomen had kunnen worden. Helemaal voorkomen zal waarschijnlijk nooit lukken. Cybercriminelen zijn de ontwikkelingen nog steeds een stapje voor en maken gebruik van de zwakke plekken in onze organisatie, werkprocessen of – helaas vooral ook – medewerkers. 

Wat is een datalek?
We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens, zonder dat die persoon dat wil. Deze persoonsgegevens zijn bijvoorbeeld buitgemaakt bij een hack van de website of inbraak in een computersysteem, verloren bij diefstal van een laptop of een USB-stick. Bijna iedere organisatie werkt met persoonsgegevens (gemeenten, zorginstellingen maar ook online dienstverleners als banken, verzekeraars en webwinkels).

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek constateren. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Het niet melden van een datalek kan leiden tot een (bestuurlijke) boete die kan oplopen tot €820.000,-.

Hoe te voorkomen?
Een datalek is helaas niet altijd te voorkomen. Toch kunnen we heel veel maatregelen bedenken en doorvoeren om de kans op een datalek aanzienlijk te verkleinen. Deze maatregelen richten zich op:

• Regelmatige opleiding en instructies aan medewerkers (bijvoorbeeld tijdig passwords vernieuwen, geen phisingmail openen, geen passwords centraal opslaan) 
• Geen verouderde software of besturingssystemen gebruiken, altijd zorgen dat de ICT-omgeving up-to-date is (met verouderde software verhoog je de kans op inbraken) 
• Leveranciers geen onbeperkte toegang geven tot uw systemen (als u gaat inventariseren hoe veel het er zijn dan schrikt u) 
• Goede processen en procedures in huis om snel te kunnen schakelen mocht zich een datalek voordoen (deze processen en procedures ook regelmatig oefenen met betrokkenen) bijvoorbeeld snel terug kunnen zetten van back-ups mochten de originele bestanden verloren zijn gegaan 
• Opzetten en bijhouden van een ICT- en Business Continuïty Plan (BCP), bij vele organisaties niet aanwezig maar het kan – helaas – voorkomen dat de organisatie enige tijd ‘uit de lucht is’ en dan moet er een plan-B zijn 
• Het opstellen en onderhouden van een adequaat informatiebeveiligingsbeleid 
• Het aanstellen (of inrichten van ‘rollen’) van medewerkers die zich op strategisch, tactisch en operationeel niveau met security, persoonsbeveiliging en het opstellen en uitdragen van richtlijnen bezig houden en het onderwerp continu onder de aandacht blijven houden)

Dit zijn voorbeelden waar u aan moet werken om datalekken zoveel mogelijk te voorkomen. De maatregelen slaan op uw organisatie, uw medewerkers en uw processen. U zult een samenhangende set maatregelen op moeten stellen.
Gemeenten hebben hierbij de BIG (Baseline Informatiebeveiliging Gemeenten) als leidraad met zo’n 130  controls en daaronder meer dan 300 maatregelen om de informatiebeveiliging op orde te krijgen en persoonsgegevens veilig te verwerken. In algemene zin geldt de ISO 2700x norm als vertrekpunt voor de inrichting van uw informatiebeveiliging (x loopt van 0 tot en met 6).


Complicerende factoren hierbij zijn dat steeds meer data extern opgeslagen wordt (in de Cloud) en u met uw leveranciers hierover sluitende afspraken moet maken (de zogenaamde Bewerkersovereenkomst). Daarnaast werken we (gelukkig toch wel) met mensen. En mensen maken wel eens fouten, hebben hun dag niet of missen simpelweg de kennis. Zaken die moeilijk te managen zijn wellicht maar ook hier zullen uw processen en procedures in moeten voorzien. Nogmaals, helemaal voorkomen kunt u het niet, maar uw uiterste best doen om het maximale te bereiken, dat kunt u waarschijnlijk wel. Want op imagoschade en zelfs een boete voor uw directeur/bestuurder, daar zit niemand op te wachten.

Voor onze opdrachtgevers initiëren wij dergelijke programma’s, sturen deze aan en adviseren over de inrichting van de organisatie. Hierdoor worden organisaties en de medewerkers zich beter bewust van de risico’s en kunnen passende maatregelen genomen worden. Wilt u over dit onderwerp meer informatie of een keer vrijblijvend van gedachten wisselen, dan kunt u contact opnemen met Johan Timmermans (johan.timmermans@backfieldgroup.com) of Cor de Jong (cor.dejong@backfieldgroup.com).


Alle rechten voorbehouden Backfield Group BV © Copyright 2017 | Algemene voorwaarden