Share 0
Tweet 0
Pin 0

Hoe een datalek voorkomen? Zo verkleint u het risico als mkb-organisatie

Vink Information Security
Featured Image Without Sidebar
by Dimitry Vink // januari 9 // 0 Comments

Een verkeerd geadresseerde e-mail met klantgegevens. Een verloren laptop zonder versleuteling. Een medewerker die per ongeluk een Excel-bestand in Teams deelt met “iedereen”. Veel datalekken ontstaan niet door “geavanceerde hackers”, maar door heel gewone vergissingen.

Toch zijn de gevolgen allesbehalve klein: meldplichten, stress, onderzoek door de Autoriteit Persoonsgegevens, imagoschade en soms zelfs boetes. De Autoriteit Persoonsgegevens benadrukt daarom dat organisaties zélf veel kunnen doen om datalekken te voorkomen of de impact te beperken.

In dit artikel laten we concreet zien hoe u een datalek voorkomt – pragmatisch, haalbaar en afgestemd op mkb-organisaties die IT veelal hebben uitbesteed, maar wél verantwoordelijk blijven.

Kort antwoord: hoe voorkomt u een datalek?

Hoe datalek voorkomen? In de praktijk werkt een combinatie van beleid, mens en techniek het beste. In de kern doet u het volgende:

  1. Verwerk minder data – verzamel, bewaar en deel alleen persoonsgegevens die echt nodig zijn.
  2. Richt duidelijke processen in – wie mag wat, waar staat welke data, hoe wordt die gedeeld?
  3. Train medewerkers regelmatig – maak van datalekken een bespreekbaar onderwerp, geen taboe.
  4. Beveilig accounts en toegang – sterk wachtwoordbeleid, MFA, rol- en taakgebonden toegang.
  5. Zorg voor passende technische maatregelen – encryptie, logging, back-ups, netwerkbeveiliging, patching.
  6. Ruim data op – verwijder gegevens die u niet meer nodig hebt en beperk kopietjes en exports.
  7. Wees voorbereid als het tóch misgaat – datalekregister, draaiboek, meldprocedure AVG/NIS2.

In de rest van dit blog werken we deze punten uit, met voorbeelden en concrete handvatten voor uw organisatie.

Wat is een datalek precies?

Volgens de AVG is er sprake van een datalek zodra er een inbreuk is op de beveiliging van persoonsgegevens die leidt tot vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang. Het gaat daarbij om elke situatie waarin persoonsgegevens niet langer op de manier worden beschermd die wettelijk vereist is.

Een e-mail met persoonsgegevens naar de verkeerde ontvanger

Een datalek kan ontstaan wanneer een e-mail met persoonsgegevens per ongeluk naar een verkeerde ontvanger wordt gestuurd. Hoewel dit vaak wordt gezien als een kleine fout, kan de impact groot zijn, zeker wanneer het gevoelige of bijzondere persoonsgegevens betreft. De organisatie verliest in zo’n geval de controle over wie toegang heeft tot de gegevens.

Een usb-stick met klantgegevens die is kwijtgeraakt

Ook het verlies van fysieke gegevensdragers valt onder een datalek. Wanneer een usb-stick met klantgegevens kwijtraakt, is niet meer te achterhalen wie toegang heeft tot de informatie. Zelfs als niet vaststaat dat de gegevens daadwerkelijk zijn ingezien, is er sprake van een beveiligingsinbreuk.

Test- en acceptatieomgevingen met productiedata

Het gebruik van echte persoonsgegevens in test- of acceptatieomgevingen zonder passende beveiligingsmaatregelen kan leiden tot een datalek. Deze omgevingen zijn vaak minder streng beveiligd dan productieomgevingen.

Een Excel-bestand met personeelsgegevens dat per ongeluk openbaar is gedeeld

Het onbedoeld openbaar maken van bestanden met persoonsgegevens is een veelvoorkomend voorbeeld van een datalek. Denk aan een Excel-bestand dat via een gedeelde link toegankelijk wordt voor onbevoegden. In zulke gevallen worden persoonsgegevens actief beschikbaar gesteld aan een bredere groep dan bedoeld.

Externe partijen zonder juiste afspraken

Het delen van persoonsgegevens met leveranciers of partners zonder geldige verwerkersovereenkomst, of zonder duidelijke afspraken over beveiliging en gebruik, kan eveneens leiden tot een datalek in de zin van de AVG.

Belangrijk om te onthouden is dat een datalek niet alleen ontstaat door “gehackt worden”. Ook menselijke fouten en organisatorische tekortkomingen kunnen leiden tot een inbreuk op de beveiliging van persoonsgegevens en vallen daarmee onder de definitie van een datalek volgens de AVG.

