Datalek update 2020: de duurste en de meest voorkomende

19-10-2020 om 9:03 uur Charlotte van Hout Blog
De globale pandemie heeft onze manier van werken rigoureus veranderd. Met de recente verscherpte maatregelen van de overheid werkt Nederland massaal weer vanuit huis. Het aantal gemelden datalekken stijgt de afgelopen drie jaar. De meeste meldingen worden gedaan in het laatste kwartaal (bron: Autoriteit Persoonsgegevens). In deze blog gaan we dieper in de laatste cijfers en delen we maatregelen die genomen kunnen worden om datalekken te voorkomen.

WAT IS EEN DATALEK?

Wie online onderzoek heeft gedaan naar de definitie van een datalek, zal hebben gemerkt dat er verschillende definities zijn. Dat is niet gek, want het woord ‘datalek’ is niet als definitie vastgelegd in de wet. In de wet wordt gesproken van ‘inbreuk in verband met persoonsgegevens’. De Autoriteit Persoonsgegevens geeft het begrip ‘datalek’ wat meer kleur en zij definiëren het als volgt:

Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Maar ook om het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens. Ook hierdoor kunnen de betrokken personen namelijk schade leiden.

Het gaat bij een datalek dus om persoonsgegevens. Hoe een organisatie om mag gaan met persoonsgegevens is sinds 25 mei 2018 in de hele Europese Unie vastgelegd in dezelfde privacywet. De Nederlandse benaming voor de nieuwe Europese privacywetgeving is Algemene verordening gegevensbescherming (AVG) en de General Data Protection Regulation (GDPR) is de Engelse naam.  De termen AVG en GDPR betekenen dus exact hetzelfde.

NEDERLAND WEER KAMPIOEN DATALEKKEN

Nederland heeft in januari 2020 voor de tweede maal een dubieuze prijs in de wacht gesleept. De prijs voor ‘meeste datalekken per land’ in Europa. Dat zegt DLA Piper’s meest recente GDPR Data Breach Survey. Met 40.647 meldingen in de periode mei 2018 – januari 2020 staat ons land duidelijk aan de top. Je kunt je bij deze cijfers meteen afvragen of we in ons land bijzonder veel fouten maken, of dat we vooral bijzonder netjes zijn in het melden van die fouten. Of beiden. In elk geval: fouten op het vlak van security en privacy zijn aan de orde van de dag.

datalekken voorkomen met mSafe

 

ONVEILIG BIJ EEN ZOOM-CONGRES OVER VEILIGHEID

Een recent voorbeeld hiervan is de datalek bij nota bene een congres over digitale veiligheid van de overheid. Het ging om de zogenaamde ‘One Conference’ op 29 september jl., vanwege Covid-19 georganiseerd via Zoom. Binnenlands bestuur meldt dat deelnemers aan dit congres de namen, e-mailadressen, beroepen en werkgevers van alle andere deelnemers konden inzien. Daarnaast konden ze hun LinkedIn-profielen en de Zoom- en Teams-accounts bekijken. Het risico op misbruik schijnt beperkt te zijn, maar het datalek is gemeld bij de Autoriteit Persoonsgegevens, en de website waar de gegevens op stonden is uit de lucht gehaald.

thuiswerken en datalekken voorkomen met mSafe

 

“MIJN MENSEN WERKEN NIET ALTIJD VEILIG”

Hoe is het verder gesteld met security en privacy in het bedrijfsleven, in tijden van thuiswerken? OrangeDefense publiceerde recent wat interessante cijfers hierover, als resultaat van een onderzoek onder ongeveer 400 respondenten uit het Nederlandse bedrijfsleven. Daarvan was 81% (mede)beslissend of eindverantwoordelijk voor IT en automatisering.

 

 

Er ontstaat een beeld van een IT-verantwoordelijke die op z’n zachtst gezegd niet 100% zeker is dat zijn werknemers veilig werken. Misschien zelfs een IT-verantwoordelijke die daar maar weinig zicht op heeft, laat staan grip.

 

DATALEK KOST BEDRIJVEN ZONDER GOEDE SECURITY 2,5 KEER MEER

Laten we voor de volledigheid nog even kijken hoeveel een datalek een bedrijf kan kosten. Riskworld geeft een actueel overzicht op basis van een internationaal IBM-onderzoek onder 524 bedrijven. Een datalek kost gemiddeld $3.86 miljoen (ca. 3,3 miljoen euro). Maar de verschillen binnen dat gemiddelde zijn enorm.

