• +32 (0)3 2 03 02 90
  • Contact
  • Support
  • Infoland community
  • Nederlands Nederlands Dutch nl
  • English English English en
  • Nederlands-België Nederlands-België Nederlands-België be
Infoland
  • Software
    • Integraal risicomanagement
    • Kwaliteitsmanagement
      • Documentmanagement
      • Incidentmanagement
      • Auditmanagement
      • Risicomanagement
      • iProva apps
  • Sectoren
    • Bouw
    • Industrie
    • Voedingsindustrie
    • Utility
    • Laboratoria
    • Farmacie
    • Transport & Logistiek
    • Zorg
  • Referenties
  • Inspiratie
  • Over ons
    • Servicedesk
    • Medewerkers
    • Vacatures
  • Gratis demo
  • Search
  • Menu
Deel dit stuk
  • Share on Facebook
  • Share on Twitter
  • Share on Linkedin
  • Share by Mail

België meldt steeds meer datalekken, maar u toch zeker niet?

Hoe zorgt u ervoor dat een datalek uw organisatie niet overkomt?

Dinsdag 22 oktober 2019 | Leestijd: 8 minuten | Silvie van de Haterd

In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG), ook bekend als GDPR, in werking getreden. Een belangrijk onderdeel van de AVG is de verplichting voor organisaties om te zorgen dat persoonsgegevens veilig opgeslagen worden én onbevoegden deze gegevens niet kunnen inzien. Een steeds groter wordend probleem hierbij is het fenomeen datalek. Het aantal gemelde datalekken is in  2018 in België toegenomen tot 449 sinds de invoering van de verordening. Vergelijken we dat met onze buurlanden is dit aantal echter zeer laag. In Nederland waren er in dezelfde periode 15.400 meldingen en in Duitsland  12.600. Dit komt waarschijnlijk omdat het nog niet geheel bekend is wat nu wel en niet gemeld moet worden als datalek. Wel kunnen we zeggen dat niemand zit te wachten op een datalek en al het gedoe wat daar ook nog eens bij komt kijken. Onze tips helpen u op weg om datalekken in uw organisatie zoveel mogelijk te voorkomen!

Wat is een datalek ook alweer?

U weet vast wel wat een datalek is. Heeft u  even een opfrisser nodig?

”Lees

Een datalek is, kort door de bocht, een gebeurtenis waarbij persoonsgegevens in verkeerde handen vallen of zouden kunnen vallen. Maar ook als de gegevens tijdelijk niet meer beschikbaar zijn of geheel verloren zijn gegaan, is dat een datalek. Dus een hack is net zo goed aan datalek als het verliezen van een USB-stick met klantgegevens. Zelfs als die USB-stick teruggevonden wordt en niet door iemand anders gebruikt is, moet het gemeld worden als datalek. Zelfs een computer die niet vergrendeld is als de gebruiker van de werkplek is, kan een datalek zijn. De schoonmaakster die niets met de klantgegevens te maken heeft, zou ze dan bijvoorbeeld wél in kunnen zien.

Oftewel, een datalek kan op verschillende manieren ontstaan en betreft vaak geen (kwade) opzet. Toch is een organisatie verantwoordelijk voor een datalek en kan er een boete opgelegd worden als blijkt dat er onvoldoende maatregelen zijn genomen om datalekken te voorkomen. Ondanks het hoogste aantal gemelde datalekken van de gehele EU, is Nederland wel een stukje verder op het gebied van cybersecurity. We kunnen dus nog wat leren van onze buren. Tijd om de veiligheid binnen uw organisatie onder de loep te nemen!

Updates uitstellen maakt de organisatie kwetsbaar

Updates komen vaak niet gelegen. Vooral in organisaties die 24/7 ‘aan’ staan, betekent een update dat het proces enige tijd stil komt te liggen. Tijd is geld, dus het is begrijpelijk dat dit niet voor elke update gedaan wordt. Helaas kunnen er dan wel situaties ontstaan waarbij er een kwetsbaarheid ontstaat in het netwerk. En hierdoor wordt het eenvoudiger voor onbevoegden om  binnen te komen.

Een recent voorbeeld is dat van de VPN verbindingen van Pulse Secure. In april brengt Pulse een belangrijke update uit nadat blijkt dat de beveiliging niet op orde is en iedereen vrij eenvoudig binnen kan komen op het netwerk van organisaties via een zwakte in de VPN verbinding. Helaas blijkt een half jaar later dat maar liefst 538 organisaties deze update nog niet hebben uitgevoerd. Zo ook KLM/Air France en Shell. Ook de Nederlandse Luchtverkeersleiding had zijn netwerk nog wagenwijd openstaan. We kunnen ons allemaal wel voorstellen wat er kan gebeuren als een kwaadwillende hier lucht van had gekregen…

De wijze les is dan ook om updates niet te lang uit te stellen. Tijd is geld en productie stilleggen komt nooit uit, maar als hackers binnenkomen door een beveiligingslek dat met een ‘simpele’ update voorkomen had kunnen worden, kost dat alleen maar meer (tijd, geld en imago)!

Weet wat u deelt

De tijd dat een organisatie een fileserver had (of één schijf met allemaal mappen) die voor iedereen binnen de organisatie vrij toegankelijk was, is inmiddels wel geweest. Ook alle medewerkers toegang geven tot alle mogelijke systemen binnen de organisatie, is niet langer ‘done’. Hetzelfde geldt voor gedeelde inloggegevens. Heeft iedereen altijd toegang nodig tot alle gegevens? We zien dat steeds meer organisaties zich daar bewust van zijn en daar maatregelen voor treffen. Toch zijn we er nog niet, informatiebeveiliging kan en moet bij veel organisaties nog beter!