Hoe ontstaan datalekken in het mkb?

In audits en trajecten bij mkb-organisaties komen telkens dezelfde patronen naar voren. Deze sluiten aan bij wat toezichthouders en kenniscentra structureel rapporteren. Het gaat daarbij zelden om één grote misser, maar vaker om een combinatie van terugkerende oorzaken.

Menselijke fouten

Menselijke fouten vormen een van de meest voorkomende oorzaken van datalekken. Denk aan het sturen van een e-mail naar de verkeerde ontvanger, of het gebruik van privé-clouddiensten en chatapps om snel “even” een bestand te delen. Deze handelingen lijken onschuldig, maar kunnen direct leiden tot ongeoorloofde toegang tot persoonsgegevens.

Onvoldoende toegangsbeheer

Bij veel organisaties is het toegangsbeheer onvoldoende ingericht. Medewerkers hebben toegang tot meer systemen en gegevens dan noodzakelijk is voor hun rol, er wordt gewerkt met gedeelde accounts en er is geen duidelijk onderscheid tussen functies en verantwoordelijkheden. Daarnaast komt het regelmatig voor dat ex-medewerkers nog steeds toegang hebben tot systemen, waardoor het risico op misbruik of fouten toeneemt.

Onveilige apparatuur

Ook het gebruik van onvoldoende beveiligde apparatuur speelt een belangrijke rol. Laptops zonder schijfversleuteling, onbeveiligde usb-sticks, het ontbreken van automatische schermvergrendeling of de mogelijkheid om apparaten op afstand te wissen bij verlies of diefstal vergroten de kans dat persoonsgegevens in verkeerde handen vallen.

Onvoldoende technische basisbeveiliging

Een gebrekkige technische basisbeveiliging is een structureel probleem. Verouderde systemen, het ontbreken van een patchbeleid, geen of onvoldoende logging en het ontbreken van netwerksegmentatie tussen gevoelige en minder gevoelige systemen maken organisaties kwetsbaar voor incidenten en bemoeilijken het tijdig detecteren ervan.

Onvoldoende overzicht over persoonsgegevens

Tot slot ontbreekt het vaak aan overzicht. Veel organisaties weten niet precies waar persoonsgegevens worden opgeslagen, in welke systemen of bestanden ze zich bevinden en wie er toegang toe heeft. Zonder dit inzicht is het vrijwel onmogelijk om risico’s gericht te beheersen of adequaat te reageren bij een incident.

Het goede nieuws is dat vrijwel al deze oorzaken voorspelbaar zijn en daarmee ook voorkom- en beheersbaar. Met de juiste organisatorische, technische en procesmatige maatregelen kunnen veel datalekken worden voorkomen voordat ze ontstaan.

Welke maatregelen kun je treffen?

Laag 1: minder data, beter beleid

De meest vergeten maatregel om datalekken te voorkomen is verrassend simpel: werk met minder data.

Verwerk alleen wat nodig is

De Autoriteit Persoonsgegevens en andere partijen benadrukken het principe van dataminimalisatie. Dit betekent dat organisaties alleen persoonsgegevens mogen verzamelen en bewaren die noodzakelijk zijn voor een duidelijk en gerechtvaardigd doel.

Hebben we al deze gegevens echt nodig?

Bij iedere dataset is het belangrijk om kritisch te kijken naar de noodzaak van de persoonsgegevens. Worden alle gegevens daadwerkelijk gebruikt, of is een deel ervan overbodig en daarmee een onnodig risico?

Met welk doel verwerken we deze data?

Persoonsgegevens mogen alleen worden verwerkt voor een specifiek, vooraf bepaald doel. Het expliciet benoemen van dit doel helpt om scherp te blijven op wat wel en niet nodig is en voorkomt dat data voor andere, onbedoelde doeleinden wordt gebruikt.

Hoe lang moeten we de gegevens bewaren?

Gegevens hoeven niet langer te worden bewaard dan noodzakelijk. Door duidelijke bewaartermijnen vast te stellen en deze actief te beheren, wordt voorkomen dat verouderde data onnodig risico blijft opleveren.

Kunnen we de data eerder anonimiseren of verwijderen?

In veel situaties is het mogelijk om persoonsgegevens na verloop van tijd te anonimiseren of volledig te verwijderen. Dit verkleint de hoeveelheid gevoelige data binnen de organisatie en beperkt de impact wanneer er toch iets misgaat.

Minder data betekent minder risico en daarmee een kleinere impact als er onverhoopt iets misgaat.

