datalekken
Fiscaal en Accounting15 april, 2020

Wat te doen bij een datalek om schade te voorkomen? Dit zijn de 5 tips!

Menno Weij is jurist bij BDO Legal en gespecialiseerd in Tech & Privacy Law. Wij spraken hem over datalekken en wat je kunt doen om verdere imago- en reputatieschade te beperken.

“Dat er data onbedoeld wordt gelekt is bijna aan de orde van de dag. Het Donorregister, ziekenhuizen... Ik noem een paar recente voorbeelden. Zeker als dienstverlener waar je met gevoelige data van klanten werkt zoals accountants, is het voorkomen van schade door datalekken heel belangrijk. Toch kun je datalekken zelf bijna niet voorkomen. Ik vergelijk het wel eens met een huis. Je kunt het nog zo goed beveiligen, maar als dieven binnen willen komen, lukt dat ze helaas toch wel. De mens is de zwakste schakel. De achterdeur van je huis open laten staan, een mail met alle geadresseerden in de cc in plaats van de bcc, memorysticks die uitgedeeld worden met malware, een verkeerde klik op een mail…”

Bewustwording

“Natuurlijk doe je er als bedrijf alles aan om te voldoen aan de AVG/GDPR en het lekken van privacygevoelige gegevens te voorkomen. Je moet maatregelen aan de voorkant nemen en het beleid toelichten. Achteraf na een datalek is het verstandig te evalueren wat de aanleiding was tot het datalek. Om daar 'harde' lessen uit te kunnen trekken ter voorkoming van nieuwe lekken. Maak werknemers er bewust van wat er gebeurt als er toch data lekt en wat dat met het bedrijf en met de mensen doet. Voorkom dat je in de krant komt met een negatief verhaal over datalekken in het bedrijf. Het gaat om reputatie en vertrouwen, die komt te voet maar gaat te paard. Zorg je voor een ‘state of the art’ beveiliging en werk je samen met leveranciers die dit op orde hebben. Vraag aan kleinere leveranciers van bijvoorbeeld je website hoe het zit met de beveiliging.”

Protocol: testen, herhalen en aanpassen

“In bedrijven test je eens in de zoveel tijd het brandalarm, in een protocol staat beschreven wat iedereen moet doen. In dit protocol staan de stappen procesmatig beschreven wat je moet doen in het geval van een datalek. Ook een datalek is een incident dat je dus moet beschrijven in een protocol. Beschrijf stap voor stap wat mensen moeten doen als privacygevoelige gegevens onbedoeld op straat komen, en wie het aanspreekpunt is. Zo weet iedereen in de organisatie wat hij moet doen en wie hij moet bellen. Herhaal en test het net als bij een brandalarm of reanimatiecursus bijvoorbeeld vier keer per jaar. Door de kracht van herhaling creëer je instinct en weten mensen wat ze moeten en kunnen doen. Dan raken ze niet in paniek en zijn ze niet bang om iets te melden.”

Tussen € 30.000 en € 50.000

“Naast de bekende boetes van de Autoriteit Persoonsgegevens (AP) heeft een bedrijf ook te maken met herstel schade. Zijn data zoek, dan moeten systemen technisch weer gedicht worden en backups geïnstalleerd worden alles weer op gang te brengen. Niet alle data zal meteen terug zijn. Er kan data missen, omdat een backup mogelijk niet alles dekt. Of dat systemen niet alle data kunnen terughalen. In dat geval zal een bedrijf het ontstane 'gat' nog handmatig moeten dichten.

Vaak hebben bedrijven meerdere leveranciers die in actie moeten komen en huren ze externe partijen als een jurist in om de schade in te perken. Als het goed is staat in het datalekprotocol beschreven wie er gebeld moet worden bij welke leverancier.

Als je kijkt naar kosten en schade. denk ik dat een mkb-er al snel tussen de € 30.000 en € 50.000 kwijt kan zijn in het geval van een datalek. En dan heb ik het nog niet eens over imago- en reputatieschade.”

