10 tips voor het veilig omgaan met persoonlijke data

Als ondernemer beschik je over veel gevoelige gegevens van je klanten (en als werkgever ook van je medewerkers). Natuurlijk ga je daar zorgvuldig mee om. Maar kleine vergissingen kunnen ervoor zorgen dat jouw data op straat komt te liggen: een datalek. Als dit binnen je bedrijf gebeurt, heb je in bepaalde gevallen de plicht dit te melden bij de Autoriteit Persoonsgegevens (AP). Datalekken zijn namelijk bepaald niet ongevaarlijk. Wanneer persoonsgegevens in de verkeerde handen vallen, kunnen ze worden gebruikt voor allerlei soorten van fraude en oplichting. Zelfs met gegevens als namen, adressen en telefoonnummers kan kwaad worden aangericht, laat staan wat er kan gebeuren met bijvoorbeeld kopieën van identiteitsbewijzen of de belastingaangiftes van je klanten. 

Onvoorzichtig omgaan met data en persoonlijke gegevens

Goed: het belang van gegevensbescherming is duidelijk. Toch weet nog lang niet iedereen hoe je veilig met persoonsgegevens omgaat. Persoonsgegevens belanden vaak op straat omdat mensen fouten maken of niet voorzichtig genoeg zijn. Ze vergrendelen hun computers niet als ze even gaan lunchen en laten printjes met allerlei personeels- of klantgegevens bij de printer liggen. Of ze gebruiken gratis Cloud software om bestanden op te slaan of te versturen en ze denken dat niemand kan meelezen met een e-mail. Helaas kunnen persoonsgegevens hierdoor in verkeerde handen terechtkomen. Wees je ervan bewust dat extra handelingen nodig zijn om veilig met privacygevoelige gegevens om te gaan. Dat geldt ook voor je collega's/medewerkers. Elke dag moet daar aandacht voor zijn.

Veilig omgaan met data: 10 tips

De onderstaande tips helpen je om veilig met data en persoonlijke gegevens om te gaan. Tip: download ook onze gratis checklist en verspreid deze onder je collega's/medewerkers (of klanten).

