4 vragen over dataverlies
Als een bedrijf getroffen wordt door een cyberaanval, dan is het de daders vaak maar om 1 ding te doen: het werk zoveel mogelijk platleggen. Dit doen ze door belangrijke data en processen te gijzelen. Hoe kunnen we deze schade door dataverlies zoveel mogelijk beperken.
Bijna elk bedrijf verwerkt persoonsgegevens. Denk aan het opslaan van klant- en leveranciersgegevens in een CRM-systeem. Of aan een portal waarin de gegevens van uitzendkrachten zijn verzameld. Of het contactformulier op uw bedrijfswebsite waar mensen een vraag kunnen stellen. In dat opzicht is een uitzendorganisatie dus niet bijzonder. Maar in de uitzendbranche worden regelmatig veel meer persoonsgegevens verwerkt dan bij een gemiddeld bedrijf. En veel van die gegevens zijn zeer privacygevoelig. Denk maar aan BSN-nummers. Of kopieën van identiteitsbewijzen zoals rijbewijzen en paspoorten. En registraties van voertuigen aan de hand van kentekens. Er gelden strenge regels voor het verwerken van persoonsgegevens. Die zijn onder andere vastgelegd in de Algemene verordening gegevensbescherming (AVG).
Voor een uitzendorganisatie kunnen de gevolgen van een datalek groot zijn. Uitzendbureaus verwerken meer persoonsgegevens dan de meeste bedrijven. Die zijn bovendien gevoeliger dan gemiddeld. Bij een datalek is een uitzendbureau dus extra kwetsbaar. Daarom is aandacht voor digitale veiligheid van groot belang voor uitzendondernemers.
Voor een uitzendorganisatie kunnen de gevolgen van een datalek groot zijn. Uitzendbureaus verwerken meer persoonsgegevens dan de meeste bedrijven. Die zijn bovendien gevoeliger dan gemiddeld. Bij een datalek is een uitzendbureau dus extra kwetsbaar. Daarom is aandacht voor digitale veiligheid van groot belang voor uitzendondernemers.
De AVG stelt regels voor het verzamelen en bewaren van persoonsgegevens. De belangrijkste is dat u niet zomaar alles mag vastleggen. Als een uitzendkracht ziek wordt, is de oorzaak van de ziekte privé. Die mag dus nooit in een dossier terechtkomen. Toch gaat dat vaak fout, zonder dat er opzet in het spel is. Bijvoorbeeld als de inlener telefonisch doorgeeft dat de uitzendkracht vermoeidheidsklachten heeft omdat er thuis financiële problemen zijn. Een notitie is dan snel gemaakt. Als die informatie in handen valt van criminelen bestaat de kans dat privé-informatie op straat komt te liggen. Met een mogelijke schadeclaim van de uitzendkracht bij de uitzendorganisatie tot gevolg.
In de AVG staan 6 grondslagen voor het verwerken van deze gegevens:
- U heeft toestemming van de persoon om wie het gaat.
- De gegevens zijn nodig om een overeenkomst uit te voeren.
- De wet verplicht u de gegevens te verwerken.
- De gegevens zijn noodzakelijk om belangen te beschermen.
- De gegevens zijn noodzakelijk voor een taak van algemeen belang of openbaar gezag.
- U heeft de gegevens nodig om uw gerechtvaardigde belang te behartigen.
Stel dat criminelen uw netwerk of systemen hacken en persoonsgegevens stelen. Mogelijk ontvangt u dan een e-mail die bewijst dat ze toegang tot gevoelige informatie hebben. En dat ze die gegevens niet openbaar zullen maken als u losgeld betaalt. Ze beloven de gestolen gegevens bij betaling te vernietigen. Een moeilijke beslissing, want u krijgt heeft eigenlijk geen enkele garantie.
