11 oktober 2017 • Paul Bierling, Marjon Gielisse en Bas Schrijver

Week van de Veiligheid – Hoe voorkom je datalekken?

Meldplicht datalekken

Sinds 1 januari 2016 geldt in Nederland de meldplicht datalekken. Deze meldplicht houdt in dat organisaties, zoals De Haagse Hogeschool, direct een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) indien er sprake is van een ernstig datalek.

De meldplicht datalekken is ingevoerd omdat de regering hiermee de gevolgen van datalekken voor de betrokkenen zoveel mogelijk hoopt te beperken. Ook hoopt de regering dat dit “een bijdrage levert aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens”.

In het geval van een datalek moet de verantwoordelijke niet alleen een melding doen bij de AP, maar ook de betrokkenen informeren. Geen melding doen van een datalek wanneer dit volgens de richtlijnen wel zou moeten, kan worden bestraft met een bestuurlijk boete.

Overigens hoeft niet ieder datalek te worden gemeld aan de AP. Om te bepalen welke lekken wel of niet moeten worden gemeld, heeft De Haagse Hogeschool een intern meldpunt ingericht. Dit meldpunt doet vervolgens ook waar nodig de feitelijke melding. Het aanspreekpunt van het meldpunt is de functionaris voor de gegevensbescherming van De Haagse Hogeschool, bereikbaar via fg@hhs.nl.

Wat zijn datalekken?

We spreken van een datalek wanneer er sprake is van toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook de onrechtmatige verwerking van gegevens.

Een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker, het zijn allemaal bekende vormen van datalekken. Maar ook de volgende voorbeelden geven een verhoogde kans op datalekken.

1. Versturen van (een mail met) persoonsgegevens aan de verkeerde (mede)student of docent. Wat bijvoorbeeld bij De Haagse met enige regelmaat gebeurt, is dat een mail die bedoeld is voor een medewerker wordt gestuurd aan een student met dezelfde naam, en andersom.
2. Persoonsgegevens in een onveilige ruimte achterlaten. Zo kan het gebeuren dat iemand documenten laat liggen in een lokaal, bij een printer, op een bureau of zelfs in de openbare ruimte.
3. Het niet afsluiten van ruimtes waar wordt gewerkt met persoonsgegevens. Dit geldt ook voor het afsluiten van je eigen laptop/ desktop wanneer je je lokaal of andere werkplek verlaat. Ook als je alleen maar even naar de wc gaat of even een bakje koffie haalt.
4. Kwetsbaarheid of virusbesmetting in software door niet regelmatig updates te installeren én wachtwoorden te wijzigen op al je privé devices.

Wat doet De Haagse om lekken te voorkomen?

De Haagse hogeschool investeert o.a. in informatiebeveiliging, het beschermen van alle informatiebronnen van de hogeschool tegen ongewenste toegang en misbruik. Dat doen we om te voldoen aan wettelijke voorschriften, maar natuurlijk vooral om te zorgen dat bijvoorbeeld de waarde van onze diploma’s boven iedere twijfel verheven is. Naast de basis ISO27001 en de best practices van ISO27002, hebben wij hiervoor het IT-reglement voor studenten (onderdeel van het studentenstatuut). Het is van belang dat je op de hoogte bent van dit reglement.
Kun je zelf datalekken voorkomen?

• Als richtlijn geldt: handel extra bewust als je werkt met persoonsgegevens.
• Let extra goed op bij het versturen van (mail met) persoonsgegevens. Binnen de organisatie is duidelijk herkenbaar welke mailadressen van studenten zijn. Let ook op bij het automatisch invullen van mailadressen na de eerste paar letters.
• Denk goed na of de persoonsgegevens De Haagse Hogeschool wel mogen verlaten. Wie vraagt de gegevens? Mag deze partij deze gegevens opvragen en krijgen? En weet dat e-mail of dropbox ook nog eens de onveiligste methoden zijn voor het uitwisselen van gegevens. Een veiliger alternatief binnen De Haagse is om Sharepoint te gebruiken.
• De meeste mensen kennen het begrip ‘clean desk policy’. Voeg daar aan toe ‘clean printers’ en ‘clean rooms’, en zorg er voor dat je PC niet openstaat als je er zelf geen zicht op hebt.
• Zorg altijd dat je de laatste updates van je gebruikte software tijdig installeert en regelmatig je wachtwoorden wijzigt. Deel ook nooit je wachtwoord met anderen.
• Beveilig je mobiele apparatuur (tablets en smartphones) met een bitlocker en/of toegangscode. Ben jij al boefproof? https://www.maakhetzeniettemakkelijk.nl/boefproof

• Kom je informatie tegen die jij of anderen niet horen te zien? Voorkom de kans op herhaling en neem contact op met het interne meldpunt datalekken en/of de Privacy Officer. Alle meldingen worden zeer zorgvuldig behandeld.
• Even weg van je (werk)plek? Neem je mobiele telefoon mee en vergrendel je computer met de Windows logo toets + L. Of doe de deur of het lokaal op slot.
• Mailen naar een grote groep mensen? Strooi niet met e-mailadressen. Zet jezelf in het Aan: veld en alle andere geadresseerden in het Bcc-veld (Blind Carbon Copy).
• Wil jij je eigen Cyberskills testen? Doe dat dan hier: https://www.alertonline.nl/cyberskillstest#/. Ook met heel veel bruikbare tips.

Week 41 staat jaarlijks landelijk in het teken van veiligheid. Ook binnen De Haagse Hogeschool is veiligheid in al zijn aspecten een erg belangrijk thema. Daarom lichten we deze week iedere dag een ander aspect van veiligheid op De Haagse uit. Meer weten? Kijk op Intranet onder het thema Veiligheid en Crisismanagement.