Opschonen en ordenen: minder rommel, minder risico

De Autoriteit Persoonsgegevens adviseert expliciet om data actief op te ruimen en regelmatig interne opschoonacties uit te voeren. Door structureel aandacht te besteden aan het verwijderen van overbodige gegevens, wordt het risico op datalekken aanzienlijk verkleind.

Verwijder oude exports, downloads en kopieën

In veel organisaties blijven oude exports, gedownloade bestanden en kopieën van rapportages onnodig lang bestaan. Deze bestanden bevatten vaak persoonsgegevens en vormen een onzichtbaar risico. Door ze actief op te schonen, wordt de hoeveelheid gevoelige data direct verminderd.

Centraliseer de opslag van gegevens

Versnipperde opslag vergroot het risico op fouten en ongeoorloofde toegang. Het is veiliger om te werken met één goed beveiligde centrale omgeving dan met losse mapjes verspreid over laptops, netwerkschijven en cloudomgevingen.

Laat gevoelige bestanden niet in mailarchieven blijven hangen

E-mailarchieven bevatten vaak gevoelige bijlagen die daar eigenlijk niet thuishoren. Door duidelijke afspraken te maken over het opslaan en verwijderen van deze bestanden, wordt voorkomen dat persoonsgegevens onnodig lang in mailboxen blijven staan.

Voer periodiek een opschoondag uit

Het organiseren van een periodieke opschoondag met afdelingen zoals HR, finance en sales helpt om structureel aandacht te geven aan dataminimalisatie. Zo wordt opschonen een vast onderdeel van het werkproces in plaats van een eenmalige actie.

Wie minder digitale rommel heeft, loopt minder risico en verkleint de kans op datalekken aanzienlijk.

Maak beleid concreet (niet alleen op papier)

Veel organisaties beschikken over een privacy- of informatiebeveiligingsbeleid, maar in de praktijk blijft dit vaak een papieren werkelijkheid. Het beleid is wel vastgelegd, maar wordt niet actief gebruikt of nageleefd in het dagelijks werk.

Duidelijk beleid voor e-mail, opslag en het delen van bestanden

Om beleid echt te laten leven, is het belangrijk dat er heldere richtlijnen zijn voor het gebruik van e-mail, de opslag van gegevens en het delen van bestanden. Medewerkers moeten weten wat wel en niet is toegestaan en welke werkwijze van hen wordt verwacht.

Heldere afspraken over cloudopslag en apparaten

Daarnaast zijn duidelijke afspraken nodig over het gebruik van cloudopslag, usb-sticks en privé-apparaten. Zonder deze afspraken ontstaat al snel onduidelijkheid, wat het risico op datalekken vergroot.

Vaste procedures voor nieuwe systemen

Bij de introductie van nieuwe systemen moeten vaste procedures worden gevolgd. Denk aan het toepassen van privacy by design en het uitvoeren van een DPIA wanneer dat vereist is. Zo worden privacy- en beveiligingsrisico’s al in een vroeg stadium meegenomen.

Beleid hoeft geen dik document te zijn, zolang het maar duidelijk, praktisch en toepasbaar is in de dagelijkse praktijk.

Laag 2: mensen & gedrag – de belangrijkste factor

Datalekken ontstaan vaak door mensen. Dat is geen verwijt, maar een realiteit. Daarom is bewustwording net zo belangrijk als techniek.

De mensen

Maak datalekken bespreekbaar

Medewerkers moeten fouten durven melden. Een eerlijk gemelde fout vandaag is altijd beter dan een “vergeten” incident dat een week later volledig is geëscaleerd. Het tijdig signaleren van fouten maakt het mogelijk om schade te beperken en snel passende maatregelen te nemen.

Maak melden normaal

Een open meldcultuur begint bij het normaliseren van melden. Medewerkers moeten weten dat het melden van een fout geen verwijt oplevert, maar juist wordt gewaardeerd als een professionele handeling.

Gebruik fouten om te leren

Fouten bieden waardevolle inzichten. Door incidenten en bijna-incidenten te gebruiken als leermomenten, kan de organisatie processen verbeteren en herhaling voorkomen, in plaats van te focussen op schuld of sancties.

Zorg voor dat medewerkers bij twijfel weten bij wie ze terecht kunnen

Medewerkers moeten precies weten bij wie zij terechtkunnen als ze twijfelen of iets een incident of datalek is. Duidelijke aanspreekpunten en korte lijnen zorgen ervoor dat vragen snel worden gesteld en risico’s niet onnodig blijven liggen.

