Zo voorkomen verenigingen datalekken
Datalekken komen steeds vaker voor en ook verenigingen zijn daar kwetsbaar voor. Hoe voorkom je het lekken van data?
Er worden steeds meer datalekken gemeld waarbij cybercriminelen eropuit zijn om persoonsgegevens buit te maken, zo meldt onze privacy toezichthouder de Autoriteit Persoonsgegevens (AP). Voor organisaties maar ook voor de personen wiens gegevens zijn gelekt kunnen de gevolgen van datalekken groot zijn. De privacywetgeving AVG legt organisaties verplichtingen op om zorgvuldig met persoonsgegevens om te gaan en datalekken te voorkomen. Weet jij of jouw vereniging jouw leden en donateurs voldoende beschermt tegen datalekken?
Ongelukjes en slechte intenties
Ons leven speelt zich steeds meer digitaal af. In deze digitale wereld delen we eenvoudig en veel persoonsgegevens met allerlei organisaties. Dat heeft een keerzijde. Cybercriminelen zijn in toenemende mate geïnteresseerd in persoonsgegevens. Zij kunnen deze gegevens gebruiken voor identiteitsfraude en/of oplichting. Cybercriminelen proberen deze gegevens te verkrijgen door een organisatie te hacken, bijvoorbeeld via phishing, malware of ‘social engineering’. Bij social engineering proberen de cybercriminelen bij mensen binnen een organisatie bepaalde informatie te ontfutselen of hen over te halen op een bepaalde link te klikken of een andere actie uit te voeren. De mens is doorgaans nog de zwakste schakel in de beveiliging van een organisatie. En dat weten cybercriminelen.
De AVG, die sinds mei 2018 van toepassing is, verplicht organisaties te voldoen aan solide beveiliging van de privacygevoelige gegevens waarover ze beschikken. Op die manier worden datalekken zoveel mogelijk buiten de deur gehouden. Bij een datalek krijgen derden, heel kort samengevat, onrechtmatige toegang tot persoonsgegevens. Veelvoorkomende datalekken zijn het versturen van gevoelige informatie per e-mail naar de verkeerde ontvanger, het verliezen van een laptop of telefoon met gevoelige informatie, maar ook hacks waarbij persoonsgegevens worden ingezien of doorgestuurd. In sommige gevallen gaat het dus om een menselijke fout (“De e-mail naar de verkeerde collega gestuurd!”) en in sommige gevallen vinden ze kwaadwillig plaats.
Verenigingen zijn geen uitzondering
De laatste jaren belanden persoonsgegevens veel vaker op straat door toedoen van cybercriminelen. En daar kunnen personen om wie het gaat, of het nu leden, donateurs of klanten zijn, meestal niets aan doen. Aleid Wolfsen, voorzitter van de AP: “Mensen vertrouwen hun persoonsgegevens toe aan organisaties, ervan uitgaande dat zij daar zorgvuldig mee omgaan. Helaas is dat niet altijd het geval en had groot leed gemakkelijk voorkomen kunnen worden met goede beveiliging.” Zoals gezegd maakt de AP geen uitzondering voor verenigingen. Of het nu gaat om een bibliotheek, een sportvereniging of -bond, of een patiëntenvereniging: allemaal hebben ze de plicht om te voldoen aan de AVG.
Leden beschermen tegen identiteitsfraude
Waarom zijn verenigingen niet uitgezonderd? Verenigingen, en patiëntenverenigingen bij uitstek, beschikken over (veel) persoonsgegevens van hun leden en van donateurs. Hun privacy moet gewaarborgd worden, zodat zij vertrouwen hebben en blijven houden in de vereniging. Het is dus zaak om op een veilige manier met hun persoonsgegevens om te gaan. De gevolgen van een datalek kunnen groot zijn, zowel voor de leden en donateurs als voor de vereniging zelf. Leden en donateurs kunnen slachtoffer worden van identiteitsfraude en oplichting. Een datalek kan daarnaast zorgen voor grote financiële gevolgen: een leegloop van leden en donateurs, eventueel een boete van de AP maar ook schadevergoedingen via de rechter zijn mogelijk. Daarnaast kan een datalek ook voor negatieve publiciteit zorgen.
Wat betekent dit concreet voor mij?
De AVG en de bescherming van persoonsgegevens is nog steeds niet bij iedere vereniging ‘top of mind’. Dit kan komen doordat men door de bomen het bos niet meer ziet. En dan is het heel moeilijk ergens te beginnen. Omdat het aantal datalekken significant blijft stijgen en de risico’s groter worden nu er meer digitaal wordt gewerkt, zetten we de belangrijkste bepalingen uit de AVG graag in heldere, begrijpelijke taal voor je uiteen. Zodat je snel kunt zien of het bij jouw vereniging wél op orde is en je je geen zorgen hoeft te maken over die razend hoge boetes.
Meer weten? Lees de 'Veelgestelde vragen over de AVG voor verenigingen en stichtingen'.
Vergeet ook niet om je in te schrijven op onze nieuwsbrief, zodat je op de hoogte bent van het laatste nieuws rondom security en de AVG voor verenigingen.