Eerlijkheid duurt het langst

“Ik vind dat eerlijkheid en openheid het langst duurt. Ik noem twee voorbeelden van hoe bedrijven handelen na een datalek. De eerste is hoe het niet moet… Uber stopte de misser onder het tapijt, probeerde zwijgcontracten af te sluiten om te voorkomen dat het naar buiten kwam. FoxIT deed dit anders. Zij bewaken notabene onze staatsgeheimen. Ze brachten de hack gewoon naar buiten en vertelden waar ze hun lessen uit hebben getrokken. Verstoppen en het niet melden is het ergste wat je kunt doen. Wees eerlijk en vertel wat je doet om het een volgende keer te voorkomen, en meldt het bij de autoriteiten. Belangrijk is om ook intern te evalueren wat er mis ging en zodoende hiervan te leren. En processen te herijken waar dat nodig is."

Wie geschoren wordt, moet stilzitten

Stel dat anderen er toch over gaan praten in bijvoorbeeld een programma als Kassa, kom met een eenduidig verhaal. Laat dat overwaaien en zorg voor een reactie met één boodschap. Hier geldt ook: wie geschoren wordt, moet stilzitten. Reageer niet op alle media, daarmee maak je het alleen maar erger. Bovendien datalekken is aan de orde van de dag. Als ik je vraag om mij de laatste tien organisaties te noemen waar datalekken voorkwam, weet je er misschien drie. De rest is alweer vergeten.”

Basishygiëne

“De belangrijkste uitdaging in de toekomst als het gaat om datalekken bij accountants is dat de basishygiëne op orde moet zijn. Technologie kun je inkopen en de grotere tech-partijen hebben alles op orde. Werk je echter met kleinere lokale leveranciers voor bijvoorbeeld een eigen app, dan moet je er ook op kunnen vertrouwen dat alles veilig is. Kleine hygiënefactoren zijn ook van groot belang. Klik niet op de mail als je het niet vertrouwt etcetera. Dat is nog wel wat er nog steeds gebeurt… Memorysticks die verloren worden, harde schijven kwijtgeraakt. Wachtwoorden als Welkom01… De mens is de zwakste schakel.”

Tips om verdere schade te voorkomen

1. Creëer bewustwording
Leg aan iedereen in het bedrijf uit wat de risico’s zijn. Naast de boetes staat ook reputatie op het spel, en die is belangrijker. Het draait om trust! Denk bij het creëren van die bewustwording aan het fenomeen ‘Vreemde ogen dwingen’. Huur een expert in, de informatie komt dan anders binnen. Dit is het gevaar, dit is het risico, dit is de reden waarom we dit doen.

2. Herhaal de boodschap
Leg de risico’s niet een keer uit, maar zorg voor meerdere momenten van bewustwording in het kader van datalekken.

3. Neem angst weg
Zorg ervoor dat werknemers die de oorzaak zijn, niet weg willen kruipen onder een bureau. Zodat ze wel onmiddellijk in actie komen om meer ellende te voorkomen. Wees niet bang om te melden moet de boodschap zijn voor iedereen.

4. Duidelijke ‘hygiëneregels’
De basis hygiëneregels moeten bij iedereen duidelijk zijn. Bijvoorbeeld nooit privacygevoelige gegevens op een memorystick, sluit een computer af wanneer je niet meer achter een bureau zit, laat laptop niet in auto achter. Dit zijn kleine basistips die de kans op datalekken verkleinen.

5. Datalekproces
Leg vast in een proces of protocol wie er gebeld moet worden als het misgaat. En wat er vervolgens allemaal moet worden gedaan om schade te beperken. Dat geldt ook voor de kleine accountant! Weet ook wie je moet hebben bij je externe leveranciers. Houd iedereen scherp en trek lessen uit wat er is gebeurd. Processen zijn niet in beton gegoten! Ze moeten periodiek geupdate worden.

Berry van Asch toont reisgidsen
Redactie Twinfield
Heb je vragen of tips voor de redactie, mail dan naar [email protected]
Back To Top