Blog: Datalekken
hoe beperk je de risico's

In het eerste deel van deze tweeluik vertelden we je wat een datalek nou eigenlijk is en wat de gevolgen daarvan kunnen zijn. In dit tweede deel gaan we in op hoe je de risico's op een datalek kunt beperken. 

In de digitale wereld van vandaag, waar gegevens een onschatbare waarde hebben, is het voorkomen van datalekken van het grootste belang. De meeste datalekken komen voor wanneer organisaties gegevens delen. Om de veiligheid van gegevens te waarborgen en datalekken te voorkomen, zijn er drie belangrijke domeinen om in te richten in de interne organisatie: legal, processen en governance.

Legal

Het eerste domein, legal, omvat de juridische aspecten van gegevensdeling. Voordat gegevens überhaupt kunnen en mogen worden gedeeld, moeten bepaalde juridische aspecten worden vastgelegd. Een cruciale stap voor het delen van data is het opstellen van een verwerkersovereenkomst tussen de verantwoordelijke en de verwerker. Deze overeenkomst bevat afspraken over wat de verwerker wel en niet mag/moet doen met de persoonsgegevens die de verwerkingsverantwoordelijke aanlevert. Het beveiligingsbeleid en het doel van de verwerking  zijn enkele van de zaken die in deze overeenkomst moeten worden opgenomen.

Processen

Het domein processen speelt een essentiële rol bij het voorkomen van datalekken. Hier worden alle stappen en procedures van gegevensdeling vastgelegd en uitgevoerd. Allereerst moet worden bepaald welke gegevens worden gedeeld. Het principe van minimalisatie is hierbij van belang: indien bepaalde gegevens niet nodig zijn, moeten ze niet worden gebruikt of gedeeld.

Daarnaast is het belangrijk om te weten waar gegevens vandaan komen en hoe ze worden samengebracht. Want, het scheiden van data die niet samen opgeslagen hoeven te worden is ook belangrijk voor de beveiliging van data. Dan is het wel essentieel dat als de data met elkaar gekoppeld dienen te worden dat hier de juiste procedures voor ingeregeld zijn. Hier komen datakwaliteit en datamanagement bij kijken. Datakwaliteit is een cruciaal aspect om ervoor te zorgen dat de gegevens betrouwbaar en accuraat zijn en daarmee dus de juiste koppelingen gemaakt kunnen worden over verschillende databases.

Als deze koppelingen zijn gemaakt en er een uniek klantbeeld ontstaat moet worden overwogen in welke vorm gegevens worden gedeeld. Indien data om wat voor reden dan ook wordt gelekt tijdens een stap binnen het proces wil je zoveel mogelijk schade voor de consument beperken. Daarom worden vaak technieken als hashing en encryptie toegepast, om ervoor te zorgen dat als data gelekt wordt het niet leesbaar is. Ook hier komt datakwaliteit weer om de hoek kijken. Versleutelde data kunnen alleen herkend en gematcht worden indien de gegevens exact overeenkomen. Kwaliteit en uniformiteit vormen hierbij daarom dan ook de basis om desbetreffende technieken effectief in te kunnen zetten.

Als data geminimaliseerd, versleuteld en gekoppeld zijn en de kwaliteit geoptimaliseerd is, kan het verwerkt worden. De belangrijke afweging blijft: voor welk doel deel je data, hoe belangrijk is het voor jou als bedrijf en vooral: welke impact heeft het mogelijk voor de consument. In dit kader is het dan ook altijd belangrijk om af te wegen welke data je deelt en of je hier vervolgens ook het beoogde doel mee behaalt. Vervolgens moeten verwerkte data geleverd worden aan de verwerkingsverantwoordelijke. Hoewel het logisch klinkt om ook delivery via veilige kanalen tot stand te laten komen komt het, ook bij grote organisaties, vaak genoeg voor dat er bestanden ‘gewoon’ via de mail gedeeld worden. Bijvoorbeeld doordat onbevoegden of werknemers die zich niet bezighouden met dataverwerking een rol spelen in dit proces. Dit is één van de meest voorkomende datalekken. Manieren waarmee data wel veilig geleverd kunnen worden zijn kanalen als een SFTP, een API of Cloudsharing. Hiermee eindigt dan ook het proces van datadeling en verwerking.

Governance

De derde pijler, Governance, is van cruciaal belang voor het waarborgen van de veiligheid van gegevens tijdens het delen. Hoewel een groot deel van de verantwoordelijkheid wordt bepaald in het juridische domein, moeten de stappen in het proces uiteindelijk worden uitgevoerd door mensen. Het is belangrijk om te bepalen welke functies deze mensen bekleden en of er scheiding van taken is of dat één persoon alles kan doen. Het is essentieel om duidelijkheid te hebben over wie welke stappen uitvoert. Niet iedereen moet toegang hebben tot alle gegevens tijdens het proces. Specifieke data specialisten kunnen verantwoordelijk zijn voor bepaalde gegevenssets, terwijl anderen geen toegang hebben. Tijdens het proces moet ook rekening worden gehouden met de zichtbaarheid van gegevens. Gegevens kunnen versleuteld worden om te voorkomen dat ze onbedoeld zichtbaar zijn en indien gelekt de schade beperkt wordt. Tot slot moet er toezicht zijn op de processen en de beveiliging ervan. Dit toezicht kan worden uitgeoefend door de Data Protection Officer (DPO), het juridische team of andere relevante stakeholders.

