Maak medewerker bewust van gevaren datalek

Geef cybercriminelen geen kans

05 februari 2019 3 minuten

Zorg ervoor dat in eerste instantie de medewerkers zich bewust zijn van de risico’s die zij vaak zelf veroorzaken. Met één klik al je belangrijke documenten weg. Een zoekgeraakte USB-stick met daarop veel privacygevoelige bedrijfsinformatie. Als ondernemer zit je daar uiteraard niet op te wachten. Toch blijkt dat veel medewerkers zich nauwelijks druk maken om deze gevaren.

Wat is een datalek?

Je hebt een datalek bij een inbreuk op de beveiliging van de persoonsgegevens. Het gaat dan om onbedoelde toegang tot de gegevens, vernietiging, wijziging of vrijkomen van persoonsgegevens. Het moet gaan om een beveiligingsincident. Voorbeelden hiervan zijn een hack (inbraak in een databestand), maar ook een gestolen of kwijtgeraakte laptop, telefoon of usb-stick. Ook bijvoorbeeld een brand in het datacentrum is een datalek. Vanaf 1 januari 2016 geldt in dit soort gevallen de meldplicht datalekken. In de AVG is eenzelfde soort meldplicht opgenomen met nog meer verplichtingen.

Hoe kan ik voldoen aan de meldplicht datalekken?

De meldplicht datalekken geeft aan dat je een melding bij de Nederlandse toezichthouder, Autoriteit Persoonsgegevens, moet doen wanneer je een ernstig datalek hebt. Deze melding moet binnen 72 uur na het ontdekken van het datalek worden gedaan. In sommige gevallen moet je ook de mensen van wie de gegevens zijn gelekt informeren.

Bewustzijn

De eerste stap naar een veilige digitale bedrijfsomgeving begint echter wel bij die medewerker. Het gedrag van je personeel bepaalt in hoge mate het risico dat jij het slachtoffer wordt van cybercriminelen. En dus is het zaak om aan de slag te gaan met het creëren van bewustzijn:

 • Plan om te beginnen een meeting en ga het gesprek aan met medewerkers over datalekken. Hoe denken zij hierover? Wat doen ze zelf al om die te voorkomen?

 • Zorg op de werkvloer voor een open sfeer over dit onderwerp, zodat medewerkers niet bang zijn om fouten toe te geven.

 • Deel op intranet of het prikbord de regels rondom dataveiligheid. Wijs nieuwe medewerkers daar bovendien op, zodat iedereen daarvan op de hoogte is.

 • Als je personeel veel thuis werkt en daar toegang heeft tot vertrouwelijke informatie, investeer dan in trainingen over data en gedrag.

 • Nodig eens een cybersecuritydeskundige uit die op vrijdagmiddag komt vertellen welke gevolgen een datalek kan hebben.

 • Stuur je een interne nieuwsbrief rond? Besteed in één van de topics dan eens aandacht aan dataveiligheid. Dan kan een checklist zijn, maar bijvoorbeeld ook een interview met een deskundige.

Wat moet ik doen als het misgaat?

De AVG geeft verschillende verplichtingen bij een datalek:

 1. Doe binnen 72 uur na het ontdekken van het datalek een melding bij de Autoriteit Persoonsgegevens. Dit kan via een formulier op de website.

 2. Uiteraard ga je na hoe je het datalek kunt stoppen en wat je hiervan kunt leren om herhaling te voorkomen.

 3. Informeer degene van wie de gegevens bij het datalek betrokken zijn over wat er gebeurd is en welke maatregelen hij of zij kan nemen. Dit is een verplichting onder de AVG wanneer het datalek een hoog risico heeft voor de rechten en vrijheden van deze personen. Op deze manier kan iemand eventueel voorzorgsmaatregelen nemen, bijvoorbeeld het wijzigen van een wachtwoord.

 4. Lukt het je niet om alle informatie gelijk in de eerste melding mee te sturen? Je kunt een melding altijd aanpassen, aanvullen en zo nodig ook intrekken.

 5. Maak van het datalek een melding in je datalekregister. In dit register houdt je alle datalekken bij. Je noteert alle feiten van het datalek, de gevolgen en de maatregelen die je hebt genomen om het datalek te stoppen. De Autoriteit Persoonsgegevens kan dit register opvragen om te bekijken of je de juiste maatregelen hebt genomen.