Zijn klantgegevens bij u in veilige handen? Dit is bij veel bedrijven niet het geval. Hoe zorgt u ervoor dat de privacy van klanten niet in het geding komt?
Door de digitalisering van uw dienstverlening beschikt u over steeds grotere hoeveelheden persoonsgegevens. Klanten laten bijvoorbeeld NAW-gegevens, creditcardnummers, medische data, burgerservicenummers en zelfs informatie over hun privéleven achter in mijnomgevingen en op digitale fora. Als dienstverlener heeft u de morele én wettelijke verplichting om die gegevens en daarmee de privacy van uw klant goed te beschermen.
Pijnlijke lekken
Met die bescherming gaat het echter regelmatig mis. Forbes schat dat alleen al in de eerste helft van dit jaar 4,1 miljard records met persoonsgegevens uitlekten. De cijfers van de Autoriteit Persoonsgegevens zijn al even alarmerend. De privacywaakhond ontving gedurende de eerste zes maanden van 2019 bijna 12.000 meldingen van datalekken.
Zo’n incident kan voor de betrokkenen uiterst pijnlijk zijn, zeker als daarbij gegevens op straat belanden die echt privé zijn en moeten blijven. Zo maakte een hacker recent de accountgegevens buit van het prostitutieforum Hookers.nl en bood deze te koop aan. In veel gevallen zijn uit de gegevens echte namen te herleiden. Niet prettig voor gebruikers die zich anoniem waanden.
Datalekken zijn overigens lang niet altijd het gevolg van grootschalige aanvallen door kwaadaardige hackers. Vaker gaat het om fouten door werknemers. Zo werden bij het Centraal Bureau Rijvaardigheidsbewijzen (CBR) onderzoeken van specialisten, formulieren van huisartsen, adresgegevens en burgerservicenummers aan de verkeerde dossiers toegevoegd.
Tips
Wat kunt u als bedrijf doen om datalekken te voorkomen? We geven een aantal tips:
1. Inventariseer
Het is misschien een open deur, maar daarmee niet minder waar: als u niet weet welke gegevens u in huis heeft, kunt u ze ook niet beschermen. Breng daarom goed in kaart welke gevoelige gegevens extra aandacht nodig hebben. Maar verwijder ook de gegevens die u niet meer nodig heeft. De Algemene verordening gegevensbescherming (AVG) noemt dit ‘dataminimalisatie’.
2. Beperk de toegang
Zorg ervoor dat alleen de juiste personen toegang hebben tot persoonsgegevens. Dit betekent dat u zekerheid heeft over de identiteit van de personen die gegevens raadplegen, en dat die personen ook zijn geautoriseerd om gegevens te bekijken. Dit regelt u met een oplossing voor identity and access management (IAM).
3. Beveilig de data
Vanuit de privacywetgeving is encryptie een van de belangrijkste beveiligingsmaatregelen. Denk hierbij aan de versleuteling van wachtwoorden die daardoor onleesbaar worden. Dit was ook de redding voor de bezoekers van Hookers.nl. Zonder versleuteling had de hacker niet alleen de accountgegevens buit kunnen maken, maar ook toegang gekregen tot de accounts.
4. Patch, patch, patch
Leveranciers van software stellen regelmatig patches beschikbaar voor kwetsbaarheden in hun software. De hack bij Hookers.nl bewijst maar weer hoe belangrijk het is om die patches direct uit te rollen. De aanvaller maakte gebruik van een lek in de populaire forumsoftware vBulletin.
5. Weet wat er gebeurt
Een cybercrimineel die ongewild toegang heeft tot uw netwerk laat sporen achter. Met monitoring van de verkeersstromen, applicaties en andere netwerkactiviteiten detecteert u die sporen. Afwijkende patronen in bijvoorbeeld de verkeersstromen vallen dan direct op.
6. Train de securityawareness
In veel gevallen is een datalek het directe gevolg van een menselijke fout. Fouten zijn nooit helemaal uit te sluiten, maar het helpt wel als medewerkers zich bewust zijn van de mogelijke gevolgen van een verkeerde handeling. Periodieke awarenesstrainingen vergroten dat bewustzijn.
Meer weten
Whitepaper: 'Basisbeveiliging'
Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.
Download