Je bedrijf wapenen tegen cybercriminaliteit: hoe doe je dat?

Je bedrijf wapenen tegen cybercriminaliteit: hoe doe je dat?

Redactie Baaz

Volgens voormalig FBI-directeur Robert Mueller zijn er twee soorten bedrijven: bedrijven die door hackers zijn overvallen en bedrijven die dat nog moet overkomen.

Vaak merken bedrijven pas na maanden dat er in hun computers is ingebroken. Vaak gaat het om persoonsgegevens, privacygevoelige informatie. Best shocking dat het eerder de vraag is wanneer het gebeurt, dan of het gebeurt.

Adressenbestand

Bijna iedere ondernemer beschikt over persoonsgegevens. Houd je een adressenbestand van klanten bij? Dan verwerk je al persoonsgegevens. Zorg dus dat deze goed afgeschermd zijn voor anderen. Sinds 1 januari 2016 zijn bedrijven die persoonsgegevens verwerken, verplicht een ernstig datalek te melden bij de Autoriteit Persoonsgegevens. De meldplicht geldt voor alle bedrijven, overheden en andere organisaties die persoonsgegevens verwerken. Maar wat betekent dat nu voor jou als ondernemer, wat zijn de regels en wat is een datalek?

Voorbeelden cybercriminaliteit

Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Denk bijvoorbeeld aan iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Bij een datalek hebben anderen toegang tot de persoonsgegevens of worden deze gegevens vernietigd, gelekt of gewijzigd zonder dat dit de bedoeling is. Denk bijvoorbeeld aan verlies van een USB-stick of laptop, of als een hacker inbreekt in een databestand. Maar ook het versturen van een e-mail of brief met persoonsgegevens, die per ongeluk bij de verkeerde geadresseerde terechtkomt, is een datalek.

Meldplicht datalekken

Als er bij jouw bedrijf data zijn gelekt, is het belangrijk dat het datalek zo snel mogelijk wordt gemeld. Allereerst intern bij een daarvoor aangestelde functionaris en vervolgens moet orden beoordeeld of je het datalek bij de Autoriteit Persoonsgegevens moet melden. Dat is het geval als het datalek leidt tot een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens of die ernstige nadelige gevolgen al heeft.

Soms moet je het datalek ook melden aan degene van wie de persoonsgegevens zijn gelekt. Dat hangt af van de ernst van het datalek. Slachtoffers van het datalek kunnen dan in ieder geval maatregelen nemen, zoals het blokkeren van hun creditcard of het veranderen van hun wachtwoord.

Boete

Een datalek meld je via de website van de Autoriteit Persoonsgegevens. Doe dat in ieder geval binnen 72 uur nadat je het datalek ontdekt. Als je een ernstig datalek niet binnen twee werkdagen meldt, kan de Autoriteit Persoonsgegevens jou een forse boete geven. De boete kan oplopen tot maar liefst 820.000 euro.

TIPS

• Breng in kaart welke persoonsgegevens in jouw bedrijf worden verwerkt en hoe je die gegevens momenteel verwerkt.
• Zorg voor een goede beveiliging van die persoonsgegevens. Leg alleen persoonsgegevens vast die je daadwerkelijk nodig hebt voor jouw bedrijfsvoering en zorg dat onbevoegden hier niet bij kunnen.
• Kies slimme en sterke wachtwoorden en ga hier zorgvuldig mee om.
• Bescherm gevoelige informatie op de werkplek: vergrendel je pc als je van jouw werkplek gaat en gooi vertrouwelijke documenten in een afgesloten papiercontainer.
• Bewaar en verplaats gegevens alleen op opslagfaciliteiten die door jouw bedrijf zijn goedgekeurd en wees voorzichtig met publieke opslagfaciliteiten (zoals WeTransfer).
• Neem fysieke informatie alleen mee als het niet anders kan.
• Wees alert met het versturen van e-mails met persoonsgegevens. Verifieer de ontvangers en het bijbehorende e-mailadres alvorens te versturen.
• Laat laptops, USB-sticks, smartphones en andere gegevensdragers niet achter op onbewaakte plaatsen en geef hier instructies over aan jouw werknemers.
• Instrueer jouw werknemers hoe ze met de persoonsgegevens en andere privacygevoelige informatie moeten omgaan. Controleer regelmatig of ze zich aan de regels houden.
• Stel een protocol op voor de situatie waarin jouw bedrijf met een datalek te maken krijgt en benoem intern een afdeling of persoon die een datalek kan beoordelen en melden bij de Autoriteit Persoonsgegevens.
• Zorg dat jouw werknemers precies weten hoe ze moeten handelen in geval van een datalek: informeer ze bij wie ze het datalek intern moeten melden.

Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie