Je hoopt het nooit mee te maken, maar toch gebeurt het vaker dan je denkt: een datalek. Afgelopen jaar werden maar liefst 9.800 datalekken gemeld bij de Autoriteit Persoonsgegevens. Een datalek zit dus in een klein hoekje. En als data gelekt wordt, brengt dat risico’s met zich mee. Niet alleen kunnen er juridische gevolgen zijn, maar ook levert het vaak reputatieschade op.

Toch komen veel bedrijven pas in actie als gegevens al gelekt zijn. Terwijl een duidelijke procedure én goede preventieve beveiliging veel ellende kunnen voorkomen. In deze blog vertellen we wat een datalek is, welke stappen je moet zetten als jouw bedrijf hiermee te maken krijgt en hoe je datalekken voorkomt.

 

 

Wat is een datalek?

Volgens de Autoriteit Persoonsgegevens (AP) is er sprake van een datalek wanneer persoonsgegevens in handen vallen van personen die daar geen toegang toe zouden mogen hebben. Dat kan gebeuren wanneer een website gehackt wordt, maar ook door menselijke fouten. Denk aan:

• Een e-mail met persoonsgegevens die naar de verkeerde ontvanger wordt gestuurd

• Het verliezen van een laptop of ander apparaat waarop klantdata staan

• Medewerkers die tóch toegang hebben tot informatie terwijl dat niet de bedoeling is

Persoonsgegevens zijn bijvoorbeeld namen, adressen, telefoonnummers of e-mailadressen. Maar er bestaat ook een categorie bijzondere persoonsgegevens. Dit zijn bijvoorbeeld gegevens over iemands gezondheid, politieke voorkeur, ras, religie of seksuele geaardheid. Wanneer deze bijzondere persoonsgegevens lekken, zijn de gevolgen extra groot en moet je het lek vrijwel altijd melden.

 

 

Wanneer moet je een datalek melden?

Zodra je ontdekt dat persoonsgegevens zijn gelekt, is het cruciaal om snel en zorgvuldig te handelen. De eerste stap is het vaststellen wát er precies is gelekt. Gaat het om gewone persoonsgegevens of bijzondere? Hoeveel mensen zijn getroffen? En is er daadwerkelijk toegang geweest door onbevoegden?

Die analyse bepaalt of er een meldplicht geldt. Hieronder hebben we een kort overzicht gemaakt over wanneer je moet melden, maar voor alle informatie kan je terecht op de pagina van de AP over datalekken melden.

 

Geen persoonsgegevens gelekt

Melden bij AP: ❌
Gebruikers informeren: ❌

 

Wel persoonsgegevens gelekt, risico's minimaal

Melden bij AP:  ✔️ mogelijk
Gebruikers informeren: ❌

 

Persoonsgegevens gelekt met gevolgen voor betrokkenen (bijv. idententiteitsdiefstal)

Melden bij AP: ✔️ verplicht
Gebruikers informeren: ✔️ verplicht

 

Bijzondere persoonsgegevens gelekt

Melden bij AP: ✔️ verplicht
Gebruikers informeren: ✔️verplicht

 

Het informeren van klanten is dus vaak verplicht. Hoeveel reputatieschade dat oplevert hangt af van de situatie, maar zoals je zelf niet blij wordt als je een e-mail ontvangt dat jouw gegevens mogelijk in verkeerde handen zijn beland, geldt dat voor je klanten net zo goed.

 

 

Datalek ≠ beveiligingslek

Er is een belangrijk verschil tussen een beveiligingslek en een datalek. Een beveiligingslek betekent niet automatisch dat er ook gegevens gelekt zijn. Je kunt het vergelijken met het per ongeluk niet op slot doen van je auto: het is risicovol, maar zolang er niemand instapt, is er niets gestolen.

Hetzelfde geldt voor software. Wordt ontdekt dat een stukje code een kwetsbaarheid bevat, maar staat vast dat er geen ongeautoriseerde toegang is geweest? Dan is er géén sprake van een datalek. Het probleem moet natuurlijk wel zo snel mogelijk worden opgelost om te voorkomen dat het alsnog misgaat.

Een goed voorbeeld is de Shai-Hulud*-kwetsbaarheid in de NPM-supply chain. De aanval zorgde ervoor dat onderliggende wachtwoorden voor services gelekt en geüpload zouden worden als er een Github account token gevonden was. Maar als dat niet het geval was, dan was er dus geen risico op een datalek en konden bedrijven aantonen dat er géén toegang tot persoonsgegevens waren geweest. Zij hoefden het incident dus niet als een datalek te melden.

* Voor de fans van fantasyreeks Dune zal deze naam bekend klinken. De Shai-Hulud is een enorme zandworm en dus een passende naam voor een ‘worm’-virus.

 

 

Voorkomen is beter dan genezen

De grootste kostenpost van een datalek is vaak het verlies van gebruikersvertrouwen. En dat win je niet zomaar terug. Preventie is daarom essentieel. En gelukkig kun je hier als organisatie zelf veel in betekenen.

 

Een sterk beveiligingsbeleid bestaat uit:

• Schone en veilige code. Software moet worden ontwikkeld door mensen met verstand van security.

• Regelmatige veiligheidschecks. Werkt alle code nog zoals bedoeld?

• Actief onderhoud en updates. Verouderde software is een garantie voor problemen.

• Het in de gaten houden welke beveiligingslekken dagelijks aan het licht komen. Mocht het jouw website beïnvloeden, dan ben je er direct bij.

• Een duidelijk plan van aanpak in geval van een datalek. Als er iets misgaat, kun je direct handelen en houd je de negatieve impact zo klein mogelijk. Sowieso is het volgens de AVG ook verplicht om een intern datalekregister bij te houden.

Een datalek kan iedere organisatie treffen: mkb’ers, startups, stichtingen en multinationals. In veel gevallen wordt het risico onderschat totdat het te laat is. Maar door een goede voorbereiding kun je veel schade voorkomen. Beveiliging biedt geen absolute garanties, maar als er toch een datalek ontstaat, kun je laten zien dat je er alles aan hebt gedaan om het te voorkomen.

Wil je weten of jouw website gevoelig is voor datalekken en heb je graag dat iemand meedenkt over manieren om datalekken te voorkomen? Neem dan contact met ons op voor een (online) kopje koffie. Mailen kan naar info@parrott.nl.