Bedrijven die securitymaatregelen hebben genomen en dus beter voorbereid zijn, hebben gemiddeld een totale schade van $2.45 miljoen (ca. 2,1 miljoen euro). Bedrijven die hun cybersecurity-maatregelen niet op orde hebben, zijn gemiddeld maar liefst $6.03 miljoen (ca. 5,2 miljoen euro) kwijt. Degenen zonder goed cybersecuritybeleid verliezen uiteindelijk dus 2,5 keer zoveel geld.

 

 

HET MEEST VOORKOMENDE TYPE DATALEK

Welke typen datalekken beschrijft de AVG ook alweer?

  1. Vertrouwelijkheid: ongeoorloofde of onbedoelde verstrekking van of toegang tot persoonsgegevens.
  2. Integriteit: ongeoorloofde of onopzettelijke wijziging van persoonsgegevens.
  3. Beschikbaarheid: als er sprake is van een onopzettelijk of ongeoorloofd verlies van toegang tot persoonsgegevens, of een onopzettelijke of ongeoorloofde vernietiging van persoonsgegevens.

Volgens Telecompaper vallen de meeste datalekken onder het eerste type (vertrouwelijkheid): persoonsgegevens worden dan verstuurd of afgegeven aan de verkeerde ontvanger. Die ontvanger kan een klant zijn, maar ook een partnerorganisatie of een leverancier.

 

datalekken voorkomen met mSafe

 

MAATREGELEN OM EEN DATALEK TE VOORKOMEN

Als u actie wil ondernemen, is een focus op het meest voorkomende type datalek (‘vertrouwelijkheid’) wellicht een mooie eerste actie. Hieronder een aantal suggesties.

Om te voorkomen dat medewerkers mails sturen naar de verkeerde ontvanger;
    • Technisch: zet in uw mailomgeving de optie ‘automatisch aanvullen’ in het veld van de geadresseerde uit.
    • Werkafspraak: gebruik bij groepsmails als vuistregel nooit de CC, maar de BCC-functie.
    • Werkafspraak: vier ogen-principe. Moet er een mail uitgaan naar een mailinglist, dan mag die uitsluitend worden verstuurd als een collega heeft gecheckt of het om de juiste mailinglist gaat.
    • Technisch: maak voor meer typen bedrijfsdata tweestapsverificatie (two-factor authentication) verplicht. Deze optie van sterke authenticatie heeft u automatisch als u data deelt via mSafe.
Om te voorkomen dat bijlagen met persoonsgegevens via mail worden gestuurd;
      • Communicatie: weten uw medewerkers hoe eenvoudig het eigenlijk is voor hackers om bijlagen uit de mail te onderscheppen? Besteed aandacht aan dit thema bij een overleg of een campagne. Zorg er wel voor dat men een alternatief heeft.
      • Technisch: een alternatief voor bijlagen mailen kan zijn: bestanden delen via mSafe. De nieuwe Office 365-Outlook add-in in mSafe zorgt ervoor dat uw medewerkers op dezelfde manier kunnen blijven werken als nu. Hun beleving is dat de data worden gemaild, maar in feite worden ze veilig gedeeld – inclusief encryptie en malware- en virusscanning.
Om te voorkomen dat devices met persoonsgegevens verloren raken;
    • Technisch: gegevensdragers als harde schijven en USB-sticks (kent u ze nog?) kunnen beschermd worden met encryptie.
    • Technisch: een belangrijke reden dat mensen nog USB-sticks gebruiken, is dat ze bijzonder grote bestanden willen delen. Mailprogramma’s trekken de grens voor bijlagen vaak al bij enkele tientallen MB’s. Een beter (en veiliger) alternatief is delen via mSafe. Bestanden tot 10 GB gaan via mSafe vlot over en weer. En dan zitten er ook nog extra security checks bij.
    • Werkafspraken. Het kan slim zijn om bestaande afspraken over ‘hoe gaan we om met zakelijke devices en gegevensdragers’ er nog eens op na te slaan, en eventueel aan te passen aan de huidige situatie. Met natuurlijk vervolgens een update richting uw medewerkers.

Wilt u dus slimme maatregelen nemen tegen datalekken, in tijden van thuiswerken? Richt u zich op de meest voorkomende, en check of mSafe voor u ook een snelle oplossing kan zijn voor de vaak voorkomende typen datalekken.

 

Voorkom datalekken met mSafe

De eerste 30 dagen gratis

Charlotte van Hout

Mail Charlotte
Blog
Deel: