Wat te doen bij een datalek?

Als je bedrijf of organisatie te maken heeft met gevoelige, beschermde of vertrouwelijke gegevens, is een voorzichtige omgang hiermee belangrijk. De kans bestaat namelijk dat deze informatie bedoeld of onbedoeld in handen valt van derden. Zodra dergelijke gegevens worden gekopieerd, verzonden, bekeken, gestolen of gebruikt door een persoon die daar geen toestemming voor heeft, heb je te maken met een datalek.

Hoe ontstaat een datalek?

Een datalek kan ontstaan als gevolg van;

  • een beveiligingsprobleem waardoor cybercriminelen toegang krijgen tot zakelijke computerbestanden met persoonsgegevens, financiële informatie of bedrijfsgeheimen;
  • een zakelijke e-mail die naar een verkeerd adres is verzonden;
  • zakelijke laptops en usb-sticks die gestolen of verloren worden;
  • afgedankte zakelijke computers, smartphones en tablets die worden doorverkocht en niet schoongemaakt zijn.

 

Omgaan met gevoelige gegevens

Veel datalekken ontstaan ook doordat interne medewerkers slordig omgaan met gevoelige gegevens of niet weten dat de informatie mogelijk interessant is voor een derde partij. Omdat het niet mogelijk is alle informatie binnen je werkomgeving te beschermen, is het raadzaam te inventariseren welke informatie gevoelig is en daar vervolgens voorzichtig mee om te gaan. Dit kun je doen door dergelijke informatie bijvoorbeeld niet te delen met iedereen binnen de organisatie en de personen die hier voor hun werkzaamheden mee om moeten gaan op te leiden. Wanneer een medewerker op de hoogte is van de soort informatie waar hij/zij mee werkt en waarom het belangrijk is hier voorzichtig mee om te gaan, dan verkleint dat de kans dat er fouten worden gemaakt of slordig wordt omgegaan met gevoelige gegevens.

Meldplicht datalek

Als je een datalek hebt geconstateerd moet je dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Dat kan je doen bij het meldloket datalekken.

Tips voor het voorkomen van een datalek

Voorkomen is beter dan genezen. Hoe zorg je ervoor dat er geen data lekken uit jouw bedrijf of organisatie? Lees welke maatregelen je kunt treffen om de kans te verkleinen.

Zitten jouw inloggegevens in een datalek?

Het kan zijn dat een e-mailadres van jou of je bedrijf onderdeel zijn geweest van een datalek dat ooit heeft plaatsgevonden bij een webshop, social media platform of ransomware- aanval op een bedrijf. Opsporingsdiensten en security onderzoekers achterhalen soms lijsten met gestolen inloggegevens en stellen dan hun databases beschikbaar zodat je kunt achterhalen of jouw e-mailadres met mogelijk bijbehorende persoonsgegevens ooit in handen van onbevoegden is gekomen.

Nieuwsgierig? Neem de proef op de som en raadpleeg de volgende databases met gestolen gegevens.

No More Leaks

No More Leaks is een project van de politie waarbij gelekte inloggegevens uit eerdere datalekken, op een versleutelde manier gedeeld worden met bedrijven die deelnemen aan het project. Klanten van deze bedrijven krijgen een verzoek om hun inloggegevens aan te passen als deze voorkomen op de door de politie gedeelde lijsten van inloggegevens uit datalekken. Hierdoor voorkomen de politie en de bedrijven dat cybercriminelen met eerder gelekte wachtwoorden kunnen inloggen op de bedrijfsaccounts van de klanten van de deelnemende bedrijven. Je kunt met jouw bedrijf gratis deelnemen aan dit project om zo misbruik van jouw klantenaccounts tegen te gaan.

Check je hack

De politie neemt tijdens het bestrijden van cybercriminaliteit soms datasets in beslag waarin buitgemaakte inloggegevens kunnen staan. Om schade te voorkomen, kun je op de website van de politie controleren of jouw inloggegevens in de inbeslaggenomen datasets staan. Als je e-mailadres voorkomt in de datasets, krijg je een e-mail met uitleg van de politie over hoe je de eventuele malware kunt verwijderen.

