Datalekken
Een datalek kan serieuze gevolgen hebben voor uw bedrijf en uw klanten. In 2021 werd 9% van de datalekken veroorzaakt door een cyberaanval. Meestal gaat het om een menselijke fout. Het is belangrijk dat u een datalek herkent en weet wat u moet doen als uw bedrijf te maken heeft met een datalek.
Wat is een datalek?
Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Er is sprake van een datalek als iemand onbedoeld toegang heeft tot persoonsgegevens of als er onbedoeld persoonsgegevens zijn vernietigd, gewijzigd, gedeeld of verloren zijn geraakt. Voorbeelden van een datalek zijn het doorsturen van persoonsgegevens naar de verkeerde ontvanger of het kwijtraken van een USB-stick waarop persoonsgegevens staan.
Wilt u uw IT-systemen beveiligen?
Feiten en cijfers over datalekken
Meer dan 80% van de bedrijven maakt gebruik van anti-virussoftware
van de bedrijven met 10 of minder medewerkers gebruikt een VPN
van de bedrijven in de zorgsector maakte melding van een ICT-veiligheidsincident
Zoveel datalekken werden er in 2021 gemeld bij de AP. Dat was een stijging van 3,7%
Bronnen: Cybersecuritymonitor 2021 (CBS)
Stappenplan bij een datalek
Heeft uw bedrijf te maken met een datalek? Kom dan direct in actie en volg dit datalek protocol:
Creëer overzicht van de situatie
Bij een datalek is het allereerst belangrijk om overzicht van de situatie te creëren. Gaat het om gelekte, vernietigde of gewijzigde gegevens? Wat is de omvang? Om welke persoonsgegevens gaat het? Wie heeft (mogelijk) toegang tot deze persoonsgegevens? Deze informatie heeft u nodig bij de volgende stappen.
Neem maatregelen om de schade te beperken
Om de gevolgen van een datalek te beperken, is het belangrijk om direct maatregelen te nemen. Wat u kunt doen is compleet afhankelijk van de situatie. Is het datalek bijvoorbeeld ontstaan omdat er een laptop is gestolen? Kijk dan of u de gegevens van de gestolen laptop op afstand kunt verwijderen of toegang tot bepaalde software kunt ontzeggen.
Melding datalek bij Autoriteit Persoonsgegevens
Bij een datalek moet u binnen 72 uur een melding maken bij de Autoriteit Persoonsgegevens - tenzij een risico onwaarschijnlijk is. Lees ook het artikel ‘Hoe beoordeel ik de risico’s van een datalek’ van Autoriteit Persoonsgegevens. Is er sprake van een risico? Maak dan direct een melding via het Meldformulier datalekken.
Melding datalek bij betrokkenen
Bepaal of u het datalek ook moet melden aan de personen waarvan de gegevens betrokken zijn. U heeft een meldplicht als het datalek een hoog risico heeft voor de rechten en vrijheden van de betrokken personen, bijvoorbeeld wanneer het datalek kan leiden tot reputatieschade of identiteitsdiefstal. Lees ook het artikel ‘Wanneer levert een datalek een hoog risico op?’ van Autoriteit Persoonsgegevens.
Registreer het datalek in uw datalekregister
Registreer het datalek in uw eigen datalekregister. Let op! Ook als u - vanwege beperkte risico’s - geen melding heeft gemaakt bij de Autoriteit Persoonsgegevens (stap 3), dan bent u nog steeds verplicht om het datalek te registreren in uw datalekregister. Dit is een standaardprocedure bij datalekken.
Datalek voorkomen
Een datalek voorkomen vraagt om extra aandacht voor data security. De meeste datalekken ontstaan door een menselijke fout, dus het is belangrijk om uw medewerkers hierbij te betrekken. Met deze tips kunt u een datalek voorkomen:
Zorg dat uw bedrijf op de hoogte is van de AVG
De Algemene Verordening Gegevensbescherming (AVG) is een wet die datalekken probeert te voorkomen door strenge regels op te stellen voor de verwerking van persoonsgegevens.
Bespreek de beveiliging van data met uw personeel
Zorg dat medewerkers op de hoogte zijn van de wet- en regelgeving en maak duidelijke afspraken over hoe om te gaan met persoonsgegevens.
Verzamel alleen gegevens die uw bedrijf écht nodig heeft
Hoe minder persoonsgegevens, hoe overzichtelijker het databeheer wordt. Hierdoor neemt de kans op datalekken of dataverlies af.
Verwijder gegevens die uw bedrijf niet meer nodig heeft
Denk aan persoonsgegevens van oude klanten of inloggegevens uit het verleden.
Geef alleen mensen toegang die het écht nodig hebben
Grote kans dat slechts enkele medewerkers toegang tot persoonsgegevens nodig hebben om hun werk te kunnen doen. Zorg ervoor dat de overige medewerkers geen toegang hebben.
Zorg voor goede beveiliging van gegevens
Voorbeelden van databeveiliging zijn een sterk wachtwoordenbeleid, tweestapsverificatie, cloudbeveiliging, antivirussoftware en DLP (Data Loss Protection) software.
Bewaar persoonsgegevens centraal
Beperk het aantal plekken waar gegevens worden opgeslagen, zodat het overzichtelijk blijft en beter te beveiligen is.