Gedrag

Train gericht, niet generiek

In plaats van één keer per jaar een algemene e-learning, werkt het beter om korte, praktijkgerichte sessies te doen:

  • hoe ga je om met gevoelige documenten?
  • wanneer is een e-mail risicovol?
  • hoe herken je dat je mogelijk een datalek hebt veroorzaakt?
  • wat doe je dan, stap voor stap?

Koppel voorbeelden aan jullie eigen processen (CRM, ECD, HR-systeem, logistiek platform, etc.).

Laag 3: technische maatregelen – de basis op orde

De AVG schrijft voor dat organisaties “passende technische en organisatorische maatregelen” moeten treffen, afgestemd op de risico’s die zij lopen. Wat “passend” is, hangt af van de context, maar voor mkb-organisaties is er een duidelijke en realistische basis.

Toegangsbeheer en identiteit

Goed toegangsbeheer vormt het fundament van informatiebeveiliging. Medewerkers werken met unieke accounts en gedeelde logins worden vermeden. Sterke wachtwoorden in combinatie met Multi-Factor Authenticatie (MFA) verkleinen de kans op misbruik aanzienlijk. Toegang tot systemen en data is rol- en taakgebonden: medewerkers krijgen alleen toegang tot wat zij nodig hebben voor hun werkzaamheden. Daarnaast zijn duidelijke processen nodig voor in- en uitdiensttreding, waarbij toegangen direct worden ingericht én tijdig worden ingetrokken.

Versleuteling en veilige apparaten

Apparaten waarop persoonsgegevens staan opgeslagen, moeten goed zijn beveiligd. Dit betekent dat laptops, telefoons en usb-media zijn voorzien van encryptie. Automatische schermvergrendeling voorkomt ongewenste inzage bij onbeheerd achtergelaten apparaten. Voor mobiele apparaten is centraal beheer via Mobile Device Management (MDM) wenselijk, bij voorkeur met de mogelijkheid om apparaten op afstand te wissen bij verlies of diefstal.

Logging en monitoring

Inzicht in wat er gebeurt binnen systemen is essentieel. Logging op toegang tot gevoelige systemen en data maakt het mogelijk om incidenten te reconstrueren. Monitoring op verdachte inlogpogingen en ongebruikelijke datastromen helpt om incidenten vroegtijdig te signaleren. Deze logs moeten bovendien periodiek worden beoordeeld, met name rondom kritieke systemen.

Beveiliging van de infrastructuur

Een veilige infrastructuur begint bij up-to-date systemen en software. Patchmanagement voorkomt dat bekende kwetsbaarheden worden misbruikt. Daarnaast is goede netwerkbeveiliging nodig, zoals firewalls, netwerksegmentatie en veilige wifi-configuraties. Ook webapplicaties moeten veilig worden ontwikkeld en correct worden geconfigureerd om datalekken en misbruik te voorkomen.

Het Nationaal Cyber Security Centrum biedt hiervoor praktische richtlijnen en factsheets die goed toepasbaar zijn voor zowel middelgrote als grotere organisaties. Deze handvatten helpen om AVG-eisen concreet en werkbaar te maken in de dagelijkse praktijk.

Voorbereid zijn als het tóch misgaat

Hoe goed u ook uw best doet: 100% voorkomen lukt niemand. Daarom is voorbereiding essentieel.

Datalekregister

Volgens de AVG bent u verplicht om een datalekregister bij te houden, ook voor datalekken die uiteindelijk niet meldplichtig zijn. Het doel hiervan is niet alleen verantwoording afleggen, maar vooral leren van incidenten.

Vastleggen wat er is gebeurd

In het datalekregister wordt vastgelegd wat er precies is gebeurd. Een duidelijke beschrijving van het incident helpt om later te reconstrueren hoe het heeft kunnen ontstaan en welke factoren daarbij een rol speelden.

Inzicht in de betrokken gegevens

Daarnaast wordt genoteerd welke persoonsgegevens bij het incident betrokken waren. Dit geeft inzicht in de aard en gevoeligheid van de data en helpt bij het inschatten van risico’s voor betrokkenen.

Documenteren van genomen maatregelen

Het register bevat ook welke maatregelen zijn genomen om het incident te stoppen en herhaling te voorkomen. Dit maakt zichtbaar welke acties effectief zijn en waar nog verbeteringen nodig zijn.

Onderbouwen van de meldbeslissing

Tot slot wordt vastgelegd waarom is besloten om wel of niet te melden bij de toezichthouder en eventueel bij betrokkenen. Deze onderbouwing is belangrijk voor transparantie en voor eventuele controles achteraf.

