4 vragen over dataverlies
Als een bedrijf getroffen wordt door een cyberaanval, dan is het de daders vaak maar om 1 ding te doen: het werk zoveel mogelijk platleggen. Dit doen ze door belangrijke data en processen te gijzelen. Hoe kunnen we deze schade door dataverlies zoveel mogelijk beperken.
Bijna elk bedrijf verwerkt persoonsgegevens. Denk aan het opslaan van klant- en leveranciersgegevens in een CRM-systeem. Of aan een portal waarin de gegevens van uitzendkrachten zijn verzameld. Of het contactformulier op je bedrijfswebsite waar mensen een vraag kunnen stellen. In dat opzicht is een uitzendorganisatie dus niet bijzonder. Maar in de uitzendbranche worden regelmatig veel meer persoonsgegevens verwerkt dan bij een gemiddeld bedrijf. En veel van die gegevens zijn zeer privacygevoelig. Denk maar aan BSN-nummers. Of kopieën van identiteitsbewijzen zoals rijbewijzen en paspoorten. En registraties van voertuigen aan de hand van kentekens. Er gelden strenge regels voor het verwerken van persoonsgegevens. Die zijn onder andere vastgelegd in de Algemene verordening gegevensbescherming (AVG).
Voor een uitzendorganisatie kunnen de gevolgen van een datalek groot zijn. Uitzendbureaus verwerken meer persoonsgegevens dan de meeste bedrijven. Die zijn bovendien gevoeliger dan gemiddeld. Bij een datalek is een uitzendbureau dus extra kwetsbaar. Daarom is aandacht voor digitale veiligheid van groot belang voor uitzendondernemers.
Voor een uitzendorganisatie kunnen de gevolgen van een datalek groot zijn. Uitzendbureaus verwerken meer persoonsgegevens dan de meeste bedrijven. Die zijn bovendien gevoeliger dan gemiddeld. Bij een datalek is een uitzendbureau dus extra kwetsbaar. Daarom is aandacht voor digitale veiligheid van groot belang voor uitzendondernemers.
De AVG stelt regels voor het verzamelen en bewaren van persoonsgegevens. De belangrijkste is dat je niet zomaar alles mag vastleggen. Als een uitzendkracht ziek wordt, is de oorzaak van de ziekte privé. Die mag dus nooit in een dossier terechtkomen. Toch gaat dat vaak fout, zonder dat er opzet in het spel is. Bijvoorbeeld als de inlener telefonisch doorgeeft dat de uitzendkracht vermoeidheidsklachten heeft omdat er thuis financiële problemen zijn. Een notitie is dan snel gemaakt. Als die informatie in handen valt van criminelen bestaat de kans dat privé-informatie op straat komt te liggen. Met een mogelijke schadeclaim van de uitzendkracht bij de uitzendorganisatie tot gevolg.
In de AVG staan 6 grondslagen voor het verwerken van deze gegevens:
- Je hebt toestemming van de persoon om wie het gaat.
- De gegevens zijn nodig om een overeenkomst uit te voeren.
- De wet verplicht je de gegevens te verwerken.
- De gegevens zijn noodzakelijk om belangen te beschermen.
- De gegevens zijn noodzakelijk voor een taak van algemeen belang of openbaar gezag.
- Je hebt de gegevens nodig om je gerechtvaardigde belang te behartigen.
Stel dat criminelen je netwerk of systemen hacken en persoonsgegevens stelen. Mogelijk ontvang je dan een e-mail die bewijst dat ze toegang tot gevoelige informatie hebben. En dat ze die gegevens niet openbaar zullen maken als je losgeld betaalt. Ze beloven de gestolen gegevens bij betaling te vernietigen. Een moeilijke beslissing, want je krijgt eigenlijk geen enkele garantie.
Los van cybercriminaliteit kan het ook voorkomen dat een medewerker zelf een datalek veroorzaakt. Bijvoorbeeld door een e-mailbijlage met persoonsgegevens naar de verkeerde ontvanger te sturen.
Wat de oorzaak ook is, de gevolgen kunnen enorm zijn en het kost vaak veel tijd en geld om een incident op te lossen. Dat gaat verder dan het technische aspect: je zult misschien ook tijd moeten besteden aan het herstellen van relaties en de reputatie van je bedrijf onder uitzendkrachten en inleners.
Gelukkig zijn er verschillende maatregelen die je kunt treffen in het kader van je cyberveiligheid. Denk aan het laten uitvoeren van een Cyber Assessment, of het afsluiten van een Cyberverzekering voor bedrijven.
Let op: je bent verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Je kunt een boete krijgen als je de privacywetgeving overtreedt. Die kan oplopen tot een maximumbedrag van 20 miljoen euro of 4% van de jaaromzet van je bedrijf wereldwijd.
Los van cybercriminaliteit kan het ook voorkomen dat een medewerker zelf een datalek veroorzaakt. Bijvoorbeeld door een e-mailbijlage met persoonsgegevens naar de verkeerde ontvanger te sturen.
Wat de oorzaak ook is, de gevolgen kunnen enorm zijn en het kost vaak veel tijd en geld om een incident op te lossen. Dat gaat verder dan het technische aspect: je zult misschien ook tijd moeten besteden aan het herstellen van relaties en de reputatie van je bedrijf onder uitzendkrachten en inleners.
Gelukkig zijn er verschillende maatregelen die je kunt treffen in het kader van je cyberveiligheid. Denk aan het laten uitvoeren van een Cyber Assessment, of het afsluiten van een Cyberverzekering voor bedrijven.
Let op: je bent verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens. Je kunt een boete krijgen als je de privacywetgeving overtreedt. Die kan oplopen tot een maximumbedrag van 20 miljoen euro of 4% van de jaaromzet van je bedrijf wereldwijd.
Om te beginnen: zorg voor voldoende maatregelen om de cyberveiligheid van je bedrijf te waarborgen. Daarover vertel ik meer in het artikel over de cyberveiligheid van je uitzendorganisatie. Daarnaast is het belangrijk dat je de regels van de AVG volgt. 3 tips:
- Bewaar uitsluitend wat je mag bewaren en niet meer dan je nodig hebt voor de bedrijfsvoering van je uitzendorganisatie. Voor alle gegevens die je bewaart moet een wettelijke grondslag zijn (zie vraag 2 van dit artikel).
- Bewaar persoonsgegevens niet langer dan strikt noodzakelijk. Wat je niet meer hebt kan ook niet gestolen worden. In de Algemene verordening gegevensbescherming (AVG) staan geen concrete bewaartermijnen. Het uitgangspunt is dat je persoonsgegevens niet langer bewaart dan noodzakelijk.
Een voorbeeld: de Belastingdienst bepaalt dat je de basisgegevens altijd 7 jaar moet bewaren. Het gaat dan om je debiteuren- en crediteuren, de in- en verkoopadministratie en het grootboek.
Kijk dus altijd kritisch naar wat je bewaart. Als je gegevens of bepaalde onderdelen daarvan niet meer nodig hebt kun je ze beter verwijderen. - Zorg voor strikte naleving van wie welke gegevens mag inzien. Dat geldt intern voor je eigen medewerkers, maar ook voor als je met andere partijen of organisaties samenwerkt. Werk je samen met externe partijen? Zorg dan voor een verwerkersovereenkomst. Die bepaalt onder welke voorwaarden die partijen over gegevens mogen beschikken.
