Een datalek voorkomen bij je instelling, hoe doe je dat?
Natuurlijk is het belangrijk dat je zorgvuldig met gevoelige gegevens omgaat. Maar wat betekent dat eigenlijk? Deze maatregelen helpen je een datalek voorkomen bij je instelling door gevoelige gegevens veilig te bewaren.
Een datalek voorkomen door het juist opslaan en verwijderen van gegevens
Verzamel en gebruik zo min mogelijk persoonsgegevens. Vraag je bijvoorbeeld af of je iemands volledige adres moet opslaan in een lijst, als alleen een emailadres ook voldoende is. Dit principe heet ‘data minimalisatie’.
Verwijder gevoelige gegevens die je niet meer nodig hebt. Informatie wordt vaak automatisch bewaard in systemen. Zo kan je onbewust meer gegevens bewaren dan noodzakelijk.
Als je persoonsgegevens verwerkt voor een onderzoek, kan je deze gegevens pseudonimiseren of anonimiseren. Met pseudonimiseren vervang je bijvoorbeeld een naam door een willekeurige andere naam. Bij anonimiseren verwijder je gegevens die naar een persoon verwijzen. Je verwijdert dan bijvoorbeeld alle namen, of geeft iedereen de naam 'proefpersoon'. Daarmee verklein je de kans op datalekken met jouw dataset.
Beperk het aantal plekken waar je gevoelige gegevens opslaat. Bewaar gevoelige gegevens zoveel mogelijk centraal en houd bij wie er toegang heeft tot deze informatie. Vergeet niet om regelmatig een back-up te maken van gegevens, als dit nog niet automatisch gebeurt.
Een datalek voorkomen door toegang tot gegevens te beperken
Stuur geen persoonsgegevens via e-mail. Daarmee verlies je de controle op de gegevens. Bovendien zijn mailboxen gewilde doelwitten voor hackers omdat er vaak persoonsgegevens en andere belangrijke informatie in bewaard worden.
Bewaar gegevens op een centrale plek en geef mensen toegang tot de applicatie. Dit kan bijvoorbeeld door gebruik te maken van een samenwerkingsomgeving, een systeem speciaal bedoeld voor het onderzoek of een gedeelde bestandsmap.
Een datalek voorkomen door 'privacy by design'
Ben je bezig met het ontwikkelen of inrichten van een nieuw systeem waarin persoonsgegevens verwerkt worden? Neem dan contact op met de Privacy Officer binnen jouw organisatie of instelling. Door de privacyaspecten direct mee te nemen tijdens de ontwikkeling van informatiesystemen, kunnen er extra (technische) maatregelen genomen worden en ingebouwd worden om de persoonsgegevens te beschermen. Zo kun je de risico’s, van bijvoorbeeld datalekken, verkleinen. Dit wordt ook ‘privacy by design’ genoemd.
Een datalek voorkomen door privacy awareness
Om een datalek te voorkomen is het noodzakelijk dat medewerkers, docenten, onderzoekers en studenten weten wat een datalek is. En weten wat ze moeten doen als er een datalek is.
Volg de adviezen van jouw organisatie of instelling voor veilig werken. Dat zijn zaken zoals het gebruiken van een sterk wachtwoord, alert zijn op verdachte emails, het tijdig installeren van updates, het bewaren van bestanden op de daarvoor bedoelde plekken, vergrendel je computer als je niet op je werkplek bent en gebruik een veilige internetverbinding.
Weet waar je een datalek moet melden binnen jouw organisatie of instelling. Bijvoorbeeld bij de ICT servicedesk, een emailadres voor incidenten en datalekken, bij de privacy officer of FG.
Een datalek voorkomen door inzicht in informatiebeveiliging
Zorg dat de informatiebeveiliging op orde is. Maak bijvoorbeeld gebruik van het SURF framework voor informatiebeveiliging, of diensten als SURFaudit om te zien waar verbetering mogelijk is bij jouw instelling of organisatie.
SURF en privacy awareness
SURF is de coöperatie voor IT en Innovatie in de sector onderwijs en onderzoek. Wij ondersteunen instellingen bij het verhogen van privacy awareness met de CSY toolkit. Deze toolkit bestaat onder andere uit een aantal security en privacy thema’s, video’s, afbeeldingen en nog veel meer. Gebruik van de toolkit is gratis voor alle instellingen die aangesloten zijn bij SURF.