Fors meer datalekken gemeld in 2017
Uit stukken van de Autoriteit Persoonsgegevens blijkt een grote toename van de meldingen over datalekken. Over het gehele jaar 2016 werden bijna 5.500 datalekken gemeld, terwijl in het eerste kwartaal van 2017 reeds meer dan 2300 meldingen zijn gedaan. Het is aannemelijk dat er niet zozeer veel meer datalekken zijn opgetreden, maar dat de meldplicht datalekken beter wordt nageleefd dan in 2016.
Organisaties worden zich steeds meer bewust van de wettelijke plichten die zij hebben met betrekking tot datalekken. Er wordt kortgezegd dus niet meer gelekt, maar wel meer gemeld. De meeste meldingen van datalekken komen uit de sectoren zorg en welzijn, financiële dienstverlening en openbaar bestuur. In deze sectoren wordt veel met gevoelige persoonsgegevens gewerkt, waardoor het melden van een datalek al snel wettelijk verplicht is. Mens blijft de zwakste schakel Bij datalekken denken veel organisaties alleen aan hackers die ICT-systemen binnendringen, maar de meeste datalekken komen voort uit menselijk handelen. Slechts 11% van de datalekken wordt veroorzaakt door hackers. Datalekken bestaan namelijk niet alleen digitaal, maar kunnen ook voorkomen in de fysieke wereld. 40% van de datalekken ontstaat door het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Dit kan door het simpelweg versturen van een e-mail naar een verkeerd e-mail adres, maar ook door een brief aan een foutief adres te sturen. Een andere oorzaak van veel meldingen is het kwijtraken of verloren gaan van gegevensdragers, zoals USB-sticks en papieren. Deze datalekken zijn rechtstreeks terug te voeren op menselijke nalatigheid. Wat kunt u doen? Een datalek zit in een klein hoekje. Iedere organisatie zal op een gegeven moment te maken krijgen met een datalek. Het is echter wel van belang om datalekken zoveel mogelijk te beperken. Nog te vaak zijn organisaties zich niet bewust van de meldplicht datalekken en de bijbehorende wet- en regelgeving. Dit kan niet alleen tot boetes van de Autoriteit Persoonsgegevens leiden, maar ook tot forse reputatieschade en nadelige gevolgen voor de slachtoffers van het datalek. Het is daarom ook van belang om de privacy awareness binnen uw organisatie op peil te brengen.
Allereerst dient het besef te leven dat privacy en datalekken de verantwoordelijkheid zijn van iedere medewerker binnen de organisatie. Het is niet voldoende dat alleen de directie of het management het belang inziet van de preventie van datalekken. Juist met het creëren van bewustzijn onder de uitvoerende en faciliterende medewerkers (zoals secretaresses en telefonisten) van uw organisatie valt grote winst te behalen. Een volgende stap is het opstellen van een goed beleid over de omgang met datalekken. Dit kan bijvoorbeeld in een calamiteitenplan datalekken, waarbij u de verschillende verantwoordelijkheden en bevoegdheden van de diverse werknemers beschrijft. Bij een datalek is er geen tijd te verliezen en moeten werknemers gelijk aan de slag om het datalek op te lossen en eventueel te melden bij de Autoriteit Persoonsgegevens. Tegelijkertijd is het belangrijk om het informatiebeveiligingsbeleid dusdanig in te richten dat de kans op een datalek zo klein mogelijk is. Een goed voorbeeld is het gebruiken van versleutelde USB-sticks, zodat onbevoegden niet zomaar bij de data kunnen. Een simpele maatregel kan soms grote rampspoed voorkomen.
Ten slotte is het verstandig om de communicatie rondom een datalek goed op orde te hebben. Dat een datalek optreedt is natuurlijk al vervelend genoeg, maar onhandige communicatie kan leiden tot grotere reputatieschade, ernstigere gevolgen voor de betrokkenen en zelfs tot nieuwe datalekken. Een communicatiestrategie biedt vaak uitkomst.
Komt u er niet meer uit? Raakt uw organisatie verdwaald in het oerwoud van wet- en regelgeving of wordt u op dit moment geconfronteerd met een mogelijk datalek? Het Datalekcentrum van Certafin staat voor u klaar. De datalek-experts beschikken over internationaal erkende certificaties (CIPP/e) en kunnen u 24/7 adviseren over de te nemen stappen bij een datalek. Daarnaast staan onze communicatieadviseurs altijd klaar om de crisis-communicatie met de media en betrokkenen te begeleiden.