Meer data opslaan brengt veel voordelen met zich mee, maar met die voordelen zijn er ook meer verantwoordelijkheden. Zo is er bij meer data ook meer aandacht nodig voor beveiliging van systemen en bewust handelen van medewerkers. Een hacker die een systeem binnendringt, een gestolen laptop, maar ook een mail gestuurd naar een verkeerde ontvanger. Wanneer gegevens vrijkomen zonder dat een organisatie dat wil, spreken we van een datalek. In dit artikel delen een aantal bonden hun praktische kennis over dit onderwerp.
Alle sportorganisaties werken met gegevens van sporters, fans, medewerkers en andere belanghebbenden. Deze partijen moeten erop kunnen vertrouwen dat de gegevens in goede handen zijn. Hier geldt dat vertrouwen tijd kost om op te bouwen, maar veel sneller weer verloren is. Een datalek of onvoldoende beveiliging van je data leidt tot sociale schade en reputatieschade. Daarnaast is er ook de financiële schade van het herstellen van een geraakt systeem, en een boete vanuit de AVG voor onvoldoende beveiliging. Er zijn veel verschillende oorzaken voor het zich voordoen van een datalek. Waar er nog voornamelijk gedacht wordt aan kwaadwillende derden, in de vorm van cybercrime tot brandstichting, zijn dit minder voorkomende manieren van datalekken. Het technisch falen en achterstallig onderhoud van systemen kan een oorzaak zijn, maar de meest voorkomende oorzaak blijft menselijk handelen zonder kwade bedoelingen.
Goede omgang en beveiliging van gegevens start bij het nemen van beheersmaatregelen om het risico op een datalek te verkleinen. Echter is zelfs met de beste beveiligingstechnologie en de meest alerte medewerkers een organisatie nog altijd kwetsbaar. Vanwege deze kwetsbaarheid bereiden veel organisaties zich voor alsof een datalek al geweest is, of zeer aanstaande is. Het is belangrijk dat je weet wat je informatie waard is en welke risico’s je loopt, om vervolgens ook adequaat te kunnen handelen. In het geval dat er een datalek plaats heeft gevonden hebben een aantal bonden ervaren wat er op dat moment gedaan moet worden. Deze ervaringen geven samen een goed overzicht wat je als organisatie te doen staat om de risico’s van een datalek te verkleinen, maar vooral ook om de gevolgen adequaat aan te pakken en te verbeteren.
Best practices van bonden
De meest relevante lessen zijn te leren van organisaties in de sport waar een datalek al plaats heeft gevonden. Hoe zijn zij omgegaan met het afhandelen van een lek, en hoe werken zij nu aan preventie.
Een datalek, hoe groot of klein, vraagt altijd aandacht en focus.
Voorkomen: de risico’s verkleinen
Het voorkomen van een datalek is het eerste uitgangspunt. Daarvoor kan je als organisatie verschillende stappen direct nemen. Bonden noemen de volgende voorbeelden van aandachtspunten waar direct mee gestart kan worden:
- Ga op zoek naar je eigen potentiële datalek; Zorg ervoor dat de meest kwetsbare plekken van je data afgeschermd zijn om zo een datalek te voorkomen. Dit zijn de in potentie makkelijk te hacken plekken in systemen, of bijvoorbeeld de data die op een persoonlijke laptop verwerkt worden in plaats van op de werklaptop. Zo kan er bijvoorbeeld door een externe partij structurele beveiligingsanalyses en code-reviews worden uitgevoerd.
- Regel eigenaarschap en verantwoordelijkheid; Maak iemand verantwoordelijk voor elke database of overkoepelend voor beveiliging van databases. De expertise hoeft niet altijd binnen de bond te vinden te zijn, maar zorg er wel voor dat er regie gevoerd wordt over de situatie door een eindverantwoordelijke.
- Breng de risico’s in kaart, en maak dit intern ook kenbaar; niet alle data is even waardevol en loopt dus ook even veel risico. Kritische waardevolle data vraagt om een andere bescherming. Data over de gezondheid van sporters, situaties met doping, en andere gevoelige zaken horen met een andere voorzichtigheid behandeld te worden dan de uitslagen van een competitie.
