U heeft alles op orde. De regels binnen de AVG staan genoteerd, u weet wat u moet doen om de persoonsgegevens binnen uw organisatie te beschermen, de valkuilen zijn bekend en een actieplan – inclusief een verdeling van verantwoordelijkheden – ligt klaar als er dan toch een datalek ontstaat. U bent al goed op weg als u deze voorbereidingen heeft getroffen. Maar hoe staat u op tijd paraat? Hoe signaleert en herkent u een datalek, zodat u op tijd een melding kunt maken?
Ten eerste is het belangrijk om in beeld te hebben welke persoonsgegevens u allemaal opslaat. Welke kroonjuwelen heeft u onder uw hoede, wie heeft er toegang tot die gegevens en hoelang blijven deze bewaard? Samen met collega’s zijn er van tevoren verschillende scenario’s te bedenken waar het mis kan gaan. Schakel daarom ook met uw IT-partners, zij weten precies welke aanvallen van buitenaf mogelijk zijn, kunnen systemen voor u monitoren en weten vanuit hun ervaring met andere klanten ook waar de pijnpunten binnen een organisatie zitten. Zodra u hier een goed overzicht van hebt, weet u precies waar een datalek kan ontstaan en dus ook waar u alert op moet zijn.
Bij organisaties van een redelijk formaat is het echter onvoldoende om alleen alert te zijn. Nóg belangrijker is het dat álle medewerkers die met persoonsgegevens omgaan bewust zijn van de privacygevoeligheid, dat zij volledig geïnformeerd zijn over de nieuwe regelgeving en hier samen met u alert op zijn. Ook is het belangrijk dat u een cultuur creëert waarbij medewerkers zich veilig voelen om een datalek te melden. Het is bekend dat menselijke fouten of slordigheden het merendeel van de datalekken veroorzaken. Uw IT-processen kunnen dan wel spic en span zijn, maar vergeet niet dat een verkeerd geadresseerd mailtje of het achterlaten van een usb stick ook zorgen voor een datalek.
Weten uw medewerkers wat te doen bij een datalek?
Het opstellen van strakke richtlijnen binnen een organisatie is een belangrijke eerste stap. Bewustwording speelt hierin een centrale rol; zorg ervoor dat medewerkers zich bewust zijn van hun gedrag wanneer ze omgaan met persoonsgegevens. Een niet-versleutelde PC kan onbewust een kwaadwillend persoon toegang verschaffen tot persoonsgegevens. Medewerkers die in de fout gaan moeten ook weten bij wie ze zich kunnen melden. Hoe langer zij wachten met melden, hoe groter de gevolgen voor alle betrokken partijen. Eventueel volgt ook nog een boete als het datalek niet binnen 72 uur gemeld is bij de Autoriteit Persoonsgegevens.
Gelukkig zijn er allerlei hulpmiddelen om de bewustwording van medewerkers te vergroten. In Microsoft Exchange vindt u bijvoorbeeld opties die alarm slaan wanneer mensen per ongeluk documenten met woorden als ‘vertrouwelijk’ of ‘intern’ versturen. Moderne firewalls hebben ‘data leakage prevention’, wat het lekken van data tegen gaat. Het is ook aan te raden uw netwerk te (laten) monitoren op afwijkend gedrag. U krijgt dan direct een seintje wanneer er bijvoorbeeld sprake is van een enorme toename van dataverkeer van binnen naar buiten. Verder zijn er diverse (goedkope) tools die waarschuwen wanneer er een hacker in uw netwerk zit.
Denk niet alleen digitaal
Tegenwoordig gebeurt bijna alles online. Ook persoonsgegevens worden inmiddels bijna alleen nog maar online verwerkt. Toch zijn er ook zat voorbeelden van papieren datalekken. Denk bijvoorbeeld aan een verkeerd bezorgde brief met gevoelige patiëntinformatie of een map met persoonsgegevens die uit een auto gestolen wordt. Ook hier gaat het om datalekken.
Maak goede afspraken met bewerkers
Misschien maakt u gebruik van externe partijen die namens u persoonsgegevens verwerken. Die partijen moeten passende beveiligingsmaatregelen treffen en u in het geval van een datalek tijdig informeren. Zorg dus voor duidelijke afspraken met deze partijen, en dat zij bijvoorbeeld weten aan wie zij een eventueel datalek moeten melden.