Datalek: alles wat je moet weten!
Sinds 2015 geldt in heel Nederland de meldplicht voor datalekken. Maar wat is dit nu precies? Wat houdt het in? Vanaf wanneer kunnen we dit woord in de mond nemen? En hoe kunnen we ons er tegen bewapenen? Lees verder en ontdek er alles over!
Wat is een datalek?
Wanneer derden persoonsgegevens in handen krijgen zonder dat ze daar toestemming toe hebben, spreken we van een datalek. Meestal is het onrechtmatig verkrijgen van gegevens een gevolg van een beveiligingsgsprobleem, maar het kan evengoed zijn dat gegevens gestolen werden en bewust gelekt werden. Andere oorzaken van dergelijk lek kunnen zijn: gegevens naar een verkeerd adres versturen, het kwijtspelen van de usb-stick waarop gegevens staan, een niet-geformatteerde computer verkopen, spionage door cybercriminelen,…
Kun je spreken van een datalek wanneer je bijvoorbeeld een projectbeschrijving van een bedrijf online zwiert? Nee, de wetgeving omschrijft heel duidelijk aan welke voorwaarden moet zijn voldaan vooraleer je hier van kunt spreken:
- Het gaat om persoonsgegevens. Dit wil zeggen dat het moet gaan om een natuurlijk persoon. Bedrijfsdata vallen hier niet onder;
- De persoon om wie het gaat moet identificeerbaar zijn. Wanneer niet duidelijk is om wie het gaat of wanneer de gegevens versleuteld of gecodeerd zijn, kun je niet spreken over datalekken;
- De gelekte gegevens worden verwerkt. Dit wil zeggen elke handeling die betrekking heeft tot de bewuste gegevens. Bijvoorbeeld: het vastleggen, verzamelen, bewerken, wijzigen, gebruiken, enzoverder.
Beveiligingslek vs. beveiligingsincident
Wanneer we het hebben over een lek in de beveiliging dan gaat het om een tekortkoming. Wanneer er geen gebruik wordt gemaakt van deze tekortkoming dan blijft het louter gaan om een beveiligingslek. Indien er wel gebruik wordt gemaakt van een tekortkoming in de beveiliging, dan gaat het niet langer om een beveiligingslek, maar om een beveiligingsincident. Het is echter niet enkel wanneer er zich tekortkomingen in de beveiliging voordoen dat er sprake is van een beveiligingsincident. Andere voorbeelden kunnen bijvoorbeeld zijn: een USB-stick die zoekraakt, een laptop die gestolen wordt, een hacker die inbreekt, een virus,…
Wanneer wordt een beveiligingsincident een lek?
Als er persoonsgegevens te pas kwamen aan het beveiligingsincident en er zijn gegevens verloren gegaan of er kan niet worden uitgesloten dat de gegevens omtrent personen zijn verwerkt of gebruikt, dan is er sprake van een lek in de data.
Meldplicht in Nederland
Sinds 2015 is er in Nederland meldplicht voor het lekken van data. Wanneer er sprake is van dergelijk lek, wil het niet meteen zeggen dat je verplicht bent dit te melden. Wanneer moet je dan wel melding maken? Dit moet pas vanaf het moment dat er negatieve gevolgen zijn voor de betrokken gegevens en de bescherming van de gegevens. Verder moet voldaan zijn aan de gegevens die beschreven werden in de eerste paragraaf.’
Bekende voorbeelden van datalekken
In 2013 werd het telefoonboek van het Human Resources-departement van het Belgisch leger gelekt. Dit ging niet louter om bedrijfsdata van het Belgisch leger, maar wel om persoonsgegevens aangezien het ging om individuele namen en hun telefoonnummers. De schuld werd gelegd bij een technische fout. Een jaar voordien werd door een menselijke fout gegevens van NMBS Europe gelekt. De gegevens waarover het ging, waren persoonlijke gegevens van klanten. Op wereldwijde schaal is het lek bij Sony in 2011 een van de bekendere. Computerpiraten hadden toen gegevens van meer dan 75 miljoen klanten gestolen. Deze gegevens hadden betrekking tot wachtwoorden, woonplaatsen, geboortedata en zelfs kredietkaartgegevens!
Het voorkomen van datalekken
Wat volgt is ict advies dat je kan helpen tot het bekomen van een ict oplossing om risico’s op datalekken tot een minimum te beperken en de veiligheid van de persoonsgegevens te garanderen:
- Ten eerste vereist de wet dat organisaties die persoonsgegevens verwerken dit alleen mogen doen volgens een strenge regelgeving. YourSafetyNet is software die bedrijven kan helpen bij het in orde brengen van een heel stuk van wat de wet voorziet;
- Verder kan je datalekken voorkomen door het versleutelen van belangrijke gegevens (encryptie). Wanneer de versleutelde gegevens onrechtmatig terechtkomen bij derden, is er niet meteen sprake van een lek aangezien de versleutelde gegevens onleesbaar zijn. Let hier bij wel op dat er rond deze encryptie goede afspraken dienen te worden gemaakt! De Autoriteit Persoonsgegevens kan het versleutelen van gegevens op zich zelf interpreteren als het verwerken van persoonsgegevens en bijgevolg bestempelen als een lek;
- Vervolgens dien je cloudopslagdiensten buiten de Europese Unie te vermijden. Binnen de EU gelden strenge richtlijnen, maar de Verenigde Staten nemen het minder nauw met privacy; Daarom staan NL-XS cloud diensten in Nederland opgeslagen!
Cybercriminelen en medewerkers
- Cybercriminelen gaan ver om persoonsgegevens in handen te krijgen. Er kan sprake zijn van spionage voor andere bedrijven. Ze stelen gegevens en verkopen informatie door. Dit kan veel geld opleveren. Het voorzien van een moderne firewall, het beveiligen van het netwerk en het zorgen voor up-to-date securitysoftware, is een must in elk bedrijf;
- Vaak zijn het onvoorzichtige medewerkers die het fenomeen van datalekken in de hand werken. Dit doen ze bijvoorbeeld door het laten rondslingeren van USB-sticks, kopiëren van gegevens, enzoverder. Werk daarom aan het bewustzijn bij het personeel. Zij zijn een belangrijke schakel in het bewaken van de veiligheid van allerhande data. Durf hen aan te spreken wanneer er nog maar een vermoeden is van onvoorzichtig omspringen met gegevens;
- Ten slotte kan het geen kwaad een noodplan voorhanden te hebben. In dit plan kun je beschrijven welke stappen dienen te worden ondernomen, mocht het toch misgaan. Bij dit laatste punt kan NL-XS ICT Consultancy u helpen.
Nog vragen?
Heb jij al te maken gehad met dit soort problemen? Wil je voorkomen dat dergelijke problemen zich bij jou (opnieuw) voordoen? Heb je nood aan ict advies en wil je meer informatie hieromtrent? Je kan ons altijd contacteren om de gepaste antwoorden te krijgen op al je vragen. Voor de gepaste ict oplossing ben je bij ons aan het goede adres!
Datalek melden kan je via officiele instanties o.a. Autoriteit Persoonsgegevens.
