Aanpak van een Datalek (Organisatie)

Wat is datalek?

Bij een datalek gaat het om een onrechtmatig of ongewild toegang tot persoonsgegevens. Maar ook het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Een datalek is het gevolg van een beveiligingsprobleem. Een voorbeeld van een datalek is een cyberaanval waarbij persoonsgegevens zijn buitgemaakt. Ook kun je denken aan het verlies van een USB-stick met niet- versleutelde gegevens of besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.

Wanneer is er sprake van een datalek?

Als de toegang, verlies, vernietiging, wijziging of verstrekking ongewild is, dan is er sprake van een datalek. In de meeste gevallen gaat get om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst ook een datalek zijn.

Welke type datalek zijn er?

Vanuit organisaties is het versturen van post/ email naar een onjuiste ontvanger waarbij persoonsgegevens bij onbevoegden terecht kan komen de meest simpele vorm van datalek. Een datalek kan zich ook voordoen in de vorm van:

  • Een hack:
    Het, zonder toestemming, binnendringen van een computer of computernetwerk. Hacken is strafbaar.
  • Phishing:
    Criminelen proberen door middel van emailberichten mensen te lokken naar een valse website.
  • Malware:
    Malware wordt gebruikt door hackers. Malware staat voor malicious software. Malware is schadelijk voor computers.
  • Ransomware:
    Ransomeware wordt gebruikt door hackers. Ransomware is schadelijke software, of malware, die computers en bestanden gijzelt.

Hoe voorkom je als organisatie/ bedrijf een datalek?

Datalekken ontstaan niet zomaar. Het onzorgvuldig omgaan met persoonsgegevens op de werkvloer, een zakenpartner die nalatig is in het beschermen van persoonsgegevens of een ICT-afdeling die matte beveiliging biedt is vaak de oorzaak van datalekken.

Aandachtspunten/ Aanbevelingen

  • Stel als organisatie een meerfactorauthentiecatie in
  • Verplicht het frequent wijzigen van wachtwoorden, zowel intern als extern
  • Werkt nauwkeurig en zorgvuldig bij het versturen van persoonsgegevens, zowel via de post als via de mail
  • Stel interne procedures op hoe om te gaan met persoonsgegevens en stel ook een procedure op hoe om te gaan met een datalek
  • Doet een datalek zich voor binnen uw organisatie, kom dan snel in actie. Zie hiervoor de stappenoverzicht “kom in actie bij een datalek
  • Veel organisaties gaan over op de Artificial Intelligence (AI). Houdt als organisatie rekening mee dat bij het overstappen op AI vooralsnog extra rekening gehouden moet worden met het beschermen van persoonsgegevens
  • Verplicht medewerkers om zorgvuldig om te gaan met o.a. gegevensdragers, o.a. laptops, USB-sticks en telefoons
  • Houdt als organisatie een datalek register bij

 

Kom in actie bij een datalek

Doet zich een datalek voor binnen uw organisatie, dan is het belangrijk dat u snel in actie komt. Dit stappenplan helpt u op weg.

Stap 1: Overzicht
Analyseer de situatie. Zorg dat u weet wat er is gebeurd en wat de omvang van het lek is.

Stap 2: Schade beperken
Bepaal of er maatregelen zijn die u meteen kunt nemen om het datalek te beëindigen en de schade te beperken. Zo ja, neem deze maatregelen onmiddellijk.

Stap 3: Wel/ niet melden bij CBP BES
De Wet bescherming persoonsgegevens BES verplicht het melden van een datalek (nog) niet. Echter is het verstandig om dit wel te doen.

Stap 4: Wel/niet melden aan de betrokkenen personen
U wordt geadviseerd een datalek te melden aan de betrokkenen personen wanneer sprake is van een inbreuk in de rechten en vrijheden van deze personen.

Melden:
Meld een datalek bij de Commissie toezicht bescherming persoonsgegevens door een mail te sturen naar info@cbpbes.com. Heeft u vragen, neem telefonisch contact met ons op +5997159114.
U kunt ook een melding doen bij de cybercrime unit van het Korps Politie Caribisch Nederland.
Heeft u bovenstaande stappen doorlopen en alles gedaan om de schade te beperken? Start dan intern een evaluatie om een herhaling van het datalek e voorkomen.

 

Begrippen

Datalek:
Onrechtmatig of ongewild toegang tot persoonsgegevens.

Phishing:
Cyberaanval waarbij een aanvaller zijn doelwit probeert te verleiden tot het verstrekken van gevoelige gegevens.

Malware:
Een computerprogramma dat ontwikkeld is om computers op meerdere manieren schade toe te brengen.

Ransomeware:
Een malware die databestanden van gebruikers versleuteld, met als doel om deze later te ontgrendelen in ruil voor losgeld.

Applicatie:
Een applicatie is een ander woord voor computerprogramma.

Besturingssysteem:
Een systeem dat een computers, tablet of smartphone bestuurt. Een besturingssysteem is noodzakelijk om met softwareprogramma’s te kunnen werken.

Authenticatie:
De identiteit vaststellen van iets of iemand.

Meerfactorauthenticatie:
Een vorm van (toegangs-) beveiliging waarbij de gebruiker zich met een combinatie van minimaal twee verschillende typen authenticatiefactoren moet authentiseren om toegang te krijgen tot een computer, (besturings-)systeem of applicatie.

Software:
Een verzamelnaam voor alle (niet tastbare) programmatuur en omvat zowel besturings- als toepassingsprogramma’s.

Persoonsgegevens:
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Voor meer informatie kunt u de volgende internetpagina’s raadplegen: