• Home
  • Hoe slim, snel en juist te handelen bij een datalek?

Hoe slim, snel en juist te handelen bij een datalek?

Datalekken. Alleen het idee al dat bedrijfs- of privacygevoelige informatie op straat komt te liggen na een ongeluk of aanval, is genoeg om de werkende man maagzuur te bezorgen. Nederland loopt sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG, in het Engels: GDPR) voorop in Europa als het gaat om het melden van datalekken: 15.400. Het lijkt erop dat (on)opzettelijke datalekken, hacking en phishing in onze alsmaar digitaliserende wereld tot het nieuwe normaal gaat behoren.

Daarom is het maar het beste om zo goed mogelijk voorbereid te zijn, om databreuken zoveel mogelijk te voorkomen en wanneer deze zich toch hebben voorgedaan, de schade zoveel mogelijk te beperken. Ieder bedrijf of overheidsorganisatie die grote persoonlijke datavolumes verzamelt, opslaat en verwerkt, krijgt te maken met vier fundamentele vragen wanneer er sprake lijkt van een databreach. Indien er een plan klaarligt om de klap op te vangen, blijft de reputatieschade beperkt en kan de organisatie sterker uit de strijd komen. Maar als eerste moet de vraag gesteld worden:

 0087 - Data Leak General Use

1. Is het wel een datalek?

Dat is namelijk niet automatisch het geval. Volgens de AVG is er pas sprake van een datalek wanneer persoonlijke gegevens in de handen vallen van derden die geen toegang tot die data zouden mogen hebben. Bijvoorbeeld wanneer persoonsgegevens verloren gaan zonder dat er een back-up is. Of er een uitgeprinte klantenlijst is gestolen en afgedankte computers of verloren usb-sticks niet goed zijn schoongemaakt.

 

Maar illegaal verkregen bedrijfsgegevens over een marktstrategie of productieproces vallen niet onder de definitie van de AVG. Dat geldt ook wanneer je je telefoon verliest, of deze nou privé of van het werk is, tenzij er zakelijke communicatie en – contactgegevens op staan die derden niet mogen inzien. Nadat er is vastgesteld dat er inderdaad sprake is van een datalek is de volgende vraag:

 

2. Welke stappen nemen we nu?

Na de ontdekking van het lek is het van belang om snel te handelen. Alle zeilen moeten worden bijgezet om in te schatten wat de omvang van de schade is. Als het probleem de IT- en juridische afdelingen te boven gaat, kan het bedrijf maar beter specialisten van buitenaf inschakelen. Een deskundige en betrokken werkgroep zit bovenop de situatie om de breuk te monitoren en af te handelen. Alle acties en gebeurtenissen worden in een logboek bijgehouden. Voor zover mogelijk moeten alle data en bewijs, zoals de logfiles van de servers, worden veiliggesteld.

En het belangrijkste, zoals verplicht door de AVG en stevig gehandhaafd door de Autoriteit Persoonsgegevens: het lek moet worden gemeld aan de juiste autoriteiten. Wanneer het datalek mogelijk een hoog risico inhoudt voor de direct betrokkenen, moeten ook zij geïnformeerd worden. 

 

3. Wie moeten we informeren? 

Wanneer het datalek is ontdekt, moet dit binnen 72 uur gemeld worden bij het Meldloket datalekken van Autoriteit Persoonsgegevens. In deze melding moet vermeld worden wat voor type breuk het is, wat de omvang en categorieën zijn van de personen die direct geraakt zijn, om welke persoonsregisters het gaat en wat de waarschijnlijke gevolgen van het datalek zijn. De organisatie moet ook melden wie de verantwoordelijke is voor de gegevensbeveiliging (bijvoorbeeld de Data Protection Officer) en bij wie meer informatie kan worden opgevraagd. Ten slotte moet ook worden aangegeven wat de maatregelen zijn die de organisatie neemt om de gevolgen van de breuk aan te pakken, ter beperking van de nadelige gevolgen.

Het is verleidelijk om een databreuk binnenshuis te houden om publicitaire schade te voorkomen. Maar dit is ten sterkste af te raden, want bij ontdekking kunnen zeer hoge boetes volgen. En de reputatieschade wanneer een gebruiker het lek zelf ontdekt, is meestal vele malen groter. Daar staat tegenover dat, wanneer een organisatie aantoont dat het goed is voorbereid op een databreuk en in vroeg stadium stevige maatregelen heeft genomen, het meer vertrouwen inboezemt en sterker uit de crisis komt.

4. En hoe bereiden we ons dan het beste voor?

Waar het bij veel organisaties aan ontbreekt is een goed overzicht van hoeveel en welke gegevens het in huis heeft. Als gevolg kost het na de ontdekking van een datalek enorm veel tijd, geld en energie om precies vast te stellen wat de omvang is van de breuk, wie er direct getroffen zijn en op de hoogte gesteld moeten worden en welke maatregelen het moet nemen om de situatie op te lossen. Met andere woorden, de organisatie moet opnieuw grip krijgen op haar eigen data.

Maar met de laatste technieken kunnen IT- en bedrijfsmanagers eenvoudig antwoord krijgen op alle belangrijke vragen: wie, wat, waar, wanneer, waarom, hoe en hoeveel. Zo kunnen met de software van ZyLAB ONE alle documenten en email conversaties inclusief bijlagen binnen enkele momenten worden uitgepakt, gecategoriseerd en opgeslagen. Met tekst mining, statistische klassificatie en natuurlijke taalverwerking wordt alle data tot op diep niveau doorzoekbaar gemaakt; en met data science en kunstmatige intelligentie kunnen persoonlijke gegevens automatisch uit de documenten worden geselecteerd, geclusterd en waar nodig geanonimiseerd.

 

eDiscovery

Sinds mei 2018 biedt ZyLAB’s ONE eDiscovery een SaaS-oplossing voor gegevensopslag die volledig AVG-compliant is. Door gebruik te maken van de nieuwste beveiligings- en versleutelingsstandaarden is deze oplossing vele malen kosteneffectiever dan iedere mogelijke investering in lokale dataopslag. Nieuwsgierig? Download hier de whitepaper over privacy en persoonlijke data in het tijdperk van de AVG, of lees meer over de meest geavanceerde technieken die eDiscovery te bieden heeft