- Verwijder onnodige data; data die er niet is, kan ook niet in verkeerde handen vallen. Verwijder bijvoorbeeld het adres behalve de postcode na 5 jaar inactiviteit.
- Beheer je platforms; pas monitoring toe op je platforms en haal deze offline als die niet meer beheerd worden. Als gebruikers van de data moeten inloggen, dan is het makkelijker te achterhalen wie er allemaal kortgeleden nog met de data bezig is geweest. Zo kan er ook mensen ontzegd worden om van bepaalde data gebruik te maken.
- Ontzeg de toegang van vertrekkend personeel; Personeel dat vertrekt, uit zichzelf, of vanwege andere redenen zouden geen toegang meer moeten hebben tot de systemen.
Afhandelen: wees voorbereid om juist te reageren
Als er dan toch een datalek plaatsvindt, weet dan wat het protocol is en welke stappen er ondernomen moeten worden. De volgende vier stappen zijn een goed begin van een protocol:
Stap 1: Schade analyseren
Zorg onmiddellijk voor overzicht over de situatie. Wat is er gebeurd, wat is de omvang en wie heeft er mogelijk toegang tot de data? Start daarna met het nemen van gerichte vervolgstappen, zoals het dichten van het lek. Kan je de schade direct beperken? Neem die stappen onmiddellijk. Voor het snel analyseren van de schade, kan je intern een crisismanager aanstellen. Ook kan je hulp zoeken bij een beveiligingsexpert of adviseur op het gebied van data en IT.
Stap 2: Een datalek registeren
Is er veel risico op schade voor de betrokkenen? Dan heb je een meldplicht bij de Autoriteit Persoonsgegevens (AP). Datalekken die een mogelijk risico zijn voor rechten en vrijheden van de betrokkenen, moeten binnen 72 uur zijn gemeld. Zijn de risico’s beperkt, dan is interne registratie nodig in een datalekregister. Deze handeling is minder tijdgevoelig. Om een idee te krijgen van wat een melding van je vraagt als sportbond, kan je nu al eens kijken op de website van de AP en een melding openen zonder deze te verzenden. Dan weet je alvast precies welke vragen je wilt kunnen beantwoorden.
Stap 3: Betrokkenen informeren
Breng ook de betrokkenen van het datalek op de hoogte van de situatie. Vertel ze daarbij bijvoorbeeld wat ze zelf al kunnen doen om de schade te beperken. Verplaats je in degene van wie je de data hebt kwijt gemaakt. Hoe zou die willen dat er wordt gecommuniceerd en welke informatie is er nodig? Dit kan je meenemen in je analyse, en in de benadering van de betrokkenen. In de praktijk kan je er bijvoorbeeld voor kiezen om een FAQ op te stellen voor interne en externe vragen. Ook kan het nodig zijn om je contactcentrum tijdelijk uit te breiden en zo de betrokkenen beter te woord te kunnen staan.
Stap 4: Verbeteren van de situatie
Ten slotte is het goed om jezelf en de organisatie de vraag te stellen hoe je kan verbeteren. Van deze analyse kan je als bond veel leren. Dit is dan ook een goed moment om bijvoorbeeld aanvullende specifieke beveiligingsanalyses uit te voeren op je platforms en binnen je systemen. Ook kan je als bond nog eens goed kijken naar een protocol, een leidraad om te volgen in tijden van crisis. Een datalek komt nooit op een fijn moment, daarom wil je weten welke stappen je gaat volgen. Je kan dit protocol ook aanvullen op basis van je eigen ervaring of die van andere sportorganisaties. En probeer ook niet alles alleen op te lossen. Vraag eens een andere bond om hulp die heeft ervaren hoe het is om snel en adequaat te handelen bij een datalek.
Vragen naar aanleiding van het artikel of rondom dit onderwerp? Mail naar: moniek.deleeuw@nocnsf.nl. We beantwoorden zelf je vraag, of zoeken mee naar de juiste expertise.
Disclaimer: de informatie uit dit artikel is gebaseerd op ervaringen en kan niet worden gezien als een compleet advies. Als organisatie blijf je altijd zelf verantwoordelijk en aansprakelijk. Doe je voordeel met de informatie en tips, en blijf vooral ook zelf logisch nadenken.