[Datalekken] Wat is nu een datalek en daar mee om gaan?

Afhankelijk van de info waar je mee omgaat, is Wbp helemaal niet op jou (als persoon/werknemer) van toepassing en misschien niet eens op jouw bedrijf.

Ergo, vraag eens de exacte stukken op bij jouw werkgever; daarin moet staan wat/wanneer een datalek is, de nieuwe gebruiksvoorwaarden voor de apparatuur (incl. mobiele apparatuur) alsmede procedure hoe te handelen bij een lek.

Verder is er ook nog de mogelijkheid dat jij "verantwoordelijk" bent inzake de bewerkersovereenkomsten die zijn afgesproken over bepaalde data. Ook die overeenkomsten zal je van binnen en buiten moeten kennen en "enforcen".

En wat zegt men op je werk als je ze deze vragen voorlegt? Zij zijn degenen die de policy hebben gemaakt, dus ook je eerste aanspreekpunt.

Volgens mij gaat het vrij ver: iets is al heel snel een mogelijk datalek (een daadwerkelijk datalek is wanneer je zeker weet dat gegevens gebruikt zijn door een ongemachtigde) en daar moet je dus melding van maken bij de betreffende autoriteit. Daarbij gaat het over alle gegevens die jij beheert, dus ook gegevens die je niet per se zelf verzameld hebt!

Echter, het gaat daarbij wel om niet-openbare persoonsinformatie. Een adres van een bedrijf, een contactpersoon of telefoonnummer valt hier logischerwijs niet onder, dat is allemaal informatie die je ook via Google wel kunt achterhalen.
Namen gekoppeld aan bijv. geboortedata, bankrekeningnummers en/of -saldi, eigendomsgegevens, data over zorgtrajecten etc. uiteraard wel. Hier is een grijs gebied: zo is een kaal BSN-nummer géén persoonsinformatie maar zodra dit gekoppeld wordt aan een naam weer wél.

Dat je werkgever hier dus heel voorzichtig mee om gaat, is hem alleen maar te prijzen. Ik zou je bedenkingen bespreken binnen je bedrijf en helder krijgen (misschien spelen dit soort vragen wel bij meer collega's) hoe jullie hier in praktische zin mee om moeten gaan. Is er geen informatiemanager of data-adviseur binnen jullie bedrijf?

https://autoriteitpersoon...ldplicht_datalekken_0.pdf

iAmRenzo schreef op donderdag 5 januari 2017 @ 16:25:
Daarnaast verwerken we wel persoonsgegevens maar weer niet in Outlook.

De wet datalekken gaat volgens mij grotendeels om bescherming van persoonsgegevens.
Maar persoonlijk kan dit natuurlijk veel verder gaan. Er zijn genoeg bedrijven die werken met gevoelige informatie. En die, veelal perongeluk, lekken.
Mensen die iets op een persoonlijke one drive oid zetten. Of mailen naar de verkeerde persoon (of te veel personen meenemen in een CC).

Naast de wet Datalek en de meldingsplicht is het denk ik sowieso verstandig om te kijken naar mogelijkheden om lekken van informatie te minimaliseren. Of op z'n minst gebruikers bewust te laten worden hier van.

Daarom zijn bv follow me printers ook handig, zodat je printje met gevoelige info er pas uitkomt als jij bij d e printer bent. En ook niet per ongeluk bij de verkeerde printer die nog op default stond toen je in een ander pand aan het werken was.

Het is goed dat het bedrijf er over na denkt. Maar men moet idd ook goed kijken naar impact.
Anders krijg je idd de kans dat mensen "andere oplossingen" gaan verzinnen en het algemeen alleen maar meer kans is op een datalek.

