Laatst bereikte ons een bericht van een lidbedrijf dat een oud medewerker de servers gehackt. Hierop stonden personeelsgegevens van oud-medewerkers. De gegevens op de server waren door deze ex-collega gekopieerd. Het ging in dit geval ook om financiële gegevens en BSN nummers. Dat levert veel gedoe op. Je moet dit lek aan de Autoriteit Persoonsgegevens én aan alle betrokkenen te melden. Het gaat dus om alle mensen wiens persoonsgegevens op de server staan. Dus ook oud-medewerkers. De gegevens bieden voor hackers de mogelijkheid de gekopieerde gegevens te gebruiken voor oplichting of phishing-acties. Als de hackers ook kopieën van ID-bewijzen in handen hebben, is zelfs identiteitsfraude mogelijk.
Dat informeren doe je met deze link: https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/zo-informeert-u-slachtoffers-over-een-datalek. De Autoriteit Persoonsgegevens geeft hier op haar website aan welke informatie precies moet worden gegeven.
De moraal van dit verhaal is natuurlijk dat je medewerkers bij het einde van het dienstverband moet blokkeren. Ook moet je het lek direct dichten.
Ex-medewerkers moeten niet meer in staat zijn met hun password in te loggen op je bedrijfs-ICT systeem. Dat kan je onder meer doen door middel van degene die de “admin” rechten heeft de passwords te laten veranderen.
Is dit risico groot? Dat kan groter zijn dan je denkt. Hoe ga je bijvoorbeeld om met stagiairs, uitzendkrachten en andere mensen die los/vast of tijdelijk toegang krijgen? Als je de toegang te makkelijk maakt is het ook voor hen mogelijk tijdens of na hun verbinding met je bedrijf die gegevens te misbruiken.
Zorg dus ook dat je toegang in de systemen voldoende vergrendeld zijn voor pottenkijkers die er niet direct belang bij hebben.