Inbreuken op gegevens zijn aan de orde van de dag, en een datalek is een veelgebruikte term. Maar wat betekent het eigenlijk?
Wat is een datalek?
Bij een datalek is er sprake van toegang tot of vernietiging, wijziging of vrijgave van persoonsgegevens bij een organisatie zonder de bedoeling van die organisatie. Dit betekent dat gegevens toegankelijk kunnen zijn voor mensen buiten het bedrijf of dat gegevens binnenuit naar buiten lekken.
Persoonsgegevens van klanten kunnen uit het computersysteem van een bedrijf worden gehaald; gegevens kunnen worden meegenomen in de vorm van papieren dossiers of harde schijven met gegevens. Een datalek kan het gevolg zijn van een kwaadwillige aanval of een systeemstoring
Dit kan zich op elk moment voordoen tijdens het verzamelen, opslaan of doorgeven van data(invoeren, opslaan of doorgeven van gegevens).
Datalekken komen steeds vaker voor bij allerlei soorten bedrijven over de hele wereld. Een datalek, vooral een groot datalek, kan verschillende negatieve gevolgen hebben voor uw organisatie, waaronder boetes, rechtszaken en zelfs een faillissement.
Datalek voorkomen
Het is van cruciaal belang dat gegevensbeveiliging serieus wordt genomen. Hier volgen een aantal tips voor de preventie van datalekken:
- Controleer het beleid inzake gegevensbescherming en privacy. – Het beleid en de procedures inzake gegevens en beveiliging moeten zo nodig worden bijgewerkt om inbreuken op de gegevens te voorkomen.
- Controleer de toegangsrechten voor data – zorg ervoor dat alleen degenen die toegang nodig hebben, deze hebben
- Verwijder overbodige gegevens of computersystemen
- Encryptie – gegevens moeten worden versleuteld, zodat inbreuken op de gegevens minder waarschijnlijk zijn
- Awareness bij medewerkers – Door uw personeel in te lichten over hoe een datalek wordt voorkomen, vergroot u het bewustzijn van uw medewerkers.
Datalekken en de wet
Een datalek kan een organisatie veel schade berokkenen. Daarom moeten datalekken op de juiste manier worden aangepakt en moet alles in het werk worden gesteld om ze te voorkomen. De wet voorziet in verschillende manieren waarop organisaties kunnen reageren wanneer gegevens zijn geschonden.
De Data Protection Act 1998 stelt dat organisaties verantwoordelijkheid moeten nemen om persoonsgegevens veilig te bewaren, om de kans op een datalek te verkleinen. Dit wordt nu geregeld door GDPR (General Data Protection Regulation) of AVG (algemene verordening gegevensbescherming) die op 25 mei 2018 in werking is getreden en heeft de gegevensbeschermingswet vervangen.
Datalek melden
Een datalek is een ernstige zaak. Het is van essentieel belang dat datalekken worden gemeld bij de Autoriteit Persoonsgegevens in Nederland, die het College Bescherming Persoonsgegevens wordt genoemd. Deze organisatie kan helpen bij het voorkomen van datalekken, het onderzoeken van datalekken en het handhaven van de regels voor gegevensbescherming.
Daarnaast vereist de AVG dat elke persoon wiens gegevens zijn geschonden zonder vertraging op de hoogte worden gebracht.
De kennisgeving van een inbreuk in verband met persoonsgegevens moet schriftelijk gebeuren en moet de volgende informatie bevatten
- wie verantwoordelijk is voor de inbreuk in verband met de gegevens
- welke gegevens zijn geschonden
- hoe de inbreuk op deze gegevens is ontstaan (de oorzaak)
- de maatregelen die u neemt om het probleem aan te pakken
Inbreuken op gegevens zijn een ernstige zaak, dus zorg ervoor dat uw gegevens veilig zijn.