Een data-incident! Wat nu?

Meld een data-incident en voorkom paniek met deze stappen

Je werkt vaker met persoonsgegevens dan je denkt. Bewust of onbewust gaat deze data dagelijks door je handen. Je opent een klantdossier of stuurt een gespreksverslag naar een collega. Maar wat als het misgaat? Wat als je die e-mail met gevoelige informatie per ongeluk naar de verkeerde persoon stuurt of als een medewerker een USB-stick in de trein laat liggen? Deze incidenten lijken klein, maar hebben vaak grote gevolgen.

In het nieuws staat regelmatig dat privacygevoelige gegevens onbedoeld op straat liggen. Dat is niet alleen vervelend, voor sommigen is deze informatie veel geld waard. Denk aan namen, adressen, BSN-nummers of gevoelige info over gezondheid of religie. Komt die informatie, door een menselijke fout of technische kwetsbaarheid, in verkeerde handen? Dan is er sprake van een data-incident of een datalek. Dat raakt niet alleen de betrokkenen, maar ook jouw organisatie. Dan kun je denken aan reputatieschade, juridische problemen, boetes of het verlies van vertrouwen van klanten.

Juist omdat we zoveel met data werken, moeten medewerkers weten wat ze doen en begrijpen dat melden essentieel is. Bij AFAS nemen we data van onze mensen en klanten heel serieus. We maken melden zo makkelijk mogelijk en zorgen dat meldingen meteen bij de juiste personen terechtkomen. Dit doen we natuurlijk met een workflow. Geen losse mailboxen die af en toe worden nagekeken, maar een logisch transparant proces.

Maak het melden van datalekken eenvoudig voor medewerkers en voor klanten

Die aanpak werkt alleen als mensen weten wat een data-incident is én het ook durven te melden. Melden voelt soms als falen. Er is namelijk wat misgegaan. In mijn ogen toon je dan juist verantwoordelijkheid. Bij AFAS zijn we duidelijk: melden is oké, sterker nog, het is noodzakelijk. Alleen dan kun je passende maatregelen nemen en beperk je de schade. Maak het melden van incidenten daarom zo makkelijk en logisch mogelijk. Zorg dat je medewerkers en je klanten weten wat ze moeten doen en wanneer.

Start je datalekmelding met de juiste vragen en verzamel direct informatie

Bij een melding vanuit een klant vragen we direct informatie uit. We stellen een paar simpele vragen:

  • Wat is er precies gebeurd?
  • Om welke gegevens gaat het?
  • Wie zijn er mogelijk getroffen?
  • Was de informatie versleuteld of makkelijk toegankelijk?

We leggen alle antwoorden centraal vast. Die informatie vormt de basis voor verdere actie. Soms is het bijvoorbeeld nodig ook extern te melden, bijvoorbeeld aan de Autoriteit Persoonsgegevens. Hiervoor gelden strikte regels en termijnen. Daarom moet het proces strak zijn ingericht met duidelijke verantwoordelijkheden, heldere communicatie en goede documentatie. Binnen AFAS ligt elke stap vast en zorgen we dat alle signalen op tijd worden opgepikt. 

Insturen via je klantportal. Duidelijk en overzichtelijk wat, waarom en hoe

Leer van elk data-incident en vergroot je digitale weerbaarheid

Hoewel we liever geen incidenten hebben, zien we elk data-incident als een kans om te leren. Daarom evalueren we achteraf altijd wat er goed ging en wat beter kan. Dat is niet alleen waardevol voor de betrokken mensen en afdelingen. Zo leert de hele organisatie om zorgvuldiger met data om te gaan. Die bewustwording begint bij je eigen werk. Vraag je als consultant bijvoorbeeld eens af welke klantdata je op je laptop hebt staan en of je die na afloop van het project nog nodig hebt. Of check als HR-medewerker hoe je sollicitatiegegevens verwerkt. Door privacy en dataveiligheid concreet te maken per functie, voorkom je dat het onderwerp abstract blijft.

Zorg voor snelle communicatie bij datalekken met één instelling in de software

Omdat AFAS veel met klantdata werkt, is het belangrijk dat we bij incidenten snel kunnen schakelen. Daarom hebben we per klant vastgelegd wie verantwoordelijk zijn voor privacy. Met een vinkveld in het systeem zorgen we dat we altijd direct met de juiste contactpersoon kunnen communiceren. Ook dat is een vorm van preventie: geen verwarring over verantwoordelijkheden dat informatie bij de verkeerde persoon belandt. Via de klantportal zorgen we bovendien dat alle communicatie veilig en gecontroleerd verloopt. Klanten melden daar zelf eenvoudig een datalek.

 

Herken een datalek en durf direct te melden – veiligheid begint bij jou

Alles wat we doen is erop gericht om risico’s te beperken én om snel te kunnen reageren als er toch iets gebeurt. Want hoe zorgvuldig je ook werkt, een incident is nooit helemaal uit te sluiten. Datalekken zijn een serieuze zaak. Maar met de juiste processen, verantwoordelijkheden en cultuur, houd je grip op de situatie. En bovenal: blijf alert. Een veilige organisatie begint bij oplettendheid – en bij het durven melden als dat nodig is.

Insturen via Insite. Ook intern is het melden van datalekken zo duidelijk en overzichtelijk

3 onmisbare tips om je organisatie voor te bereiden op datalekken en privacyrisico’s

Voordat je begint met inrichten, is het belangrijk om eerst de huidige situatie in kaart te brengen.

  • Wie heeft er toegang tot mijn omgeving?
    Neem de tijd om je autorisaties grondig door te nemen en te controleren wie er allemaal toegang hebben. Klopt dit nog steeds? Zijn er geen externe partijen die geen toegang meer zouden moeten hebben? Blijf hier scherp op en voer elke maand een controle uit om je gebruikersbeheer op orde te houden.
  • Welke data beweegt er door mijn organisatie en hebben we daar grip op?
    Denk bijvoorbeeld aan klantgegevens op laptops, data-exports of andere vormen van gegevensuitwisseling. Weet je welke gegevens er op de werkstations van medewerkers staan en worden deze tijdig verwijderd? Start met het maken van een inventaris.
  • Welke systemen gebruiken we naast AFAS?
    Hoewel veel zaken in AFAS kunnen worden afgehandeld, gebruik je in de praktijk waarschijnlijk ook andere applicaties waarin persoonsgegevens worden verwerkt. Welke applicaties zijn dat precies? Zijn we op de hoogte van de risico’s en afspraken met deze leveranciers?
Deze tips krijg je van Viktor

Viktor, Privacy Officer bij AFAS, helpt je in een serie artikelen om je internetveiligheid te vergroten. In dit artikel: data-incidenten.