Los van cybercriminaliteit kan het ook voorkomen dat een medewerker zelf een datalek veroorzaakt. Bijvoorbeeld door een e-mailbijlage met persoonsgegevens naar de verkeerde ontvanger te sturen.
Wat de oorzaak ook is, de gevolgen kunnen enorm zijn en het kost vaak veel tijd en geld om een incident op te lossen. Dat gaat verder dan het technische aspect: u zult misschien ook tijd moeten besteden aan het herstellen van relaties en de reputatie van uw bedrijf onder uitzendkrachten en inleners.
Gelukkig zijn er verschillende maatregelen die u kunt treffen in het kader van uw cyberveiligheid. Denk aan het laten uitvoeren van een Cyber Assessment, of het afsluiten van een Cyberverzekering voor bedrijven.
Let op: u bent verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. U kunt een boete krijgen als u de privacywetgeving overtreedt. Die kan oplopen tot een maximumbedrag van 20 miljoen euro of 4% van de jaaromzet van uw bedrijf wereldwijd.
Los van cybercriminaliteit kan het ook voorkomen dat een medewerker zelf een datalek veroorzaakt. Bijvoorbeeld door een e-mailbijlage met persoonsgegevens naar de verkeerde ontvanger te sturen.
Wat de oorzaak ook is, de gevolgen kunnen enorm zijn en het kost vaak veel tijd en geld om een incident op te lossen. Dat gaat verder dan het technische aspect: u zult misschien ook tijd moeten besteden aan het herstellen van relaties en de reputatie van uw bedrijf onder uitzendkrachten en inleners.
Gelukkig zijn er verschillende maatregelen die u kunt treffen in het kader van uw cyberveiligheid. Denk aan het laten uitvoeren van een Cyber Assessment, of het afsluiten van een Cyberverzekering voor bedrijven.
Let op: u bent verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. U kunt een boete krijgen als u de privacywetgeving overtreedt. Die kan oplopen tot een maximumbedrag van 20 miljoen euro of 4% van de jaaromzet van uw bedrijf wereldwijd.
Om te beginnen: zorg voor voldoende maatregelen om de cyberveiligheid van uw bedrijf te waarborgen. Daarover vertel ik meer in het artikel over de cyberveiligheid van uw uitzendorganisatie. Daarnaast is het belangrijk dat u de regels van de AVG volgt. 3 tips:
- Bewaar uitsluitend wat u mag bewaren en niet meer dan u nodig heeft voor de bedrijfsvoering van uw uitzendorganisatie. Voor alle gegevens die u bewaart moet een wettelijke grondslag zijn (zie vraag 2 van dit artikel).
- Bewaar persoonsgegevens niet langer dan strikt noodzakelijk. Wat u niet meer heeft kan ook niet gestolen worden. In de Algemene verordening gegevensbescherming (AVG) staan geen concrete bewaartermijnen. Het uitgangspunt is dat u persoonsgegevens niet langer bewaart dan noodzakelijk.
Een voorbeeld: de Belastingdienst bepaalt dat u de basisgegevens altijd 7 jaar moet bewaren. Het gaat dan om uw debiteuren- en crediteuren, de in- en verkoopadministratie en het grootboek.
Kijk dus altijd kritisch naar wat u bewaart. Als u gegevens of bepaalde onderdelen daarvan niet meer nodig kunt u ze beter verwijderen. - Zorg voor strikte naleving van wie welke gegevens mag inzien. Dat geldt intern voor uw eigen medewerkers, maar ook voor als u met andere partijen of organisaties samenwerkt. Werkt u samen met externe partijen? Zorg dan voor een verwerkersovereenkomst. Die bepaalt onder welke voorwaarden die partijen over gegevens mogen beschikken.
.png?auto=format%2Ccompress&fit=crop&fp-x=0.62&fp-y=0.35&crop=focalpoint&rev=407D52F5551F45558FA7EC7D36385B39&w=740&h=900&hash=23CAF6407058A9742F70455B16166944)