Tikje naar BV

Begrijp ik goed dat die iPhone een privé-telefoon is?
Dan denk ik dat de redenatie van jouw baas is dat hij geen controle heeft over jouw telefoon. Je zegt wel dat de telefoon goed beveiligd is maar je baas kan en mag dat niet controleren. Zelfs als de telefoon nu veilig is dan zou je die beveiliging morgen weer kunnen uitschakelen. Als jij het zelf niet doet zou je partner of je kind het kunnen doen. Dat is jouw privé-leven en de baas mag zich daar niet mee bemoeien.
Daar komt nog bij dat jouw telefoon ook jouw privé-data bevat. Als een telefoon wordt gestolen wil de baas dat ding op afstand kunnen wissen zonder zich zorgen te maken over jouw vakantiefoto's. Je wil je werknemers ook niet in de situatie brengen dat ze moeten kiezen tussen hun privé-data en de veiligheid van de baas.
Weinig mensen hebben er problemen mee op het apparaat van de baas te vervangen als er iets niet in orde is, met hun eigen spullen doen ze dat niet zo snel. Vanuit het oogpunt van veiligheid is het dus heel begrijpelijk dat je baas niet wil dat je eigen apparatuur gebruikt.

Als er data lekt, op wat voor manier dan ook (encrypted, op papier, etc) dan is het een lek. Maar niet ieder lek hoeft te worden gemeld. Als je telefoon voldoende versleuteld is dan hoef je geen aangift te doen. Als het aannemelijk is dat de data niet misbruikt kan worden (telefoon overreden door bus) hoef je ook geen aangifte te doen. In dit soort gevallen is het vooral belangrijk dat je kan laten zien dat je hebt geprobeerd om de data zo goed mogelijk te beveiligen. Aparte telefoons kopen lijkt me een prima maatregel om te laten zien dat je het serieus neemt.

iAmRenzo schreef op donderdag 5 januari 2017 @ 15:22:
Er gaat waarschijnlijk een goedkope (Android?) telefoon aangeboden worden die dan daarvoor wel kan worden gebruikt.

Top, dan is het niet meer jouw verantwoordelijkheid.

iAmRenzo schreef op donderdag 5 januari 2017 @ 15:22:
Dat ga ik niet gebruiken

En waarom niet? Wat is er mis met het verschuiven van de verantwoordelijkheid?

iAmRenzo schreef op donderdag 5 januari 2017 @ 15:22:
en daarmee is de kans dat ik even een printje maak met dezelfde informatie.
....
Stel dat ik mijn papiertje met gegevens kwijtraak, is dat een datalek?

Zodra je print is het al een datalek en ben jij weer de verantwoordelijke.

Waarom doe je zo moeilijk?

Kickje..

Misschien is er hier iemand die mij dit kan vertellen.
Stel, op onze algemene data schijf hebben wij een map "Algemeen". Daar hebben al onze Domain Users write rechten op. Deze map is bedoeld om bestanden te kunnen delen met de hele organisatie. Stel dat er een collega data op zet waar persoonsgegevens in staan. Theoretisch is deze data dus voor elke werknemer binnen ons bedrijf beschikbaar. Is dit dan ook een data lek en moet deze dan ook gemeld worden?

m0nk schreef op woensdag 8 februari 2017 @ 11:53:
Kickje..

Misschien is er hier iemand die mij dit kan vertellen.
Stel, op onze algemene data schijf hebben wij een map "Algemeen". Daar hebben al onze Domain Users write rechten op. Deze map is bedoeld om bestanden te kunnen delen met de hele organisatie. Stel dat er een collega data op zet waar persoonsgegevens in staan. Theoretisch is deze data dus voor elke werknemer binnen ons bedrijf beschikbaar. Is dit dan ook een data lek en moet deze dan ook gemeld worden?

Ik hoop dat je nog iets aan de reactie hebt, maar er kan dan inderdaad sprake zijn van een datalek. Het lijkt erop dat mensen toegang hebben tot persoonsgegevens, terwijl ze daar (vanuit hun rol) niet voor geautoriseerd zijn. Formeel gezien is dat een datalek en zouden er in elk geval maatregelen getroffen kunnen worden.

Zeker als die mensen ook schrijfrechten hebben, kun je stellen dat de integriteit van de gegevens ook nog eens in het geding is.