1. Check je e-mails.
   Verreweg de meeste datalekken gebeuren door foutjes met e-mailen: een bestand wordt bijvoorbeeld gestuurd naar een verkeerde ontvanger met dezelfde achternaam, of er wordt een tikfout gemaakt in het e-mailadres. Wanneer je privacygevoelige data verzendt, is even dubbel checken zeker niet overbodig. Kijk kritisch naar de inhoud van je e-mails, vooral als je berichten doorstuurt. Welke gegevens staan daar in, en zijn die relevant voor de volgende ontvanger? Bij vertrouwelijke e-mails kun je overwegen ze versleuteld te versturen.
2. Wees voorzichtig met e-mailbijlagen.
   Een document vol persoonsgegevens als bijlage naar iemand anders e-mailen is niet volledig veilig. Daarom kun je bijlagen met grote hoeveelheden persoonlijke informatie het beste vergrendelen met een wachtwoord. Deel dat wachtwoord niet in de e-mail, maar bijvoorbeeld separaat per sms of telefoon. Vind je dit in bepaalde gevallen ondoenlijk? Maak dan goede afspraken met je klant of je collega's/medewerkers, zodat zij zorgvuldig met de gegevens omgaan en de verwachtingen duidelijk zijn.
   Steeds meer documenten worden ook door middel van portals met elkaar uitgewisseld. Ook dat is een goede methode om veilig met data om te gaan.
   Houd daarbij in je achterhoofd dat de AVG altijd uitgaat van een ‘risico gebaseerde aanpak’: hoe groter de privacy risico's, hoe meer veiligheidsmaatregelen de AVG van jou verwacht en omgekeerd.
3. Gebruik software om wachtwoorden op te slaan.
   Veel verschillende wachtwoorden onthouden is lastig. Veel mensen, waarschijnlijk ook sommige van jouw medewerkers, gebruiken daarom steeds dezelfde wachtwoorden, laten de laptop of smartphone wachtwoorden onthouden of ze slaan ze op in een mail of document. Dat is niet veilig. Er bestaat allerlei software die helpt bij het onthouden van moeilijke maar veilige wachtwoorden, zoals Lastpass of 1Password. Zorg dat iedereen hiermee kan werken en dit vervolgens ook doet.
4. Maak duidelijke afspraken over welke software je als kantoor gebruikt.
   In je dagelijks werk gebruik je diverse soorten software. Denk aan software om bestanden te delen, zoals WeTransfer en Dropbox. Goed om te weten: de betaalde versie van Dropbox biedt betere bescherming dan de gratis versie. Betaalde software, zoals Microsoft Office 365, is in veel gevallen veiliger dan gratis software (waarbij je vaak betaalt met je data). Dit betekent niet dat software waarvoor je betaalt automatisch veiliger is dan gratis software. Dit moet je echt per geval (laten) beoordelen.
5. Print veilig en vergrendel je apparaat.
   Print persoonlijke documenten alleen via een printer met een pincode of een persoonlijke pas. Zo kan alleen degene die de documenten heeft afgedrukt, ze ophalen bij de printer. Vraag collega's/medewerkers die met gevoelige data werken hun computer altijd - echt altijd - te vergrendelen als zij er niet achter zitten.
6. Gebruik goede wachtwoorden.
   Zorg dat je een goed wachtwoord gebruikt voor het beveiligen van je computer of laptop. Wachtwoorden als ‘welkom1234’ of de naam van je kind zijn niet veilig. Goede wachtwoorden zijn lang en bestaan uit letters, hoofdletters, cijfers en/of speciale tekens. Extra tip: vervang in je wachtwoord bepaalde letters door tekens die erop lijken. Bijvoorbeeld: Ditis€€nG0€d_W@chtw00rd!
7. Werk buiten de deur via een veilige verbinding. Even in de trein de vergadering voorbereiden? Als je je computer aan een openbaar wifinetwerk verbindt zonder een VPN-verbinding te gebruiken kunnen anderen heel gemakkelijk toegang krijgen tot je laptop en alle bestanden. Verbied het je medewerkers dus om, als zij met de bedrijfslaptop elders werken of in de trein zitten, openbare wifi-netwerken te gebruiken zonder VPN. Het is vaak mogelijk bedrijfssoftware zo in te stellen dat het alleen werkt als er een VPN-verbinding is.
8. Herken hackers en oplichters
   Leer hoe je de trucs van hackers en oplichters kunt herkennen. Kwaadwillende kunnen zich bijvoorbeeld voordoen als IT-medewerkers en zo per telefoon om inloggegevens vragen. Daar mogen jij en je collega's/medewerkers nooit op ingaan.
9. Wees alert op phishing e-mails.
   Train je in het herkennen van phishing e-mails: dat zijn allang geen knullige teksten meer vol taalfouten, maar vaak heel professioneel uitziende e-mails van bedrijven als Apple of ING. Als je de afzender van een mail niet kent of de mail ziet er verdacht uit: klik dan nooit op de links. Wees ook alert als men in een mail om geld of gegevens vraagt of als het verzoek spoed heeft. Open in geen geval bijlagen en voer nooit inloggegevens in via een link uit de e-mail. Je kunt jezelf en je collega's/medewerkers hier alerter op maken door een online train ing te volgen.
10. Gebruik geen (onbekende) USB-sticks.
    Steek nooit een onbekende USB-stick in je computer. Als er een wordt gevonden, laat hem dan onderzoeken door de IT-afdeling, als die er is. Inbreken via een USB-stick is een methode die veel hackers gebruiken.

Tip

Kijk op de website van de Consumentenbond voor diverse voorbeelden van phishing e-mails.

Tot slot: wat te doen als accountant of ondernemer?

Loop dit jaar je privacy processen na en breng waar nodig zaken op orde. Laat privacy werkzaamheden waar je al eerder aan begonnen bent niet liggen. Zie de AVG daarbij als een kans om je bestaande processen te heroverwegen en te vernieuwen. En bedenk dat klanten eerder kiezen voor bedrijven die privacy en databescherming hoog op de agenda hebben staan.