Holistische benadering

Het voorkomen van datalekken vereist een holistische benadering waarbij de juridische, procesmatige en governance-aspecten worden geïntegreerd. Organisaties moeten ervoor zorgen dat ze een solide basis hebben op het gebied van legal, waarin duidelijke afspraken zijn vastgelegd. Processen moeten worden geoptimaliseerd en gegevensdeling moet volgens een goed doordacht plan plaatsvinden. Daarnaast moeten governance-structuren worden opgezet om verantwoordelijkheden toe te wijzen, toegangsbeperkingen in te stellen en toezicht te houden op de veiligheid. Door deze drie domeinen in acht te nemen, kunnen organisaties proactieve stappen ondernemen om datalekken te voorkomen en de vertrouwelijkheid en integriteit van gegevens te waarborgen.

Tips om datalekken te voorkomen

Het voorkomen van een datalek kent dus niet één gouden regel of aanpak. Gevaar kan uit een kleine hoek komen. Een holistische benadering vermindert de kans op een datalek, maar is niet van de ene op de andere dag geïntegreerd in de dagelijkse gang van zaken. Daarom geven we 5 pragmatische tips vanuit ons domein die morgen jouw risico’s op datalekken zo veel als mogelijk beperken.

Dataminimalisatie

Zorg binnen je organisatie voor dataminimalisatie. Gebruik alleen data die je écht nodig hebt. Ga bij iedere stap waarbij data gebruikt worden na: “heb ik deze data nodig? Moet ik het uitvragen?” En als het antwoord op de vragen “nee” zijn, vraag het dan ook niet uit en gebruik het niet. Dus als je bijvoorbeeld geen BSN-nummers nodig hebt, ondanks dat je daarover mag beschikken. Gebruik ze dan ook niet en verwijder ze uit de database. Op deze manier beperk je de ernst van een datalek, mocht deze plaatsvinden.

Beveiliging

Zorg voor goede firewalls en software die up-to-date is. Het is belangrijk om data op apparaten te beveiligen met een meervoudige authenticatie. Mocht het voorkomen dat een device verloren gaat, dan beperk je de schade bij een datalek. Hierbij kunnen zoals eerder genoemd hashing of encryptie ook helpen.

Creëer bewustzijn bij medewerkers

Maak collega’s en medewerkers bewust van de mogelijke risico’s. Geef waar nodig trainingen om de risico’s tot een minimum te beperken. Gebruik veilige wachtwoorden en laat deze niet rondslingeren op kantoor. Gebruik geen openbare lokale netwerken. Criminelen kunnen deze netwerken misbruiken of zelfs nabootsen om mee te kunnen kijken op je computer.

En denk altijd kritisch na als je gevoelige data verstuurt of benaderd wordt door personen die je niet kent. Hoe gevoelig is de data waarmee je werkt? Is dit de meest veilige manier van dataoverdracht? Word je benaderd door een persoon die je niet kent. Wat willen ze? Welke vragen stellen ze? Zijn er onregelmatigheden? Et cetera. Vertrouw je het niet? Neem dan contact op met de privacy officer binnen je organisatie.

Externe hulp

Hoewel sommige onderdelen, zoals het creëren van bewustzijn, relatief pragmatische oplossingen zijn om de kans op een datalek te voorkomen, zijn onderdelen als het inrichten van een veilige infrastructuur, het uniformeren van data, hashen en matchen voor veel organisaties niet zo gemakkelijk gedaan. Zeker gezien je wil focussen op je core-business. Gelukkig zijn er   organisaties die kunnen helpen om jouw organisatie en processen zo goed als mogelijk te beveiligen, zodat jij niet af hoeft te stappen van je core-business. Deze ‘trusted third parties’ helpen jou als bedrijf om deze stappen in te richten en uit te voeren.

Zo helpt EDM organisaties middels datakwaliteit voor het verbeteren en uniformeren van personalia en adresgegevens. Worden gegevens indien nodig gehasht. En matching kan worden gefaciliteerd middels slimme en veilige matchingsroutines. Ook het legal aspect vormt een prominent onderdeel in de dienstverlening. Met kennis en ervaring op gebied van dataprocessing, -engineering, -delivery en cloud biedt EDM pragmatische oplossingen aansluitend op jouw specifieke behoeften, die morgen impact maken op de beveiliging van gegevens, optimalisatie van processen en het beperken van risico’s.

Wil je weten hoe EDM jouw organisatie future proof kan maken, lees dan verder over onze data & cloud expertise. Of neem contact met ons op, dan gaan we graag met je in gesprek over dit onderwerp.