Zo bereid je je organisatie voor op een datalek

Net zoals organisaties periodiek een brandoefening houden, zou een simulatie van een datalekincident ook regelmatig op de agenda moeten staan. Op die manier blijft iedereen in de organisatie alert en wordt bijgeschoold in de laatste wet- en regelgeving rondom AI en datagebruik.

Meer nodig dan alleen een snelle ontdekking

Een van de grote problemen is de ontdekking van het datalek. Gemiddeld duurt het nog altijd 181 dagen voordat het lek wordt opgemerkt. En snel kunnen handelen is essentieel om het verlies aan data zo klein mogelijk te houden. Zeer alerte monitoring is dus een belangrijke taak voor IT.

Wanneer het datalek is gesignaleerd, moeten verschillende afdelingen in de organisatie zo snel mogelijk actie ondernemen. Welke rollen er zijn en wie zijn verantwoordelijk, kan worden bepaald met een RACI- of DACI-structuur.

RACI staat voor:

• Responsible – wie voert de taak uit?
• Accountable – wie is eindverantwoordelijk?
• Consulted – wie wordt geraadpleegd?
• Informed – wie moet op de hoogte gehouden worden?

DACI is vergelijkbaar en staat voor:

• Driver – wie drijft het proces of de actie aan?
• Approver – wie neemt de uiteindelijke beslissing?
• Contributor – wie levert input of expertise?
• Informed – wie moet op de hoogte gehouden worden?

Met zo’n beslisstructuur voorkom je dat wanneer het erop aankomt, onduidelijk blijkt wie verantwoordelijk is voor acties gedurende de crisis.
Wie verzorgt bijvoorbeeld voor een snelle en duidelijke communicatie naar de betrokkenen en de overheid? Niet melden van datalekken kan tot forse boetes leiden.

Door juist zo transparant mogelijk te zijn, blijft de reputatieschade beperkt, zeker als de organisatie kan aantonen er alles aan gedaan te hebben om het probleem te voorkomen. Het opstellen en testen van een incident-actieplan zorgt dus voor vertrouwen bij klanten en toezichthouders dat de organisatie de verantwoordelijkheid voor data serieus neemt.