Vanaf 2018 kan het lekken van gevoelige klant- en medewerkersdata de organisatie flinke boetes opleveren. HR kan dit voorkomen. Hoe? Drie privacy-tips.
Het lekken van klantgegevens, duizenden cv’s van uw talentpool die op straat komen te liggen: het gebeurt. Niet alleen levert het de organisatie misschien wel onherstelbare imagoschade op, maar het kan de organisatie per 25 mei 2018 ook flinke boetes opleveren.
Kent u de nieuwe privacywet al?
Vanaf dat moment geldt er namelijk nog maar één privacywet in de hele EU: de algemene verordening gegevensbescherming (AVG). Het uitgangspunt van de AVG is dat persoonsgegevens alleen mogen worden verwerkt wanneer dat strikt noodzakelijk is. Dit betekent dat organisaties nog beter dan nu moeten nadenken over de software die ze gebruiken om persoonsgegevens te bewaren en verwerken. Denk aan naam- en adresgegevens, maar ook gegevens over iemands godsdienst, medische geschiedenis of loopbaan.
De wet verplicht een deel van de Nederlandse organisaties dan ook om een privacyfunctionaris aan te stellen. De privacy-functionaris ziet toe op de naleving van de privacy-wetgeving, informeert en adviseert, is de aanspreekpersoon voor de toezichthouder en voert risicoanalyses uit. Dat geldt voor alle overheidsorganisaties, maar ook voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken, zoals ziektekostenverzekeraars.
Ook medewerker moet helpen boetes te voorkomen
Maar hier ligt ook een probleem: de privacy-functionaris mag dan die taak hebben gekregen, hij of zij kan echter niet overal tegelijk zijn. Daarom zal ook elke werknemer doordrongen moeten zijn van het belang van de bescherming van persoonsgegevens en het voorkomen van datalekken.
Hoe kan een organisatie daarvoor zorgen? HR kan een rol spelen in het voorkomen van problemen, zegt Christian Prickaerts, Director Managed Security Services bij Fox-IT en docent aan de FoxAcademy. Prickaerts geeft drie tips.
1. Besef wat er op het spel staat
Zelfs wanneer de ict-beveiliging van een organisatie goed op orde is, kunnen menselijke fouten voor beveiligingsincidenten zorgen. Prickaerts: “De bescherming van persoonsgegevens moet daarom niet puur als een technisch vraagstuk beschouwd worden, dat alleen van belang is voor security en IT-afdelingen. Iedereen binnen de organisatie moet ervan doordrongen zijn, van de office manager tot de directie, de financiële afdeling tot de sales.”
Prickaerts geeft een voorbeeld van wat er mis kan gaan. “Een medewerker van een zorginstelling maakt voor zijn werk gebruik van een laptop, die hij meeneemt bij het pendelen tussen verschillende afdelingen. Op die laptop staan documenten en mailcorrespondentie met medische informatie over klanten, oftewel: zeer gevoelige persoonsgegevens.
Zo’n laptop kan gestolen worden. Dat valt een medewerker in de regel niet kwalijk te nemen. Maar wanneer de laptop niet is voorzien van versleuteling, dan is de consequentie vervolgens wel dat zeer gevoelige informatie over individuen op straat ligt. Van een medewerker die dergelijke informatie in het kader van zijn of haar functie verwerkt mag je verwachten dat deze werknemer vraagt om beveiligingsmaatregelen zoals versleuteling, om juist die privacy goed te waarborgen. Maar: daarvoor moet de organisatie de medewerker zich wel bewust maken van de gevolgen.”
2. Begrijp hoe snel een menselijke foutgemaakt is: simuleer een testaanval
Hoe kan een organisatie als geheel overtuigd worden van de noodzaak van privacybewustzijn? Soms is daar een schokeffect voor nodig. Prickaerts krijgt van organisaties vaak het verzoek om te helpen bij het opzetten van voorlichtingscampagnes.
“Als start van zo’n campagne imiteren we regelmatig een “phishing”-aanval: we sturen enkele honderden medewerkers een nepmail, waarin we ze proberen te verleiden om een online vragenlijst in te vullen waarin ze gevoelige informatie moeten prijsgeven, of proberen ze te laten klikken op een weblink. Cybercriminelen gebruiken die laatste techniek namelijk vaak om ongemerkt malware te kunnen installeren voor het uitvoeren van aanvallen op afstand.”
Wanneer deze test wordt uitgevoerd, blijkt meestal dat tientallen procenten van de werknemers binnen een organisatie de fout ingaat. “Het is dus een uitstekend middel om organisaties ervan te overtuigen hoe belangrijk het is dat alle werknemers beschikken over voldoende security- en privacybewustzijn, van de receptioniste tot de financiële medewerker.”
3. Creëer een cultuur waarbinnen werknemers beveilingsincidenten kunnen delen
Volgens Prickaerts is niet alleen het percentage werknemers van belang dat vatbaar is voor de hierboven omschreven “phishing”-aanvallen, maar meer nog het percentage werknemers dat zich achteraf realiseert iets verkeerd te hebben gedaan en dat besef bovendien deelt met een ICT-afdeling, security of privacy officer.
Prickaerts: “Het is belangrijk om te weten hoeveel van de werknemers die in de nep-aanval is getrapt, vervolgens contact opneemt met de helpdesk of de privacy officer om op te biechten dat ze mogelijk iets onhandigs hebben gedaan. Soms is dat nagenoeg niemand, maar soms ook gaat het om een hoog percentage. Dat laatste is altijd een heel goed teken: het betekent dat die werknemers zich veilig genoeg hebben gevoeld om, zodra ze zich hebben gerealiseerd dat ze een fout hebben gemaakt, die fout ook te melden.”
Dat is belangrijk omdat dit erop wijst dat beveiligingsincidenten binnen de organisatie snel boven water kunnen komen. Dat geeft de organisatie de kans om snel te onderzoeken of er misbruik van het lek is gemaakt, het probleem te verhelpen en om passende maatregelen voor de toekomst te nemen. HR kan de privacy-functionaris helpen om zo’n cultuur te stimuleren.
Bron: PW De Gids