Er is niets verschrikkelijker dan als bedrijfsgegevens bij de verkeerde persoon terecht komt. Als organisatie kan je dit veel gedoe opleveren. Door de AVG wetgeving ben je verplicht om vanaf 1 december 2016 datalekken te melden bij de Autoriteit Persoonsgegevens. Deze blog geeft je meer informatie om het gedoe van een datalek te voorkomen.
Wat zijn de gevolgen van datalekken?
Afhankelijk van de situatie kunnen de gevolgen variëren van hoge boetes (10% van de jaaromzet) tot aan het verlies van vertrouwen in een organisatie. Bijvoorbeeld klanten of relaties met wie je samenwerkt. Daarnaast heeft het vaak ook gevolgen voor de betrokken personen. Denk aan schending van hun privacy of impact op hun privé leven. Personen die getroffen zijn moeten vaak over een datalek geïnformeerd worden.
Afhankelijk van het type informatie, die gelekt is kunnen de gevolgen groot zijn. Inpricipe moet een ‘ernstig’ data lek gemeld worden bij de Autoriteit Persoonsgegevens. Een data lek is ernstig aangemerkt, als het gaat om gevoelige informatie. Deze moeten per direct binnen 72 uur gemeld worden.
Gevoelige informatie kunnen bijvoorbeeld zijn:
- Persoonsgegevens van klanten/cliënten
- Financiële gegevens
- Medische gegevens
De meeste voorkomende oorzaak van datalekken
Een data lek kan ontstaan als informatie bij de verkeerde persoon terecht komt. Veelal kan dit door een menselijke fout gebeuren. Uit de cijfers van 2020 blijkt dat 66% afkomstig is door een menselijke fout. Bron: Autoriteit Persoonsgegevens
Enkele voorbeelden hiervan zijn:
- Een mail of post versturen die naar een verkeerde persoon gestuurd wordt (denk aan door automatisch aanvullen bijvoorbeeld);
- Het verlies van een mobiel of laptop.
Echter is de kans groter dat een data lek ontstaat door een menselijke fout. Groter dan door externe factoren zoals met een aanval via gijzelsoftware.
Maak gebruikers bewust met technologie als hulpmiddel
Datalekken kunnen voorkomen worden. Dit kun je doen door de focus te leggen op het gebieden: gedrag met als hulpmiddel slimme technologie. Gedrag speelt een grote rol en technologie kan ingrijpen als het gedrag van de gebruiker niet logisch is. Denk als voorbeeld aan het weergeven van een waarschuwing bij het delen van informatie, met bijvoorbeeld een BSN-nummer. Met waarschuwingen kan de gebruiker bewust gemaakt.
Daarbij blijft het wel van belang dat gebruikers getraind worden. De daadwerkelijke oorzaak van het probleem ligt bij het menselijk gedrag. Zaken die kunnen helpen om het gedrag te stimuleren kunnen zijn: het periodiek geven van kennissessies over het bewust delen van informatie, en te werken met ambassadeurs binnen de organisatie. Met als doel dat ambassadeurs andere gebruikers kunnen helpen.
Kortom: de technologie die erachter zit helpt met het bewustzijn voor de gebruiker. Inzichten via rapportages kunnen helpen om informatietypes uit de gegevensstromen te zien. Om zo hiermee controle te kunnen houden op het uitwisselen van informatie, en eventueel bij te sturen. Een voorbeeld van deze technologie binnen Microsoft 365 heet Data Loss Prevention (DLP).
Over Data Loss Prevention
Data Loss Prevention is een set aan waardevolle tools en processen om datalekken binnen Microsoft 365 te voorkomen. En daarnaast helpt het hierbij om het gebruikersbewustzijn te vergroten. Als overtredingen worden geïdentificeerd, grijpt DLP in met een waarschuwing, encryptie en/of andere beschermende maatregel. Met als doel het voorkomen dat gebruikers per ongeluk of expres gegevens delen, die de organisatie in gevaar kunnen brengen.
Meer weten?
Heb je naar aanleiding van deze blog vragen over DLP of het voorkomen van datalekken? Dan kun je contact opnemen via de contact pagina of info@haf-id.nl.
Daarnaast helpen we organisaties met een strategie om datalekken te voorkomen. Met onze module Veilig Samenwerken helpen we je om grip te krijgen op digitale informatie binnen Microsoft 365. In een korte tijd kunnen we een pilot realiseren. Meer informatie hierover vind je hier.