Het datalekregister helpt zo om patronen te herkennen en gericht verbetermaatregelen te nemen.

Draaiboek voor datalekken

Een praktisch draaiboek voor datalekken

Een eenvoudig maar goed doordacht draaiboek voorkomt paniek op het moment dat er daadwerkelijk iets misgaat. Door vooraf duidelijke afspraken te maken, kan snel en gestructureerd worden gehandeld.

Duidelijke rollen en verantwoordelijkheden

In het draaiboek is vastgelegd wie het incident onderzoekt, wie beoordeelt of er sprake is van een datalek en wie beslist over het melden bij de Autoriteit Persoonsgegevens en de betrokkenen. Ook is duidelijk wie verantwoordelijk is voor de interne en externe communicatie.

Vastleggen van stappen en acties

Het draaiboek beschrijft welke stappen moeten worden doorlopen en waar deze worden vastgelegd. Dit zorgt voor overzicht en consistentie tijdens en na het incident.

Het Nationaal Cyber Security Centrum benadrukt in zijn richtlijnen dat een incidentresponsplan essentieel is om schade te beperken en de bedrijfsvoering zo goed mogelijk gaande te houden.

Samenvatting: hoe datalek voorkomen in het mkb?

Hoe datalek voorkomen? In de kern draait het om drie dingen:

  1. Minder en beter georganiseerde data – dataminimalisatie, opruimen, duidelijk beleid.
  2. Bewuste medewerkers – trainen, meldcultuur, duidelijke afspraken.
  3. Degelijke technische basis – toegangsbeheer, encryptie, logging, patching, monitoring.

U hoeft geen miljoenenbudget te hebben om serieuze stappen te zetten. Wat u wél nodig hebt, is overzicht: wat doet uw IT-leverancier, wat doet u zelf en waar zitten de blinde vlekken?

Wilt u weten waar de datalek-risico’s in uw organisatie écht zitten?

Veel organisaties hebben het gevoel dat ze het “best goed geregeld” hebben, maar kunnen het niet aantonen. Vaak zien we dan:

  • dat er méér data rondzwerft dan men dacht;
  • dat toegangsrechten veel te ruim zijn;
  • dat er geen zicht is op wie wat doet met gevoelige informatie;
  • dat awareness en beleid achterlopen op de techniek.

Bij Vink Information Security helpen we organisaties om:

  • risico’s rond datalekken zichtbaar te maken;
  • beleid, processen, mensen en techniek op elkaar af te stemmen;
  • praktische maatregelen te kiezen die passen bij uw omvang en sector;
  • aantoonbaar te voldoen aan AVG-eisen.

Wilt u sparren over hoe u datalekken in uw organisatie kunt voorkomen?

Neem gerust contact op – dan kijken we samen waar uw grootste winst ligt.

Bronnen

Autoriteit Persoonsgegevens. (z.d.). Wat is een datalek?

https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken

Autoriteit Persoonsgegevens. (z.d.). Meldplicht datalekken (AVG).

https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/meldplicht-datalekken

Autoriteit Persoonsgegevens. (z.d.). Dataminimalisatie.

https://www.autoriteitpersoonsgegevens.nl/algemene-onderwerpen/avg/dataminimalisatie

Europese Commissie. (2016). Algemene verordening gegevensbescherming (AVG).

https://eur-lex.europa.eu/eli/reg/2016/679/oj

Europese Commissie. (2022). Directive (EU) 2022/2555 (NIS2-richtlijn).

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555

Nationaal Cyber Security Centrum. (z.d.). Ransomware.

https://www.ncsc.nl/onderwerpen/ransomware

Nationaal Cyber Security Centrum. (z.d.). Incidentrespons.

https://www.ncsc.nl/onderwerpen/incidentrespons

ENISA. (2023). ENISA Threat Landscape 2023.

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023

Microsoft. (2024). Protect sensitive data and prevent data breaches.

https://learn.microsoft.com/security

IBM Security. (2023). Cost of a Data Breach Report.

https://www.ibm.com/reports/data-breach

 Vorige
Author Image
About the Author Dimitry Vink
Share 0
Tweet 0
Share 0

"Ik geloof dat informatiebeveiliging niet ingewikkeld of onbetaalbaar hoeft te zijn."

Sinds 2017 helpt Dimitry Vink MKB-ondernemers die worstelen met de groeiende digitale dreiging. Hij fungeert niet als de zoveelste externe consultant, maar als de sparringpartner die naast de ondernemer en de IT-beheerder staat. Expert in ISO 27001, NIS2 en datalek-preventie.