Meldplicht datalek
De meldplicht van een datalek houdt in dat u in de meeste gevallen direct een melding moet maken bij de Autoriteit Persoonsgegevens (AP). Hierop is slechts één uitzondering: alleen als het datalek geen risico’s met zich meebrengt is het melden van een datalek niet nodig. In sommige gevallen moet u het datalek ook melden bij de betrokkenen: de mensen waarvan de gegevens zijn gelekt. Lees meer over de meldplicht van datalekken op de website van Autoriteit Persoonsgegevens.
Wat gebeurt er bij een cyberaanval?
Over de cyberaanval
Loonbedrijf Van Diepen werd in juli 2020 getroffen door een cyberaanval.
Mede-eigenaar Jack van Diepen vertelt over:
- de hack
- het hersteltraject
- de schade
De oplossing
Jack van Diepen en zijn bedrijf hebben na de cyberaanval de rust en het vertrouwen hervonden. Van Diepen vertelt over:
- de hack
- het hersteltraject
- de schade
Alles over beveiliging in ons ebook
Trends en uitdagingen in cybersecurity
Hoe u de hele keten beschermt
Onze oplossingen voor uw veiligheid
Ontvang het e-book
Lees alles over veilig werken op V-Hub
#techtalks, video 2: Jurre Horsels’ kijk in cyberkeuken VodafoneZiggo
Nederlandse bedrijven verwachten dat zij dit jaar hun budgetten voor cybersecurity tot 20% verhogen. In deze #techtalk 2 deelt Jurre Horsels, CISO (Chief Information Security Officer) van VodafoneZiggo, de uitdagingen en oplossingen van de onderneming in cybersecurity. Ook geeft hij tips hoe u als ondernemer het risico op cyberaanvallen kunt verminderen.
Zo weet u welke security beheersmaatregelen u kunt nemen
Oktober is nationale cybersecurity maand, een jaarlijks initiatief waarbij organisaties zich inzetten om kennis te delen rondom cybersecurity. In #techtalks gaf onze Chief Information Security Officer (CISO) Jurre Horsels daarom een inkijk in onze ‘Security First’-strategie, zodat u als ondernemer daarvan kunt leren. In dit artikel leest u hoe u bepaalt welke beheersmaatregelen u het beste kunt nemen voor uw bedrijf en hoe u het beste in deze maatregelen kunt investeren.
8 varianten op MITM-aanval: laat de man-in-the-middle u niet foppen
Een man-in-the-middle (MITM)-aanval is een type cyberaanval waarbij de aanvaller de communicatie tussen twee partijen onderschept om hen te doen geloven dat zij rechtstreeks met elkaar communiceren. De aanvaller neemt de controle over de communicatiesessie over door het verkeer tussen de twee partijen te onderscheppen, te controleren en te manipuleren. Vervolgens kan deze elk van de partijen misleiden door het wijzigen of verzenden van valse berichten zonder dat een van de partijen het weet. Dit artikel laat u zien hoe u zo'n geraffineerde MITM-aanval kunt herkennen – tuin er niet in!
Bouw een ‘human firewall’
Wilt u als mkb-ondernemer echt veilig werken in het digitale tijdperk, dan zult u goede security-oplossingen moeten implementeren. Maar hoe organiseert u dat? Deze animatie legt het uit, met praktische adviezen.
Veelgestelde vragen
We spreken van een datalek als er onbedoeld persoonsgegevens zijn vernietigd, gewijzigd of gedeeld. Er is dus ook sprake van een datalek als iemand onbedoeld toegang heeft gekregen tot persoonsgegevens.
Dit zijn een aantal voorbeelden van een datalek:
● Een kwijtgeraakte USB-stick waar persoonsgegevens op staan
● Een huisarts die per ongeluk het hele klantenbestand mailt zonder BCC te gebruiken
● Een (bedrijfs)laptop of smartphone die wordt gestolen
● Een cyberaanval waarbij persoonsgegevens zijn gestolen
● Papieren met daarop persoonsgegevens die rondslingeren op kantoor
Op de website van Autoriteit Persoonsgegevens (AP) vindt u het Meldformulier datalekken.
In een datalekregister bewaart een bedrijf alle informatie over een datalek. In het datalekregister wordt elk datalek nauwkeurig beschreven. Wat is er gebeurd? Wanneer ontstond het datalek en wanneer werd het ontdekt? Welke gegevens waren betrokken? Wie heeft (mogelijk) toegang tot deze gegevens? Het is voor een bedrijf verplicht om datalekken op te nemen in een datalekregister. Gaat u hier zelf mee aan de slag, bekijk dan 10 tips voor professionele datalekregistratie van Autoriteit Persoonsgegevens.
De gevolgen van een datalek kunnen groot zijn. Persoonsgegevens kunnen worden verwijderd, gewijzigd of gedeeld, waarbij uw eigen bedrijf, samenwerkingspartners, klanten of medewerkers slachtoffer kunnen worden. Een datalek kan bijvoorbeeld leiden tot identiteitsfraude, reputatieschade of financiële schade.
Lees meer over:
Op zoek naar een passende oplossing voor uw bedrijf?
ZZP
Vodafone Business helpt ZZP-ers aan beveiliging voor mobiele telefoons.
MKB
Vodafone Business biedt MKB-ers uitgebreide beveiligingsmogelijkheden.
Grootzakelijk
Voor grootzakelijke klanten biedt Vodafone Business oplossingen op maat.