Datalek? Vaak het resultaat van ‘human error’. Met grote gevolgen. Hoe reduceer je de kans op datalekken in jouw organisatie?
In elke organisatie worden gegevens verwerkt: van de eigen medewerkers, leveranciers, klanten, etc. Deze data zijn interessant voor partijen die snel geld willen verdienen, door bij jou of je relaties in te breken. Virtueel en/of fysiek. Je bent verplicht aan iedereen die jou informatie toevertrouwt, deze zorgvuldig te verwerken en bewaren. Om diefstal te voorkomen, maar ook om privacy te borgen. Wetgeving als de Algemene Verordening Gegevensbescherming herinnert ons hieraan.
Vertrouwen en onzorgvuldigheid
Maar dat is makkelijker gezegd dan gedaan. Want, waar gehackt wordt, vallen spaanders. Ruim een derde van de datalekken ontstaat door mensen die zich laten verleiden tot het maken van fouten. In situaties waarbij wordt ingespeeld op vertrouwen, door bijvoorbeeld phishing. Of ze zijn het gevolg van onzorgvuldigheid. Zoals wanneer een medewerker een USB-stick met belangrijke data in de trein laat liggen. Of een vertrouwelijk document op de printer, waar iedereen het kan zien. Datalekken ontstaan, vaak, niet door kwade wil en zijn moeilijk te voorspellen.
Plan, do, check, act
Het helpt als je, in het geval van een datalek, heldere processen en procedures hebt ingericht. Net als de juiste autorisaties. Niet iedere medewerker hoeft contactgegevens van klanten in te kunnen zien of heeft toegang nodig tot de serverruimte. Vastleggen wie voor welke data verantwoordelijk is, en waarom, is een positieve stap binnen de informatiebeveiliging van jouw organisatie. Deze informatielijnen direct af kunnen sluiten wanneer er gelekt is, is een belangrijk vervolgstap. Als je het lek niet hebt kunnen voorkomen, probeer dan in elk geval de schade te minimaliseren. Bij voorkeur door het inzetten van noodplannen die je vooraf op basis van risicoanalyses gemaakt hebt. Als jij je organisatieprocessen zichtbaar hebt, zit je niet met de handen in het haar wanneer je collega tóch op die interessante URL klikt.
DPIA - Data Protection Impact Assessment?!
Het zorgvuldig in kaart brengen van de privacy risico’s in jouw organisatie is altijd aan te raden. Wanneer je bijzondere persoonsgegevens verwerkt is dit zelfs verplicht! Hou je bijvoorbeeld een zwarte lijst bij met klanten die niet langer welkom zijn, of wordt het gedrag van je buitendienst-collega’s gemonitord door middel van een GPS-systeem? Dan verlangt de Autoriteit Persoonsgegevens, dat je met behulp van een DPIA aangeeft waarom je dit doet en wat er exact met die gegevens gedaan wordt. Maar ook als een DPIA niet verplicht is, wil je weten hoe je de risico’s op een datalek in kaart kunt brengen. De gevolgen kunnen namelijk groot zijn. Denk hierbij aan financiële verliezen, maar ook aan zaken als imagoschade.
Voorkomen is beter dan genezen.
Onze ervaring heeft ons geleerd, dat we in het geval van privacy en informatiebeveiliging vaak pas gaan schakelen wanneer het te laat is. Berichten in de media over cyberaanvallen nemen toe. Misschien heb je zelf al eens meegemaakt dat er binnen je organisatie onzorgvuldig is omgegaan met persoonsgegevens. We komen hier inmiddels niet meer mee weg. Niet alleen omdat er nu wet- en regelgeving is, maar ook omdat de buitenwereld het afdwingt. Je wilt geen slachtoffer worden van gijzelsoftware. En de tijd dat phishing zeer herkenbaar was en iets om schamper om te lachen, mails met spelfouten van buitenlandse prinsen die jouw bankrekening wilden gebruiken, is voorbij. Huidige berichten met kwaadwillende virussen zijn bijna niet te onderscheiden van echte berichten. Daarom is het tijd om stappen te nemen die het risico op datalekken verkleinen, voordat het te laat is.
Leuker kunnen we het wél maken.
Wetgeving en het voldoen aan regels en richtlijnen doet bij weinig mensen het hart sneller kloppen. Zeker wanneer deze wetgeving een geheel nieuw terrein is om te verkennen en je je verloren voelt zonder routekaart. Misschien weet jij inmiddels van de hoed en de rand en kent de AVG geen geheimen meer voor je, maar ben je afhankelijk van je hele organisatie en wil je weten hoe je je collega’s informeert over wat ze moeten doen. Anders laten ze alsnog die aardige dame zonder pasje binnen, omdat ze waarschijnlijk in hetzelfde gebouw werkt. We leven in een tijdperk waarin informatiebeveiliging een standaard onderdeel zou moeten zijn van de werkinstructies. En hoewel privacy borgen een pittige opgave is, kan het absoluut interessant, laagdrempelig en leuk zijn. Zeker wanneer je de juiste handvatten hebt om aan de slag te gaan.
Bewust onbekwaam
Wanneer je nieuwe informatie tot je neemt, word je je ervan bewust dat je deze kennis nog niet had en aan de bak moet. Je bent bewust onbekwaam. Dit geldt momenteel voor veel mensen die actief zijn binnen informatiebeveiliging. Zij hebben voor hen nieuwe taken, die naast een huidige functie worden uitgevoerd. Dat maakt een rol binnen informatiebeveiliging zeer uitdagend. Maar af en toe kan het ook intimiderend zijn: de verantwoordelijkheid is groot en de benodigde kennis niet volledig aanwezig. Na het bewust onbekwaam zijn komt de volgende stap: bewust bekwaam worden. Met onze trainingen helpen we iedereen die zich bezighoudt met informatiebeveiliging op het gepaste niveau die volgende stap te bereiken. Dit zijn trainingen die uiteenlopen van basis AVG tot Privacy of Security Officer. En wil je het bewustzijn met betrekking tot informatiebeveiliging en privacy bij je collega’s verhogen? Dit kan! Met behulp van een awareness-training, of leuke pub quiz. Ook organiseren we trainingen voor management teams, raden van commissarissen en andere eindverantwoordelijken.
Volg een training of workshop bij Audittrail
Wij helpen jou op een leuke en pragmatische manier om bewust bekwaam te worden en kennis op te doen die je meteen kunt toepassen in de praktijk. Uiteindelijk kun je door veel te oefenen in jouw eigen organisatie de volgende stap maken naar onbewust bekwaam, en je taken als beschermer van persoonsgegevens met gemak en souplesse uitoefenen. Wil je meer weten over onze trainingen, neem dan contact met ons op of bekijk hier onze trainingen.