Hoe kan een bedrijf (organisatie) zich wapenen tegen het gevaar van datalekken?
Een bedrijf kan preventief de volgende maatregelen treffen:
- Inventariseer waar in de organisatie welke gegevens worden verwerkt oftewel breng de datastromen van de organisatie in kaart;
- Neem de huidige beveiligingsmaatregelen onder de loep. Inventariseer de mogelijke risico’s van verlies van gegevens, controleer of de persoonsgegevens veilig worden opgeslagen en pas waar nodig het beveiligingsbeleid aan;
- Stel duidelijke interne procedures op (actieplan); Zorg voor een procedure waaruit duidelijk blijkt wie de verantwoordelijke is en welke afdeling/functionaris betrokken moet worden indien een datalek wordt geconstateerd. Denk hierbij aan het bestuur of hun gemandateerde eigenaar van de gegevens, de functionaris gegevensbescherming, de veiligheidsfunctionaris, de juridische afdeling en niet te vergeten de afdeling communicatie. Beschrijf hierbij de rollen en taken van deze afdelingen/functionarissen en sluit hierbij aan op bestaande processen binnen de instelling. Zo zou bijvoorbeeld de melding van een datalek overeen kunnen komen met de afhandeling van meldingen in het kader van Computer Security Incident Response Teams (CSIRT);
- Zorg voor een strikt beleid met betrekking tot het verwerken van persoonsgegevens. Stel richtlijnen op voor het opslaan van persoonsgegevens door werknemers op draagbare apparatuur. Het opstellen van een protocol inclusief voorbeeldbrieven voor melding aan de Autoriteit Persoonsgegevens en betrokkenen kan hier eveneens deel van uitmaken;
- Inventariseer de contracten met de bewerkers en zorg dat die waar nodig worden aangepast. Neem de verplichting op dat de bewerker onmiddelijk een melding aan de organisatie moet doen als er bij hem een datalek heeft plaatsgevonden;
- Overweeg encryptie waardoor melding aan betrokkenen achterwege gelaten kan worden;
- Inventariseer wie uw gegevens verwerken en of met deze partijen een verwerkersovereenkomst is gesloten. Vul deze aan met een bepaling over datalekken. Sluit met iedere partij waarmee u samenwerkt een NDA (Non Disclosure Agreement) waarin de persoonsgegevens worden benoemd.
- Ga na bij uw verzekeraar of u verzekerd bent tegen het lekken van persoonsgegevens (een cyberrisico verzekering).
Pro-abonnees downloaden gratis het Ebook met 75 vragen en antwoorden over Digitale beveiliging.