De afgelopen week hebben wij veel bedrijven gesproken die een serieus probleem hebben met bezetting op de ICT/Security afdeling. Te weinig medewerkers en teveel vragen en problemen zijn de oorzaak. De meeste problemen ontstaan door menselijke fouten en ontstaan vaak bij e-mail. Hieronder een overzicht van de tijd die één verkeerd verzonden e-mail in beslag neemt.
Tijdsinvestering bij een datalek door verkeerd verzonden e-mail
- Direct onderzoek (incidentonderzoek)
- Uiteenlopend van enkele uren tot zelfs meerdere dagen, afhankelijk van de gevoeligheid van de data en de vraag of de ontvanger(s) het bericht hebben geopend, doorgestuurd, etc.
- Meestal is er coördinatie nodig tussen de IT-afdeling, de functionaris gegevensbescherming (FG) / privacy officer, juridische afdeling en soms externe (security)specialisten.
- Communicatie en rapportage
- Bij (mogelijke) risico’s voor betrokkenen moet het datalek binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens (AP). Dat betekent een formele melding met een inschatting van de ernst en de te nemen maatregelen.
- Indien nodig moeten ook de betrokken personen geïnformeerd worden (dit kan extra tijd en afstemming vergen).
- Interne opvolging en maatregelen
- Updates in protocollen, training/awareness voor medewerkers, aanpassen van technische beveiligingsmaatregelen, etc.
- Dit kan variëren van een paar uur extra werk (aanpassingen in procedures, training) tot meerdere werkdagen als er nieuwe tools of processen moeten worden geïmplementeerd.
Gemiddelde schatting: In de praktijk geven diverse FG’s/privacy-experts aan dat je – voor een gemiddeld bedrijf – al snel 20 tot 40 uur aan interne tijd kwijt kunt aan onderzoek, rapportages, overleg en communicatie rond één verkeerd verzonden e-mail. Bij grotere organisaties (waar meer afdelingen en stakeholders betrokken zijn) kan dit oplopen tot enkele weken, zeker als het gaat om zeer gevoelige data (bijv. medische of financiële gegevens).
Liever niet via de e-mail
In veel gevallen geldt dan ook: verstuur gevoelige bestanden liever helemaal niet via reguliere e-mail. Dat komt omdat e-mail van nature niet is ontworpen met de hoogste beveiligingsstandaarden in gedachten. Een document dat onbedoeld in de verkeerde inbox belandt, kan direct leiden tot reputatieschade, verlies van vertrouwen bij klanten en een tijdrovende interne afhandeling. Denk aan het onderzoeken van de omvang van het lek, het informeren van de getroffen personen, en het opstellen van officiële meldingen richting de AP.
Zeker in sectoren als de zorg, financiën en overheid, waar het gaat om vertrouwelijke gegevens, zijn de risico’s groot. Als de data extreem gevoelig is, kan zo’n datalek nog veel meer tijd en geld kosten. Bovendien gaan deze incidenten vaak gepaard met streng toezicht of extra controle vanuit toezichthouders.
Gelukkig zijn er manieren om deze risico’s te beperken. Zo biedt mSafe een beveiligde oplossing voor het delen van documenten, zonder dat je deze als bijlage in je mail hoeft op te nemen. Met mSafe worden bestanden namelijk veilig opgeslagen in een versleutelde omgeving en ontvangen de ontvangers een beveiligde link en een SMS. Zo kun je precies instellen wie toegang heeft en voor hoe lang, en beperk je het risico op menselijke fouten.
Minimaliseer risico’s en bespaar tijd
- Verstuur gevoelige bestanden niet via reguliere e-mail: de kans op datalekken is te groot.
- Onvoorzichtig mailgebruik kost tijd, geld en reputatie: een datalek kan al snel 20 tot 40 uur aan intern onderzoek vragen.
- msafe minimaliseert deze risico’s: door vertrouwelijke stukken via een beveiligd platform te delen in plaats van ze als losse bijlage te versturen.
Wil je meer weten over hoe msafe jouw organisatie helpt bij veilig bestandsbeheer en het voorkomen van datalekken? Neem dan gerust contact met ons op of vraag een vrijblijvende demo aan.