Een documentmanagementsysteem biedt naast een centrale plek waar documenten opgeslagen kunnen worden ook de mogelijkheid om te bepalen wie welke documenten mag raadplegen. Daarnaast kunt u instellen dat er bijvoorbeeld een leesbevestiging verstuurd wordt en dat alleen specifieke personen (denk aan managers) bepaalde  documenten mogen bewerken.

Tot slot is ook het inlogproces voor systemen een punt van aandacht. U wilt dit niet onnodig moeilijk maken, maar u wil ook voorkomen dat er veel te makkelijk ingelogd kan worden. Denk aan oplossingen als multi-factor authentication waarmee een extra beveiligingsstap wordt ingebouwd en voorkomen wordt dat er ingelogd kan worden met enkel een wachtwoord.

Bescherm álle apparaten van uw medewerkers

U kunt aan alle kanten nog zoveel beveiligen, maar wat gebeurt er als een medewerker een laptop of telefoon verliest, of deze worden gestolen? Uiteraard zijn devices tegenwoordig steeds vaker beveiligd met wachtwoorden, pincodes, vingerafdrukken of gezichtsherkenning, maar niet iedereen gebruikt dit vrijwillig.

Het is dus goed om protocollen te hebben om dit soort zaken te regelen. Denk aan het afdwingen van een bepaalde vorm van toegangscontrole op eigen devices, als daarop bedrijfsgegevens geraadpleegd worden (zoals e-mail op een eigen smartphone). Maar ook het wissen op afstand van verloren of gestolen apparaten, het instellen van encryptie voor de harde schijf of de externe opslag als USB-sticks én de eerder genoemde multi-factor authentication, zijn zaken die u met devicemanagement kunt regelen.

Devicemanagement

De menselijke factor is een risicofactor

Een groot deel van de datalekken ontstaat door menselijk handelen. De top 3:

  • Verkeerde ontvanger van e-mailberichten
  • Verkeerd geadresseerde fysieke post
  • Verliezen smartphone met data

Deze laatste optie is nooit helemaal te voorkomen, maar de gevolgen kunnen wel beperkt worden met devicemanagement.

Maar ook de eerste twee zijn niet te voorkomen en daarvan zijn de gevolgen ook lastig te beperken. Een brief die eenmaal op de post is gegaan, is niet meer tegen te houden. En hoewel de meeste e-mailprogramma’s een ‘bericht intrekken’ functie hebben, werkt deze alleen als de mail nog niet op de server van de ontvanger is afgeleverd.

Is er dan helemaal niets wat u kunt doen? Natuurlijk wel! Met voorlichting en training kunt u de bewustwording van medewerkers verhogen, waardoor ze in ieder geval beter op de hoogte zijn van wat een bepaalde handeling voor gevolgen kan hebben.

Voorlichting en training stopt niet bij een eenmalige actie. Om het goed te laten landen, is de kracht van herhaling zeker aan te raden. Met  e-learning software kunt u op een laagdrempelige manier trainingen aanbieden die medewerkers op een voor hun passend moment kunnen volgen. Vervolgens kunt u middels een toets checken of de informatie voldoende is overgekomen.

Datalekken voorkomen is utopie

Ook al volgt u alle tips op en heeft u de informatiebeveiliging tot in de puntjes geregeld, dan nog is dat geen garantie dat er binnen de organisatie geen datalek meer zal voorkomen. Het is namelijk nooit helemaal te voorkomen omdat u nu eenmaal van verschillende factoren afhankelijk bent.

Wél kunt u zich er middels deze tips van verzekeren dat u al het mogelijke hebt gedaan om een datalek zoveel mogelijk te voorkomen (en de gevolgen zover mogelijk te beperken). Moet u toch een datalek melden? Dan kunt u in ieder geval aantonen dat u alles heeft gedaan om deze zo veel mogelijk te voorkomen en daar houdt de Gegevensbeschermigsautorisateit rekening mee in het bepalen van schuld en een eventuele boete.

Bent u benieuwd hoe de software van Infoland kan bijdragen aan het voorkomen van datalekken binnen uw organisatie? Neem dan eens contact op met onze experts.

Dit vindt u wellicht ook interessant:

25 May 2020/by Sammy Gerhard

Integraal Risicomanagement: kan uw organisatie nog zonder?

HACCP analyse
27 April 2020/by Silvie van de Haterd

Zo maakt u een goede HACCP gevarenanalyse!

10 April 2020/by Koen Croonen

Veilig werken doet u samen! Ervaart u fysieke én psychologische veiligheid?

Meertaligheid
31 March 2020/by Silvie van de Haterd

Taal en veiligheid gaan vaak niet hand in hand

Wat weegt zwaarder
24 February 2020/by Silvie van de Haterd

Veiligheid of compliance, wat weegt zwaarder voor uw organisatie? [Tips]

Contact

Infoland BVBA
Diamantstraat 8/274
2200 Herentals
+32 (0)3 203 02 90
steluwvraag@infoland.be

   

Bedrijf

Vacatures
Nieuwsbrief
Infoland Community

Privacyverklaring

 

Recente berichten

  • Nieuwe medewerkers in coronatijd, hoe gaat u daar mee om?
  • Goed voorbereid een externe audit in, hoe doet u dat?
  • Kwaliteit in de zorg, welke norm kiest u?
© Infoland BVBA 1998-2020
15 jaar incidentanalyse in de Nederlandse chemische industrie De risico’s van de toekomst kunt u nu al voorkomen!
Scroll to top