Privacy

Help, een DATALEK!?

Vorige maand ontvingen we een melding van een klant: een medewerker was aanwezig bij een netwerksessie en had zijn laptop in de auto laten liggen. Bij terugkeer ontdekte hij dat zijn ruit was ingetikt en de laptop verdwenen. Deze medewerker handelde adequaat en heeft meteen de Avensus servicedesk gebeld. Vanwege de diefstal van de laptop liep onze klant immers het risico dat er persoonsgegevens of bedrijfsgevoelige gegevens op straat kwamen te liggen. Dit heeft niet alleen gevolgen voor het bedrijf zelf, maar ook voor eventuele andere betrokkenen! Daarom is het zaak om adequaat op dit soort incidenten te reageren.

Nadat de medewerker de diefstal aan ons doorgaf heeft de Avensus servicedesk contact gehad met onze Privacy & Security Officer. Samen zijn ze overeengekomen dat er geen privacygevoelige informatie op de laptop stond: alles wat belangrijk was en eventueel teruggevonden moest worden stond ofwel in SharePoint, of in de Cloud en e-mail. Om de integriteit van de gegevens op de laptop te waarborgen is deze door ons op afstand gewipet. Hiermee werd de laptop leeggemaakt van alle bestanden en ontdaan van de resterende persoonlijke- en bedrijfsgegevens.

Hoewel er in dit specifieke geval geen sprake was van een datalek, had dit zomaar anders kunnen zijn. Het nemen van passende beveiligingsmaatregelen om beveiligingsincidenten en datalekken te voorkomen is daarom altijd verstandig. Avensus doet dit onder meer door gebruik te maken van zowel fysieke maatregelen als encryptietechnieken. Als zich ondanks de genomen maatregelen toch een beveiligingsincident voordoet, moet het incident direct worden beoordeeld om te beslissen over de vervolgacties, in dit geval op afstand gewipet.

Het wettelijke kader rondom datalekken of beveiligingsincidenten
Een beveiligingsincident is elke ongeoorloofde toegang, openbaarmaking of verlies van persoonsgegevens. Een incident is pas een overtreding wanneer het een bepaalde drempel overschrijdt. De melding aan de privacy autoriteit moet binnen 72 uur worden voltooid, tenzij het individuele risico op privacy schending onwaarschijnlijk is. Om aan de verantwoordingsplicht te voldoen moeten alle incidenten, al dan niet gemeld, worden vastgelegd in een intern beveiligingsincidentenregister.

Bij het bovenstaande incident van onze klant waren gegevens versleuteld via het systeem, bestond er een back-up van de gegevens via de cloud en konden de nodige gegevens tijdig worden hersteld. In dit geval was de encryptiesleutel nog niet gecompromitteerd en hoefde het incident niet bij de Autoriteit Persoonsgegevens gemeld te worden. Indien er later wél nog een compromittering van de sleutel plaatsvindt moet de inbreuk alsnog gemeld worden.

Lessons learned
Bij elk redelijk vermoeden van een incident met persoonsgegevens, moet – in zakelijke context – altijd melding gedaan worden. In bovenstaand geval heeft de medewerker er juist aan gedaan om gelijk te handelen en hulp in te schakelen. Ook was het juist dat de servicemedewerker hulp van de Privacy & Security Office heeft ingeschakeld. Het is geheel afhankelijk van de instructie voor medewerkers en de interne procedures van een organisatie op welke wijze en aan wie dergelijke incidenten gemeld moeten worden. Hiervoor bestaan vanuit de wet geen uniforme instructies. Het enige waar je als organisatie aan moet voldoen is een eventuele melding aan de Autoriteit Persoonsgegeven en/of betrokkenen; en het registreren van het incident in een incidentenregister.

Preventie
Voorkomen is beter dan genezen. Daarom zijn een effectieve inrichting van informatiebeveiliging en bewust en getraind personeel de belangrijkste middelen om incidenten met persoonsgegevens te voorkomen. Veel beveiligingsincidenten worden veroorzaakt door menselijke fouten, bijvoorbeeld door het verzenden van informatie naar onjuiste ontvangers of door het verstrekken van brede toegang voor bepaalde bestanden of bibliotheken. Bewustzijn bij medewerkers kan een aantal van deze fouten voorkomen:

  • Gebruik bcc als standaardoptie bij het verzenden van een e-mail naar grote groepen; zorg voor een juiste selectie van de ontvanger (pas op voor geautomatiseerde naamselectie!)
  • Gebruik sterke wachtwoorden en bewaar ze goed. Overweeg het gebruik van een wachtwoordbeheerder.
  • Stel de juiste toegangsrechten (bijvoorbeeld in SharePoint of je Teams omgeving) in en bekijk deze regelmatig.
  • Reguliere huishouding: verwijder e-mails of bestanden die niet meer nodig zijn en update regelmatig uw adreslijsten.
  • Bewust omgaan met bedrijfsmiddelen (niet onbeheerd achterlaten, gebruiken van Windows + ’L’ toets wanneer je van je desk wegloopt, etc.).

Onze dienstverlening
Het team van Avensus kan je helpen om problemen rondom beveiligingsincidenten en datalekken, met boetes en andere problemen tot gevolg, te voorkomen. In bovenstaande gevallen is al uitgelegd op welke manieren Avensus kan helpen. Hieronder nog een korte samenvatting:

  • Het opzetten van een gedegen datalekkenprocedure: Je hebt als organisatie een verantwoordingsplicht onder de AVG. Een gedegen interne datalekkenprocedure helpt een organisatie om zo snel en adequaat mogelijk te reageren ten tijde van een datalek of beveiligingsincident.
  • Het beheren van een adequaat incidentenregister: Het register is vormvrij, maar er moet wel wettelijk verplichte informatie in worden opgenomen. Denk hierbij aan de oorzaak, betrokken persoonsgegevens, de gevolgen van de inbreuk en de corrigerende maatregelen.
  • Het verhogen van beveiligingsbewustzijn onder je medewerkers: Dit onder meer door het opzetten van trainingen, het uitsturen van nieuwsbrieven in de organisatie, het doen van oefeningen etc.

Vragen over privacy? Neem contact met mij op. MtenHacken@avensus.nl


[1] Zie ook de site van de Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/acties-bij-een-datalek

Meer weten?

Wij helpen je graag verder

+31 (0) 85-0200070
info@avensus.nl

Gerelateerd

Menu