Een datalek kan iedereen overkomen. Zelf als oplettende informatiebeveiliger ben ik ook een keer de mist in gegaan door gewoon te snel te klikken bij het automatisch invullen van email adressen. Gelukkig ging het hier niet om persoonsgegevens, maar om projectinformatie van een klant. Weinig impact dus, maar ik had wel wat uit te leggen.
Wanneer kun je nu spreken over een datalek. Feitelijk gaat het om het vernietigen, verlies, wijziging of delen van persoonsgegevens zonder dat dit de bedoeling was. Naast dat het mij is overkomen, gebeurt het ongemerkt heel vaak: In 2019 heeft de Autoriteit Persoonsgegevens (AP) meer dan 27.000 meldingen van datalekken ontvangen. In 2018 waren dit nog ‘maar rond de 20.000’ en het jaar daarvoor rond de 10.000.
De meest voorkomende oorzaak van een datalek is het per ongeluk delen van persoonsgegevens of andere vertrouwelijke data met de verkeerde ontvangers. Bijvoorbeeld door het versturen van een mail naar de verkeerde ontvanger door een typefout of zoals bij mij gebeurde: het accepteren van automatisch invullen van email adressen.
Als je het dan toch overkomt, wat dan?
Hierbij is het van groot belang dat je snel handelt. Hoe sneller je handelt, hoe beter je de schade kunt beperken voor de betrokkenen, maar natuurlijk ook voor jezelf of je organisatie. Op de website van de Autoriteit Persoonsgegevens staan praktische tips hoe te handelen in het kader van de AVG privacy wet.
Vanuit SBL Cybersecurity geven we hier de vijf belangrijkste tips:
- Zorg voor inzicht en overzicht
Probeer zo snel mogelijk inzicht te krijgen wat er is gebeurd. Welke informatie is gelekt, wie heeft er toegang gehad tot deze data, wat is de omvang van het datalek. De meeste datalekken vinden plaats door het delen van bestanden met de verkeerde personen. Het is daarom belangrijk om de logging bij te houden van wie heeft op welke tijdstip toegang gehad tot welk bestand/ folder en wat heeft die persoon met dit bestand gedaan. Op basis van dit inzicht en overzicht kan je bepalen wat de vervolgacties kunnen zijn
- Beperk de schade
Op basis van het inzicht en overzicht kan je heel gericht maatregelen treffen om de gevolgschade te beperken. Bijvoorbeeld door contact op te nemen met de “verkeerde ontvanger” om te vragen of hij/zij de informatie wil verwijderen. Of zorgdragen dat het bestand verwijderd wordt van een folder die gedeeld wordt met anderen. Of het bestand verwijderen van de cloud locatie
- Indien noodzakelijk melden datalek bij Autoriteit Persoonsgegevens
De meldplicht datalekken houdt in dat organisaties, zodra zij een ernstig datalek hebben, dit direct moeten melden bij de AP. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt). Op de website van de AP staat precies uitgelegd wanneer je een datalek moet melden, daarnaast worden er een aantal voorbeeldsituaties uitgelegd
- Informeren betrokkenen
Indien je het datalek hebt gemeld aan de AP, dan moet je mogelijk ook de betrokkenen informeren. De criteria hiervoor staan ook op de website van de AP. Indien er bijvoorbeeld gebruikersnamen, emailadressen en wachtwoorden zijn gelekt, dan is het belangrijk om dit direct te melden aan de betrokkenen, zodat zij direct hun wachtwoord kunnen wijzigen.
- Registreer de datalek in een register
Het is belangrijk om goed overzicht te hebben van de datalekken die er hebben plaatsgevonden. Zorg ervoor dat elke datalek wordt geregistreerd. Neem hierin mee de oorzaak, de gevolgen en de mogelijke maatregelen die er zijn getroffen.
Conclusie:
Het afhandelen van een datalek is dus vooral het zorgdragen voor de noodzakelijke organisatie en procedures. SBL Cybersecurity kan zeker helpen bij het verkrijgen van inzicht en overzicht met onze File audit oplossing. Concreet komt het er hier op neer:
- Een afdelingsmanager of proceseigenaar krijgt periodiek (per maand of per kwartaal) een mail met een overzicht van de autorisaties waar hij/zij verantwoordelijk voor is. Dus alle rechten van groepen en gebruikers op fileshares, folders en sharepoint sites (online en on-premise). Op basis van dit overzicht kan hij/zij controleren op juistheid en volledigheid en bijsturen waar nodig om te zorgen dat er niet teveel rechten zijn uitgedeeld
- Een afdelingsmanager of een andere functionaris kan files of folders selecteren waarvan hij/zij wil weten wie er de afgelopen tijd allemaal toegang toe hebben gehad, welke actie men heeft uitgevoerd en de bijbehorende timestamps. Vervolgens krijgt hij/zij een PDF met een rapport waar het allemaal is weergegeven. In het geval van een datalek incident levert deze informatie dus het noodzakelijk inzicht en overzicht om te kunnen handelen.