Datalekken halen niet altijd het nieuws. Voor elke krantenkop over een grootschalig datalek bij een multinational zijn er duizenden onopgemerkte lekken bij kleine en middelgrote bedrijven — een medewerker die gevoelige bestanden doorstuurt naar een privé-e-mailadres, een clouddienst die verkeerd is geconfigureerd en daardoor voor iedereen toegankelijk is, of een back-upschijf die onversleuteld in een bureaulade is achtergelaten.

Enterprise Data Loss Prevention (DLP)-tools van leveranciers als Symantec, Microsoft Purview of Forcepoint kosten tienduizenden euro's per jaar en vereisen speciale beveiligingsteams voor het beheer. De meeste kleine en middelgrote bedrijven kunnen die investering niet rechtvaardigen. Maar dat betekent niet dat zij hun gegevens niet kunnen beschermen.

De meest effectieve bescherming tegen datalekken begint niet met het aanschaffen van software. Het begint met weten wat u in huis heeft.

Wat is een datalek?

Een datalek is het onbedoeld blootstellen van gegevens aan een onbevoegde partij. In tegenstelling tot een datalek (waarbij sprake is van actieve inbraak), ontstaat een lek vaak door nalatigheid, verkeerde configuratie of een gebrek aan bewustzijn.

Veelvoorkomende lekvectoren voor het MKB zijn onder meer:

  • E-mail — interne documenten extern doorsturen, de verkeerde persoon in cc zetten
  • Cloudopslag — gedeelde links met toegang voor "iedereen met de link"
  • Persoonlijke apparaten (BYOD) — bedrijfsgegevens op onbeheerde telefoons en laptops zonder versleuteling
  • Voormalige werknemers — toegang niet ingetrokken na vertrek
  • Back-ups — onversleutelde back-upschijven, cloudback-ups zonder toegangscontroles
  • Diensten van derden — gegevens gedeeld met leveranciers die hun eigen subverwerkers hebben

Hier zijn 10 praktische stappen die elk MKB-bedrijf kan nemen — geen DLP-pakket voor grote ondernemingen nodig.

1. Weet welke diensten u gebruikt

Maak een lijst van alle clouddiensten, SaaS-tools en platforms die uw organisatie gebruikt. Neem de voor de hand liggende op (e-mail, CRM, boekhouding), maar ook de vergeten (die gratis tool voor het delen van bestanden waar iemand zich drie jaar geleden voor heeft aangemeld).

Documenteer voor elke dienst: wie de verantwoordelijke is, waar de gegevens worden opgeslagen (land) en wat de rol van de dienst is (verwerkingsverantwoordelijke of verwerker).

2. Breng in kaart wie toegang heeft tot wat

Documenteer welke rollen of personen toegang hebben tot welke diensten. Een marketingstagiair zou geen toegang moeten hebben tot het HR-systeem. Een externe aannemer zou geen toegang moeten hebben tot uw financiële software.

Let op concentratierisico's: als één persoon toegang heeft tot alles, vormt zijn of haar account een single point of failure.

3. Beoordeel de beveiliging van apparaten

Elk apparaat dat toegang heeft tot uw diensten is een potentieel lekpunt. Controleer voor elke apparaatcategorie (bedrijfslaptops, persoonlijke telefoons, gedeelde werkstations):

  • Is schijfversleuteling ingeschakeld?
  • Is er een beleid voor schermvergrendeling?
  • Is het op afstand wissen van gegevens mogelijk (voor mobiele apparaten/laptops)?
  • Vinden updates van het besturingssysteem automatisch plaats?
  • Is er MDM (Mobile Device Management)?

Een onversleutelde laptop die in de trein wordt achtergelaten, is een gegevenslek in de maak.

4. Documenteer uw gegevensitems

Welke soorten gegevens verwerkt uw organisatie? Klantnamen, financiële gegevens, arbeidscontracten, gezondheidsgegevens? Classificeer elk gegevensitem op basis van gevoeligheid.

Gegevens van bijzondere persoonsgegevens (gezondheid, biometrische gegevens, ras/etnische afkomst) vereisen extra bescherming onder de AVG. Als u deze verwerkt, moet u precies weten waar ze zich bevinden.

