Stef Smit
Stef Smit is directeur van ConsumentenClaim en MKB-Claim, de specialisten in massaclaims. Aan consumenten en bedrijven wordt de mogelijkheid geboden om op basis van no cure no pay hun recht te halen. Alleen bij resultaat wordt een bijdrage gevraagd. Met ruim 60 gespecialiseerde medewerkers is het bedrijf uniek in Nederland. Sinds 2018 wordt samengewerkt met de Consumentenbond onder de naam Consumentenbond Claimservice.
Een kleine 2 maanden geleden kregen cybercriminelen toegang tot maar liefst 26 miljard(!) datarecords. Onder de gedupeerde bedrijven waren ook bekende platformen als LinkedIn, X, Adobe Photoshop en Canva. Veel bedrijven gebruiken deze tools voor hun marketing en communicatie. En vaak wordt maanden of zelfs jarenlang met hetzelfde wachtwoord ingelogd. Maar vaak wordt zo’n makkelijk te onthouden wachtwoord ook voor specifieke bedrijfstoepassingen gebruikt.
Een datalek, wat is dat?
Als je gebruikersnamen en wachtwoorden via een hack op straat komen te liggen, kunnen cybercrimelen (jouw bedrijfs)data stelen. En als je voor veel applicaties dezelfde inloggegevens gebruikt, maakt dat de kans alleen maar groter. En komen die data op straat te liggen? Dan noem je dat een datalek en zijn er regels hoe je daar als ondernemer mee om moet gaan.
Nu zit je natuurlijk niet te wachten op allerlei administratieve rompslomp als zoiets gebeurt. Als je echter de juiste stappen neemt, beperk je de schade en ook de kans op juridische procedures achteraf. In dit artikel lees je vijf dingen die je moet weten over een datalek en hoe je daarmee om moet gaan.
1. Minimaliseer de risico’s
Vaak ontstaat een datalek als gevolg van slordigheid of onbewustheid. Denk aan een verloren USB-stick of iemand die zijn laptop in de trein liet liggen. Of klikken op een link in een phishing e-mail. Vaak blijkt pas weken of maanden later dat gevoelige informatie in verkeerde handen is beland. In de basis kun je als ondernemer drie dingen doen om dit soort dingen te voorkomen:
- Voed het risicobewustzijn van collega’s. Zorg voor wachtwoord-tools, verander wachtwoorden regelmatig en zet de 2 factor authenticatie altijd aan.
Lees ook: Onderzoek IBM: gemiddelde kosten datalek 4 miljoen euro
- Zorg voor professionele IT. Goede virus en mallware detectie en up-to-date software zijn de basis. Maar bedenk ook hoe je omgaat met het opslaan en verzenden van grote hoeveelheden (klant of bedrijfs)data. En laat minimaal één keer per jaar een externe audit uitvoeren.
- Richt je organisatie erop in. Versleutel documenten en databases, zorg dat niet iedereen bij grote of kostbare hoeveelheden data kan. Geef collega’s een training bij binnenkomst en zorg voor een beleid of checklist bij vertrek.
Hiermee heb je de basis op orde. Maar gaat het toch mis? Dan is dit hoe je met een datalek omgaat.
2. Beperk de schade
Is er bij jou sprake van een datalek? Zorg dan dat je zo snel mogelijk achterhaalt wat voor soort gegevens er gelekt zijn, wat de oorzaak van het lek is, wanneer deze is ontstaan en om hoeveel persoonsgegevens het gaat. Ook is het belangrijk om uit te vinden welke of hoeveel personen toegang hebben tot de buitgemaakte gegevens en wat er in de tussentijd met de gegevens gebeurd is. Door dit in kaart te brengen kun je een risico-inschatting maken en de juiste vervolgstappen nemen.
Zorg dat in ieder geval verdere verspreiding volledig in de kiem wordt gesmoord. Bestanden offline halen en/of de toegang tot accounts blokkeren is het minste. Maar sommige bedrijven gaan verder. Zij leggen hun hele IT plat tot extern beveiligingsbedrijf is langsgeweest om alles te controleren.
3. Maak een melding
De Algemene Verordening Gegevensbescherming (AVG) verplicht ondernemingen om een datalek op te nemen in een datalekregister. Je maakt dus eerst risico-inschatting waarmee je beoordeelt of het datalek bij de Autoriteit Persoonsgegevens (AP) gemeld moet worden.
Het melden van een datalek bij de AP doe je binnen 72 uur nadat je het hebt geconstateerd. Dit is overigens niet verplicht, maar bij twijfel geldt dat je het beste op zeker kunt spelen en het datalek dus wél meldt.
Het melden van een datalek bij de AP doe je binnen 72 uur nadat je het hebt geconstateerd
Of je een datalek moet melden hangt af van de omvang en mate van risico voor de rechten en vrijheden van betrokkenen. Als het om een grote hoeveelheid persoonsgegevens gaat, ben je verplicht direct een melding te maken. Ook wanneer het om gevoelige gegevens gaat zoals financiële gegevens, kopieën van identiteitsbewijzen en medische informatie dan moet je een melding maken bij de AP.
4. Informeer gedupeerden
Ook moet je gedupeerden direct informeren over wat er met hun gegevens is gebeurd en wat zij eventueel kunnen doen ter zelfbescherming. Je moet daarbij ook communiceren welke stappen jouw bedrijf heeft genomen om het te voorkomen in de toekomst.
Vraagt de pers om een reactie? Wees dan transparant en deel alleen de feiten
Het informeren van slachtoffers moet rechtstreeks worden gedaan. Bijvoorbeeld per e-mail. Bij een omvangrijk datalek is de kans aannemelijk dat de pers erachter komt. Vraagt de pers om een reactie? Wees dan transparant en deel alleen de feiten, dat gedupeerden en de AP op de hoogte zijn gesteld en dat je maatregelen hebt getroffen om toekomstige datalekken te voorkomen.
5. Voorkom herhaling
Met de aandachtspunten bovenin dit artikel beperk je de kans op een datalek. Gebeurt het dan toch? Dan is de situatie goed analyseren en evalueren met de betrokkenen het beste wat je kunt doen.
Lees ook: Bedrijven getroffen door datalek, softwareleverancier moet van rechter informatie geven
Het is echter de vraag of je je onderneming daarmee 100% datalek-vrij kunt te houden. En je moet ook realistisch zijn. Als MKB ondernemer kun je vaak geen tienduizenden euro’s per jaar uit gaan geven aan beveiligingsexperts. Zet daarom in op de 80/20 regel. Zorg voor een goede mix aan voorzorgsmaatregelen en laat periodiek een assessment uitvoeren door een extern bedrijf als de risico’s, en vooral het impact op je bedrijf of klanten bij een eventueel datalek, daar aanleiding toe geven.
