Europese Dag van de Privacy: 5 tips om datalekken binnen je bedrijf makkelijk te voorkomen.

Maandag 28 januari is het de Europese Dag van de Privacy, ook wel Dataprotectiedag genoemd. Deze werd in 2017 in het leven geroepen door de Raad van Europa met de steun van de Europese Commissie.
Het Dataprotectieverdrag werd op 28 januari 1981 ondertekend en bestaat vandaag maar liefst 38 jaar. Het doel van deze dag is tweeledig: enerzijds wil men Europese burgers beter informeren over hun rechten betreffende het gebruik van hun persoonsgegevens door bedrijven, organisaties en overheden. Anderzijds worden bedrijven er op deze dag aan herinnerd om de bescherming van persoonsgegevens te verbeteren. 

Europese Dag van de Privacy

Hoe kan je als bedrijf makkelijk datalekken voorkomen?

Omdat de Europese Dag van de Privacy een beetje een feestdag is voor Sirius Legal, analyseerden we de meest voorkomende oorzaken van datalekken bij bedrijven. Deze analyse is niet wetenschappelijk onderbouwd, maar berust op concrete cases en ervaringen van ons cliënteel. Het is frappant dat datalekken bij bedrijven in veel gevallen veroorzaakt worden door menselijke fouten en niet door falende IT systemen ondanks het feit dat het net déze verhalen zijn die de media halen. Databeveiliging hoeft dan ook helemaal niet moeilijk te zijn: in the end draait het veelal om het creëren van bewustzijn, aandacht en controle bij werknemers.

1/ Voer een goede paswoord-policy in

Paswoorden tot online tools circuleren vaak overal binnen een bedrijf: in mailboxen, notities, opgeslagen in niet-beveiligde files op netwerken, als post-it op het scherm gekleefd etc. Bovendien wordt vaak vergeten om de paswoorden van werknemers die de onderneming verlaten onmiddellijk te blokkeren of te desactiveren.

Tip van Sirius Legal: Investeer even tijd in een goede paswoord policy waarin duidelijk wordt omschreven wat je verwacht van je medewerkers op vlak van paswoorden (bv. geen twee keer hetzelfde paswoord gebruiken, een bepaalde moeilijkheid van paswoord, het paswoord niet noteren op een post-it en op de pc kleven, paswoorden steeds in beveiligde files opslaan op het netwerk,…) en werk een procedure uit bij vertrek of ontslag van medewerkers. Zo weet iedereen tijdig wat te doen en verminder je het risico op datalekken.

2/ Investeer en onderhoud je anti-virus systemen

Het zal je maar overkomen: je anti-virus software is vervallen en vrijwel meteen wordt je onderneming aangevallen door een cryptolocker virus. Cryptolocker-virussen zijn virussen die de documenten en bestanden op een pc onbruikbaar maken (door de bestanden te encrypteren) en die losgeld eisen om de bestanden opnieuw leesbaar te maken (te de-encrypteren).

Tip van Sirius Legal: Investeer in een degelijk back-up systeem waarbij minstens dagelijks een back-up wordt gemaakt die vervolgens op een externe locatie wordt opgeslagen en werk steeds je anti-virus bij met de nieuwste updates.

3/ Laat laptops van het bedrijf niet gebruiken voor privé-doeleinden

Heel vaak krijgen medewerkers een laptop ter beschikking gesteld van de onderneming, die vervolgens privé wordt gebruikt om bijvoorbeeld de vakantiefoto’s te bewaren of om te gamen. Het gebruik van een professionele laptop voor privé-doeleinden houdt ernstige risico’s in op vlak van schending van de confidentialiteit van de bedrijfsgegevens maar ook risico op datalekken. Achter die games die soms achteloos worden gedownload, kan bv. keylogger software zitten die malafide personen toelaat om op een makkelijke manier al je paswoorden te achterhalen.

Tip van Sirius Legal: Maak met je medewerkers afspraken over het privé-gebruik van de professionele laptop en creëer bewustzijn (en eventueel beleid) rond het downloaden van apps, tools, games… zeker wanneer deze gratis zijn.

4/ Laat computers en dossiers nooit onbewaakt achter 

Meer en meer bedrijven werken in een “open office” waardoor het praktisch gezien zeer moeilijk is om van iedereen te verlangen dat laptop en dossiers terug worden opgeborgen tijdens bv. de lunchpauze of een interne/externe afspraak. Nochtans houdt een laptop die onbewaakt achterblijft wel degelijk risico’s in,  risico’s die mogelijks zelfs groter zijn in open offices.

Tip van Sirius Legal: Maak met je medewerkers afspraken over schermbeveiliging (vb. te activeren na 1 minuut van inactiviteit) en over het creëren van “clean desks”, minstens aan het einde van de werkdag (bv. aan de hand van een clean desk policy).

5/ Dossierkasten achter slot en grendel

Bedrijven investeren vaak tienduizenden euro’s in beveiliging van hun IT-systemen, hetgeen uiteraard een goeie zaak is. Jammer genoeg vergeet men daarbij vaak dat beveiliging niet enkel een kwestie van IT is, maar even goed van organisatie. Zo bleek uit de audits die we afgelopen maanden deden bij een groot aantal bedrijven in verschillende sectoren: personeelsdossiers worden vaak in fysieke kasten bewaard en deze dossiers bevatten vaak gevoelige gegevens zoals bijvoorbeeld arbeidsongeschiktheidsattesten.

Tip van Sirius Legal: Reden te meer om je medewerkers aan te moedigen om de kasten waarin personeels -en andere dossiers worden bewaard af te sluiten met een sleutel. Indien dit niet mogelijk is, zorg er dan voor dat de lokalen waarin deze kasten zich bevinden minstens ’s avonds afgesloten worden.