4 tips om de impact van datalekken op jouw bedrijf te verkleinen

De Autoriteit Persoonsgegevens publiceerde vorige week een rapportage over datalekken in 2021. In dat jaar waren er bijna 25.000 datalekmeldingen. 

In dit artikel geef ik je een paar tips om ervoor te zorgen dat je de impact van een datalek bij jouw bedrijf kunt verkleinen.

Phishing, hacking en malware

Opvallend in het rapport is de stijging van het percentage meldingen dat het gevolg was van een cyberaanval. Bij een cyberaanval kun je denken aan een hack, phishing of malware. Van alle meldingen was 9% het gevolg van een cyberaanval. 

Misschien denk je: 9% is toch niet héél veel? Wel als we er getallen aan gaan hangen.

7 miljoen slachtoffers

Neem jij software af bij een IT leverancier? Dan is het belangrijk om na te gaan of je goede afspraken hebt gemaakt over het melden van datalekken. Dit soort afspraken leg je vast in een verwerkersovereenkomst. Je legt dan vast binnen hoeveel tijd de IT leverancier een datalek bij jou als klant moet melden.

IT leveranciers zijn namelijk steeds vaker doelwit van cyberaanvallen. Alleen al als gevolg van cyberaanvallen bij IT leveranciers zijn er gegevens van maar liefst minimaal 7 miljoen personen betrokken geraakt bij datalekken.

En die slachtoffers: dat zijn klanten van hun klanten. Oftewel: als jij in jouw bedrijf software afneemt bij een IT leverancier en er vindt daar een cyberaanval plaats, dan zijn het vaak de persoonsgegevens van jouw klanten die daarbij betrokken zijn.

Als een IT leverancier wordt getroffen door een cyberaanval waarbij persoonsgegevens zijn betrokken, informeren zij hun klanten (jij als afnemer van de software). Zij laten hun klanten weten wat er is gebeurd. Vervolgens moet je als klant zijnde zelf een melding doen bij de Autoriteit Persoonsgegevens. Jij bent namelijk de verwerkingsverantwoordelijke ten aanzien van de gegevens die zijn betrokken bij de cyberaanval.

Welke gegevens zijn er betrokken?

Het is dan ook van belang dat je als verwerkingsverantwoordelijke zelf inzicht hebt in welke gegevens je hebt opgeslagen in het softwaresysteem van deze leverancier.

Dat inzicht krijg je voor jezelf door een verwerkingsregister bij te houden. Op die manier heb je, zodra je melding krijgt van een datalek, snel inzicht in de betrokken gegevens en kun je snel melding doen van het datalek (dat moet namelijk binnen 72 uur nadat jij wist van het lek). 

Verminderen en opschonen

In het verwerkingsregister staan ook de bewaartermijnen van alle gegevens. Dit helpt je om op tijd gegevens te kunnen opschonen, waardoor je niet onnodig veel informatie opslaat. 

Een uitgangspunt van de AVG is dataminimalisatie. Dat houdt in dat je niet meer persoonsgegevens dan dat je echt nodig hebt verzamelt én dat je ervoor zorgt dat persoonsgegevens worden gewist als de bewaartermijn is verstreken. 

Hoe minder gegevens je hebt, hoe minder gegevens er betrokken zullen zijn bij een datalek. Dat geeft weer een iets rustiger gevoel 😉 

Vier tips

Dit is wat jij concreet kunt doen om de impact van een datalek op jouw bedrijf te verkleinen:

  1. Zorg voor een goede verwerkersovereenkomst met leveranciers van software die jij gebruikt.
  2. Zorg ervoor dat je verwerkingsregister up to date is.
  3. Verzamel alleen gegevens van klanten die je echt nodig hebt.
  4. Verwijder alle gegevens op tijd.

Hulp nodig?

Wil je graag aan de slag om de impact van een eventueel datalek op jouw bedrijf te verkleinen?

Neem Contact met mij op!

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *