Hoe voorkom je een datalek?

Door in je systemen in te breken, bemachtigen criminelen persoonsgegevens en hebben ze iets in handen om mensen op te lichten. Ze vinden e-mailadressen voor phishingmails of woonadressen om post naartoe te sturen. Maar ze kunnen ook bankgegevens van je klanten inzien of te weten komen wanneer er niemand thuis is. Datalekken komen veel voor, vaker misschien dan je denkt. De Autoriteit Persoonsgegevens (AP) kreeg vorig jaar 21.151 meldingen van datalekken binnen. Iedereen in Nederland loopt dus eigenlijk het risico dat zijn gegevens gestolen worden.

AVG stelt eisen

Omdat jouw klanten een risico lopen, zijn er strenge regels om de kans op datalekken te verkleinen en de gevolgen in te perken. Of je nu een grote corporate bent, een mkb’er of zzp’er met een webwinkel, álle bedrijven die persoonsgegevens verwerken, moeten zich houden aan de Algemene Verordening Gegevensbescherming (AVG). Volgens die wet moet je kunnen verantwoorden welke gegevens je verzamelt, met welk doel, hoe je ze bewaart en hoe je ze beveiligt. De klanten van wie jij gegevens verzamelt, moeten daarvan op de hoogte zijn. En als ze dat willen, moeten ze zich kunnen uitschrijven of de verzameling stopzetten.

Zakelijke partners

Een datalek van jouw bedrijf kan ook gevolgen hebben voor je medewerkers. Denk maar eens aan de salarisadministratie die strikt vertrouwelijke gegevens bevat van je personeel. Ook hebben hackers bij een inbraak toegang tot de gegevens van zakelijke partners zoals leveranciers of bedrijven waar je mee samenwerkt. Ze hebben dan een mooie ingang om de systemen van die andere bedrijven binnen te komen. Niet alleen is dat bedrijf dan de dupe, jouw bedrijf loopt ook nog eens flinke reputatieschade op.

Datalekken voorkomen

Je kunt er veel aan doen om datalekken te voorkomen. Dat begint met het probleem serieus te nemen en steevast onder de aandacht te brengen van iedereen binnen je bedrijf. Verder kun je maatregelen treffen. Denk aan:

1. Keuzes maken

De AVG bepaalt dat je niet meer persoonsgegevens mag verwerken dan wat noodzakelijk is voor het doel. Bedenk daarom goed welke persoonsgegevens je moet of wilt verzamelen. Je hoeft niet alles te weten van een klant om hem goed van dienst te kunnen zijn. Hoe minder gegevens je bewaart, hoe kleiner een datalek. Gegevens die je niet meer nodig hebt, verwijder je natuurlijk op tijd. En je weet niet alleen welke data je opslaat, maar ook hoe die gelekt zouden kunnen worden.

2. Beveiliging, beveiliging, beveiliging

Als je ICT-beveiliging niet op orde is, kan een hacker je systemen binnendringen om gevoelige gegevens te stelen. Bedenk dat ook bedrijven waar je zaken mee doet fouten kunnen maken met hun ICT-beveiliging. Via hun systemen kunnen hackers dan jouw gegevens stelen en vervolgens weer jouw computers binnendringen. Voorkom een aanval en investeer in een goede beveiliging van de laptops, computers, telefoons en mobiele apparaten die in je bedrijf gebruikt worden. Schakel daarvoor eventueel een expert in.

3. Regels voor medewerkers

Ook jouw medewerkers kunnen een datalek veroorzaken. Bijvoorbeeld omdat ze onvoorzichtig omspringen met persoonsgegevens, maar ook omdat ze online niet veilig werken. Stel daarom regels op voor IT-gebruik. Gebruik bijvoorbeeld sterke wachtwoorden of tweefactorauthenticatie. Leg ook vast wie toegang heeft tot bepaalde wachtwoorden en persoonsgegevens. En zet het onderwerp cyberveiligheid regelmatig op de agenda om iedereen bij de les te houden.

4. Laat derden niet bij persoonsgegevens

Een leverancier of een zzp’er die je inhuurt, geef je niet zomaar toegang tot je systemen. Gaat een derde partij voor jouw bedrijf persoonsgegevens verwerken? Zorg dan voor een verwerkersovereenkomst. Daarin zijn de verantwoordelijkheden bij de verwerking van persoonsgegevens geregeld. Besef dat er al gauw sprake is van 'verwerken' van persoonsgegevens. Als een externe helpdesk de gegevens inziet, is er al sprake van een verwerking.

Toch een datalek?

Ontstaat er bij jouw bedrijf een datalek? Dan moet je dat binnen 72 uur na ontdekking melden aan de Autoriteit Persoonsgegevens (AP). Als het datalek ernstige gevolgen kan hebben voor iemands persoonlijke levenssfeer, moet je die persoon ook op de hoogte stellen. De AP kan je een boete opleggen als jij naar hun oordeel te weinig maatregelen hebt genomen. En als jouw bedrijf in strijd met de AVG heeft gehandeld en iemand lijdt daardoor schade, kun je daarvoor aansprakelijk gesteld worden. Dan draai je op voor een schadevergoeding. Stel je voor dat heel veel mensen samen een claim indienen. Dat is niet ondenkbaar want bij een datalek kunnen veel mensen tegelijkertijd getroffen worden.

Cybercriminaliteit is voor bedrijven een risico met enorm veel impact. Het is daarom echt belangrijk om er aandacht aan te besteden. Bespreek met je Univé-adviseur wat je risico’s zijn, wat je aan preventie kunt doen en welke verzekeringen relevant zijn om de gevolgen te beperken.

Cyberhelpdesk

Als klant van Univé kun je gratis gebruik maken van Univé Cyberhulp. Onze cyberhelpdeskmedewerkers staan namelijk 24/7 voor je klaar. Twijfel je over bijvoorbeeld de echtheid van een e-mail of krijg je te maken met een cyberincident? Bel dan direct met 0592 74 22 22. Wil je leren hoe je een cyberincident kunt voorkomen? Neem dan deel aan Cyber Fit Service. Dit is een online training die wij 1 jaar gratis aanbieden aan onze zakelijke klanten. Het programma stopt automatisch.