[ Voor 6% gewijzigd door Wouterkaas op 23-02-2017 13:15 ]

Idd is dit ook datalek.
Je dient je als bedrijf goed bewust te zijn wat je met je data doet etc.
Dan heb je overal netjes NTFS rechten ingeregeld en stel je op andere punten e.e.a. helemaal open.

De informatie die op die plekken neergezet wordt mag dus geen gevoelige informatie bevatten waar je anders ook geen rechten toe had.
Net als bijvoorbeeld een gevoelig document printer op een open printer en dan niet het printje ophalen.
Of op je bureau onbewaakt documenten laten liggen die gevoelige informatie bevatten.

Even een reactie aansluitend hierop, want ook waar ik werk is het een hot issue ivm duizenden persoonsgegevens die bewerkt worden. Het heeft altijd al de aandacht, maar toch blijf je uitkijken naar nieuwe dingen.

Al lijkt hetgeen dat ik zoek moeilijk te vinden zijn, maar wellicht hebben andere tweakers in het kader van datalekken ook mee te maken. Ik zoek namelijk een alles-in-een-systeem (pasjes, tags o.i.d.?) die gebruikt kunnen worden om rechten toe te kennen aan personen om bepaalde deuren wel of niet te openen (denk aan de serverruimte, archiefruimte etc.), maar tegelijkertijd moet het "pasje" ook een computer of printer kunnen unlocken. Dit om te voorkomen dat er bijvoorbeeld printjes blijven liggen (potentieel datalek). Iemand enige ervaring op dit gebied of die me door kan verwijzen naar een ander topic hierover? Ik heb gezocht, maar kon het niet vinden.

iAmRenzo schreef op donderdag 5 januari 2017 @ 15:22:
Op ons werk mogen we geen werkmail meer op onze telefoon (via de Outlook app) hebben, ondanks dat het toestel en de app met Touch ID zijn beveiligd. Dit vanuit de wet datalekken.
Er gaat waarschijnlijk een goedkope (Android?) telefoon aangeboden worden die dan daarvoor wel kan worden gebruikt. Dat ga ik niet gebruiken,

Waarom *ga* je die telefoon niet gebruiken?

Als je werkgever af dwingt dat je geen zakelijke dingen doet op je privé telefoon, vind ik dat alleen maar heel erg goed van je werkgever. Wij staan het ook niet toe. Mensen mogen met hun privé telefoon nog net het gastnetwerk op, maar email word enkel ontsloten op zakelijke telefoons die onder beheer en verantwoordelijkheid van de ICT afdeling vallen. Op een privé telefoon komt geen zakelijke data.

Overigens leveren wij de mensen die vanuit hun functie een telefoon nodig hebben wel een moderne, middenklasse Android telefoon. Ik heb bijvoorbeeld een HTC One M8. (Ok, technisch gebruik ik mijn oude M7 nog zakelijk en gebruik ik de M8 privé, maar da's een wisseltruukje en geoorloofd.)

Mensen mogen dan wel weer privé gebruik maken van die telefoon en we doen geen MDM. Nog niet. Privé gebruik zullen we niet kunnen uitbannen, willen we ook niet, maar we willen wel ooit naar een locked situatie waarbij wij bepalen welke apps er op die telefoon staan en op afstand het ding kunnen beheren.

en daarmee is de kans dat ik even een printje maak met dezelfde informatie.
Dit gaat dan over mailtjes met zakelijke gegevens over afspraken buiten de deur (contactpersoon, bedrijf en dat soort zaken). Of is dit nog te algemeen voor een 'datalek'?

Stel dat ik mijn iPhone (beveiligd) kwijtraak, is dat een datalek?
Stel dat ik mijn papiertje met gegevens kwijtraak, is dat een datalek?

Hangt van de gegevens af die er op staan. :-)
Maar ja, het verliezen van je iPhone of het verliezen van een papiertje met gegevens kan een datalek zijn.