Vakantieparkconcern EuroParcs meldde dat zij een datalek hebben ontdekt. Welke (klant)gegevens er precies zijn gelekt, wordt nog onderzocht. Wel wisten ze te melden dat het lek “snel” was gevonden. Klanten wordt gevraagd om extra alert te zijn.
Wat is nu een datalek precies?
De Autoriteit Persoonsgegevens (AP) omschrijft een datalek als volgt: “Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek”.
Wat is het gevaar van een datalek?
Een datalek kan tot resultaat hebben dat ongewenste personen toegang hebben tot persoonsgegevens, maar kan ook leiden tot het wijzigen, ontoegankelijk maken of vernietigen ervan. Elk van deze soorten datalekken brengt voor een organisatie bepaalde risico’s en schadeposten met zich mee.
De schade kan aanzienlijk zijn. Geen toegang meer kunnen krijgen tot gegevens of systemen kan de bedrijfsvoering compleet platleggen.
Wanneer bedrijfsgegevens uitlekken en ‘op straat’ komen te liggen, betreft dit vaak privacygevoelige informatie. Vaak zijn dit gegevens zoals contactgegevens, maar ook gebruikersnamen en wachtwoorden van klanten. En dat geeft risico’s op misbruik, vaak voor nietsvermoedende klanten. Kwaadwillenden kunnen bijvoorbeeld de gelekte contactgegevens gebruiken voor phishing. Zij doen zich dan voor als het bedrijf en vragen de ontvanger naar een (valse) website te gaan. Daar kunnen zij deze mensen meer gegevens of geld afhandig maken.
Vergeet reputatieschade niet
In een eerdere blog over de verborgen kosten van een cyberaanval gingen we in op de soorten schade die een bedrijf oploopt bij een cyberincident zoals een datalek. Wanneer de bedrijfsvoering wordt stilgelegd, heeft dit uiteraard direct financiële consequenties. Er komt immers tijdelijk geen geld binnen. Ook kan de Autoriteit Persoonsgegevens een bedrijf een boete opleggen. Het herstellen van apparatuur en infrastructuur na een incident brengt ook de nodige kosten met zich mee.
Maar wat veel bedrijven niet incalculeren, is de enorme impact die een datalek kan hebben op het klantenvertrouwen en de reputatie. Het is niet ondenkbaar dat klanten liever kiezen voor een concurrent omdat zij zich onveilig voelen na een cyberincident. Of zij nu al klant waren bij het getroffen bedrijf of niet – een datalek is nooit goed voor het imago.
Na een datalek: wat kun je als bedrijf doen?
In het geval van EuroParcs lijken zij er alles aan te doen om hun klanten gerust te stellen en risico’s op schade te verminderen. Klanten zijn op de hoogte gesteld van het lek, onder andere via een aparte webpagina met uitleg en veelgestelde vragen. Hierop geeft het concern duidelijk aan dat ze weliswaar nog onderzoek doen naar de aard van het lek, maar ook dat zeker is dat zowel de mailinglist als reserveringssysteem niet geraakt zijn. Klanten kunnen contact opnemen met de Functionaris Gegevensbescherming van EuroParcs wanneer zij meer vragen hebben. Verder geven zij aan dat ze melding hebben gemaakt van het datalek bij de AP – iets dat overigens verplicht is in het geval er kans bestaat dat betrokkenen schade kunnen oplopen door het incident. In het kort zijn dit de maatregelen die jullie bedrijf kan nemen om de kans op een datalek te verkleinen:- Investeer in cybersecurity
Zorg ervoor dat IT-systemen up to date en goed beveiligd zijn tegen hackers.
- Train medewerkers
Maak medewerkers bewust van de gevaren van datalekken en hoe ze hiermee om moeten gaan.
- Maak een datalekplan
Stel een plan op met procedures voor het geval er toch een datalek plaatsvindt en wijs verantwoordelijkheden toe aan specifieke personen.
- Meld datalekken bij de AP
Dit is verplicht als er een risico is op schade voor de betrokkenen.
Hoe kan Integripro helpen?
Integripro helpt bedrijven cyberweerbaar te worden met een totaalaanpak die inzet op vijf thema’s:
- Incident- en crisismanagement
- Technische maatregelen
- AVG en privacy
- Organisatorische maatregelen
- Menselijk handelen
In het geval van een datalek helpen wij bedrijven direct met het identificeren, analyseren en natuurlijk oplossen van het incident. We kijken naar oplossingen die direct soelaas bieden, maar ook naar de lange termijn. Dankzij ons Continu Cyberweerbaar Zekerheidsplan kunnen klanten rekenen op 24/7 assistentie van de crisiscentrale. Zo kan bij een incident direct worden gehandeld. Verder zetten we in op preventie en proactief informeren: personeel wordt bijvoorbeeld desgewenst gecoacht en we delen maatregelen die cyberrisico’s sterk verminderen.