Actueel

14 juni 2017

Meldplicht datalekken: 5 voorbeelden

In januari 2016 heeft de Autoriteit Persoonsgegevens (AP) een meldplicht voor datalekken ingevoerd. Een wettelijke verplichting die bepaalt dat bedrijven en overheden onverwijld melding moeten maken van een ernstig datalek. Maar over welke incidenten hebben we het dan? En hoe werkt zo’n melding?

Datalekken

Een datalek wordt door de AP gedefinieerd als toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling was. Het is daarmee niet beperkt tot het naar buiten komen van informatie – een concrete lek –, maar ondervangt ook de onrechtmatige verwerking van gegevens, waarbij bescherming van deze data niet conform de wetgeving is.

Ter info: een AP factsheet met meldingsstatistieken over 2016

Organisaties kunnen zich voor de melding van een lek wenden tot het Meldloket. Daar vind je ook de beleidsregels – het hoe en wanneer van een melding – en informatie over hoe de AP met de gegevens omgaat. Maar om een lek aan te kunnen geven, moeten medewerkers ook intern weten wanneer en hoe ze dat moeten melden. In geval van een incident is het dus cruciaal dat er in eerste instantie binnen de organisatie gehandeld wordt en medewerkers op de hoogte zijn van bestaande risico’s en verantwoordelijkheden en hoe te handelen.

Wij hebben vijf concrete voorbeelden op een rij gezet, waarbij je altijd aan de bel moet trekken – ook als het maar een onschuldige fout is.

1. ‘Offline’ datalekken: de papierbak

Wie bij een datalek direct aan digitale gegevens denkt, vergeet dat het vaak zo kan zijn dat er überhaupt geen elektronica aan te pas komt. Denk bijvoorbeeld aan de dossiers in de schoudertas, de documenten die open en bloot op je bureau liggen of de printjes die je eigenlijk niet zomaar in de papierpak naast de printer had moeten gooien. Want stonden daar geen gegevens bij die niet voor derden bedoeld waren?

2. Verlies van een usb-stick of laptop

Het tweede voorbeeld is waarschijnlijk een stukje herkenbaarder. Het wordt immers regelmatig aangehaald als het over datalekken gehad. Een usb-stickje verloren in de trein, of een laptop gestolen van de achterbank van je auto. Pijnlijk als daar bedrijfsdocumenten op te vinden zijn, bijvoorbeeld met persoonsgegevens van klanten of privacygevoelige informatie van patiënten. Let op: als de gegevens versleuteld op je laptop of usb-stick staan, is de AP een stuk coulanter!

3. Diefstal van een telefoon

In het verlengde van nummer 2 is verlies en diefstal van een telefoon dus ook een reden voor alarm. De moderne smartphone is een primaire bron voor datalekken. De tijden van slechts een handjevol telefoonnummers en wat potentieel privacygevoelige sms’jes op dat toestel zijn voorbij. Want bedenk maar eens hoe je telefoon jou toegang geeft tot heel veel informatie, en hoeveel mogelijkheden dat biedt als het apparaat in de verkeerde handen belandt? E-mail, notities, automatische inlog voor bedrijfswebsites en –systemen, noem maar op.

Lees ook: 4 adviezen richting de nieuwe privacywetgeving in 2018

4. Phishing en ransomware

Hackers die via phishing en social engineering toegang weten te krijgen tot een netwerk, kunnen zich ook entree verschaffen tot allerlei belangrijke data. En ermee aan de haal gaan, of deze data ‘simpelweg’ manipuleren om er op een andere wijze voordeel mee te behalen. En wie bekend is met ransomware, weet dat virussen en malware een stevige grip kunnen hebben op je computer of complete systemen, waarbij de integriteit van de gegevensbescherming eveneens in gevaar is geraakt. Reden genoeg om dat bij de juiste persoon te rapporteren.

Over ransomware en de afweging of het wel of geen datalek is, krijgt de AP overigens geregeld vragen, die je op deze pagina beantwoord vindt. Het komt erop neer dat organisaties een geval van ransomware moeten melden als dat ‘leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, of als er een aanzienlijke kans bestaat dat dit gebeurt.’

5. De Menselijke Fout

De mens tot slot is in verreweg de meeste gevallen de zwakste schakel in de beveiligingsketen. Dat moet niet gezien worden als een beschuldiging of een negatief oordeel, maar als belangrijk aandachtspunt. Hackers vertrouwen er namelijk op dat de mensen zich onvoldoende bewust zijn van de informatie die ze in bezit hebben, of niet veilig genoeg met technologie omgaan. Denk ook aan een mailtje waarbij per abuis de verkeerde mensen op CC staan, of een bestand dat zonder de juiste voorzorgsmaatregelen en versleuteling verstuurd wordt. En natuurlijk kan het een keer gebeuren dat je ergens wat hebt laten liggen, toch op dat verkeerde linkje hebt geklikt, of een dubieus bestand hebt geopend. Maar maak er wel altijd melding van. De gevolgen kunnen vele malen groter zijn dan dat onschuldige foutje rechtvaardigt.

Wil je weten hoe het met het informatiebewustzijn in jouw organisatie gesteld is? De security awareness training van Awareways start met een meting die concreet inzicht geeft in het gedrag, de sociale en de culturele aspecten die van invloed zijn op een informatie- en beveiligingsbewuste organisatie.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.