Zijn jouw inloggegevens gelekt?

De kans is reëel dat jouw gegevens ooit een keer gestolen of gelekt zijn bij een hack van een bedrijf waar je klant bij bent. Dat maakt je een gemakkelijker doelwit voor phishing of online fraude. Daarom is het zinvol om wat maatregelen te nemen.

De stappen die moet ondernemen als jouw data gelekt zijn, zijn erg afhankelijk van welke data gelekt is. Zitten jouw inloggegevens in een datalek? Onderneem dan deze stappen:

  1. Welke data zijn gelekt?

    Verifieer via officiële kanalen met het 'lekkende' bedrijf of jouw gegevens daadwerkelijk zijn gelekt en zo ja welke gegevens er gelekt zijn.
    Als er sprake is van misbruik van jouw persoonsgegevens (bijvoorbeeld een telefoonabonnement op jouw naam), dan kun je dit melden bij het Centraal Meldpunt Identiteitsfraude (CMI). Als er nog geen misbruik is gemaakt van jouw persoonsgegevens, dan hoef je geen melding bij het CMI te doen.
    Is er een kopie van je identiteitsbewijs gelekt? Dan kun je overwegen om uit voorzorg een nieuw identiteitsdocument aan te vragen bij je gemeente.

  2. Verander je inlog

    Als jouw inloggegevens gelekt zijn, verander dan snel jouw wachtwoord bij dit bedrijfsaccount. Let op! Als je dit wachtwoorden ook gebruikt bij andere accounts, moet je het daar ook veranderen!
    Gebruik in het vervolg nooit meer hetzelfde wachtwoord voor verschillende accounts. Cybercriminelen gebruiken namelijk de buitgemaakte inloggegevens uit datalekken op andere accounts in de hoop dat jij jouw wachtwoorden hergebruikt hebt.

  3. Wees alerter dan normaal

    In de periode na de datalek kunnen cybercriminelen proberen om de buitgemaakte persoonsgegevens of data te gebruiken om bijvoorbeeld hun phishing e-mails, helpdeskfraude of factuurfraude overtuigender te maken. Wees hierop extra alert.

Gehackt account?

Is jouw account overgenomen door cybercriminelen na een datalek? Lees dan snel wat je moet doen om je gehackte account te herstellen.

Datalek vanuit jouw bedrijf?

Bij een datalek vanuit jouw bedrijf of organisatie adviseert de Autoriteit Persoonsgegevens (AP) om de volgende stappen te nemen:

  1. Zorg voor overzicht op de situatie.
  2. Neem onmiddellijk maatregelen om het datalek te stoppen en de schade van het datalek te beperken. Schat daarbij ook de risico's in.
  3. Bepaal of het datalek wel of niet gemeld moet worden bij de AP. Zo ja, doe dit dan onmiddellijk.
  4. Bepaal of je de slachtoffers wel of niet moet informeren over het datalek. Zo ja, doe dit dan zo snel mogelijk.
    Wil je meer informatie hoe je werknemers/klanten kunt informeren over (mogelijke) identiteitsfraude? Neem dan contact op met het CMI via de Rijksdienst voor Identiteitsgegevens (RvIG)
  5. Registreer het datalek in je interne datalekregister.

Lees uitgebreid wat de stappen inhouden en welke acties hierbij horen op de website van de Autoriteit Persoonsgegevens.

De AVG

Er kan bij een datalek sprake zijn van overtreding van de Algemene Verordening Gegevensbescherming (AVG). Toezichthouder de AP kan je bedrijf of organisatie dan een boete opleggen. Binnen de AVG kan er bij een datalek ook een meldplicht gelden.

 

Trek lessen en verbeter de processen

Na het afhandelen van het datalek is het belangrijk om maatregelen te nemen om te voorkomen dat (soortgelijke) datalekken opnieuw kunnen plaatsvinden. Inventariseer welke nieuwe maatregelen genomen moeten worden of welke bestaande processen aangepast moeten worden. Daarnaast is het belangrijk om lessen te trekken uit het ontstaan, de ontdekking en afhandeling van het datalek.