5. Controleer uw rechtsgronden en bewaartermijnen

Documenteer voor elk gegevensitem waarom u het verwerkt (de rechtsgrond volgens de AVG) en hoe lang u het bewaart. Gegevens die u niet meer nodig hebt, zijn gegevens die niet mogen uitlekken. Verwijder wat u niet langer nodig hebt.

Ontbrekende rechtsgrondslagen en onduidelijke bewaartermijnen zijn rode vlaggen bij elke audit.

6. Controleer de toegangsrechten periodiek

Toegangsrechten stapelen zich in de loop van de tijd op. Mensen veranderen van functie, sluiten zich aan bij projecten, verlaten het bedrijf — maar hun toegangsrechten blijven vaak hetzelfde. Voer periodieke toegangsbeoordelingen uit:

  • Heeft iedereen nog steeds de toegang nodig die hij of zij heeft?
  • Zijn er accounts die al maanden niet zijn gebruikt?
  • Zijn er gedeelde accounts in gebruik (deze moeten worden verwijderd)?

7. Controleer uw back-upstrategie

Back-ups zijn essentieel, maar het zijn ook kopieën van uw gevoelige gegevens. Stel uzelf de volgende vragen:

  • Waar worden uw back-ups opgeslagen? Op locatie? Buiten de locatie? In de cloud?
  • Zijn ze versleuteld?
  • Wie heeft toegang tot de back-upmedia?
  • Heeft u onlangs het herstellen vanuit een back-up getest?
  • Volgen uw back-ups een strategie zoals 3-2-1 (3 kopieën, 2 mediatypen, 1 off-site)?

Een onversleutelde back-up op een NAS zonder toegangscontroles vormt een risico op datalekken.

8. Beoordeel vendor lock-in en exitstrategieën

Als een leverancier uw gegevens bewaart en u deze niet kunt exporteren, bent u afhankelijk. Als die leverancier gecompromitteerd raakt, gaan uw gegevens mee ten onder. Voor elke kritieke dienst:

  • Kunt u uw gegevens in een open formaat exporteren?
  • Wat gebeurt er als de leverancier failliet gaat of wordt overgenomen?
  • Heeft u een gegevensverwerkingsovereenkomst (DPA)?

9. Documenteer gegevensoverdrachten

Gegevens blijven niet op één plek. Ze stromen tussen diensten: uw CRM synchroniseert met uw e-mailmarketingtool, uw ERP exporteert naar uw business intelligence-dashboard, uw laptops maken een back-up naar een NAS die naar de cloud repliceert.

Breng deze overdrachten in kaart. Documenteer voor elke overdracht: welke gegevens worden verplaatst, waarom, hoe (API, bestandsoverdracht, handmatige export) en of deze de grens overgaan.

10. Stel een risicobeoordeling op

Zodra u al het bovenstaande heeft gedocumenteerd, beschikt u over voldoende informatie om uw risico's te beoordelen. Bekijk elke dienst en vraag uzelf af: wat is het ergste dat er kan gebeuren als deze dienst wordt gecompromitteerd? Wat als deze gegevens uitlekken? Wat als dit apparaat zoekraakt?

Een risicoregister dat elke dienst scoort op basis van de gevoeligheid van de gegevens, toegangspatronen en beveiligingsmaatregelen, geeft u een geprioriteerde lijst van wat u als eerste moet aanpakken.

Van checklist naar continu proces

Deze checklist is geen eenmalige exercitie. Datalandschappen veranderen voortdurend — er worden nieuwe diensten geïmplementeerd, mensen komen en gaan, regelgeving evolueert. De organisaties die datalekken voorkomen, zijn degenen die van deze documentatie een levend proces maken, geen stoffig PDF-bestand.

Hulpmiddelen die helpen

Readmodel® automatiseert het grootste deel van deze checklist. Het biedt meer dan 200 vooraf geconfigureerde servicesjablonen, brengt datastromen in kaart met een interactieve grafiek, scoort risico's automatisch, controleert de naleving van de back-upstrategie, beoordeelt de beveiliging van apparaten en genereert door AI aangestuurde analyserapporten. De verwerkingsregister- en risicoregister-exporten zijn een bijproduct van de documentatie die u toch al zou willen uitvoeren.