Violações de dados nas empresas

Hoje em dia, as pessoas partilham todo o tipo de coisas na Internet, especialmente nas redes sociais. Pensa nas mensagens no Facebook, Instagram, Twitter e WhatsApp. Quando partilham estas mensagens, as pessoas muitas vezes não têm em conta a sua privacidade.

Para além da partilha de informações sobre actividades de lazer, os dados pessoais são também partilhados com empresas. Isto é quase sempre feito através de um formulário de contacto num sítio Web, de uma caixa de conversação ou do WhatsApp. Enquanto empresa, é fundamental proteger estes dados. Quando um consumidor partilha algo com uma empresa, a empresa é responsável se esses dados se tornarem públicos.

Neste artigo, podes ler sobre as consequências de uma violação de dados e o que podemos fazer por ti enquanto empresa. Por isso, recomendamos que leias o artigo na íntegra, porque uma violação de dados pode colocar a tua empresa em sérios problemas.

Quando é que ocorre uma violação de dados?

A tua empresa está a lidar com uma violação de dados se terceiros obtiverem dados pessoais que são armazenados pela tua empresa, embora não estejam autorizados a vê-los. Não importa como esses dados são vazados. Como empresa, não te podes esconder atrás de nada. Mesmo que tenhas enviado acidentalmente dados pessoais para o endereço de correio eletrónico errado, existe uma violação de dados.

É importante lembrar que uma violação de dados só pode ser discutida quando há fuga de dados pessoais, como nomes, números de telefone, endereços de correio eletrónico e palavras-passe.

O que é que tu, enquanto empresa, tens de fazer em caso de violação de dados?

Uma empresa neerlandesa deve comunicar uma violação de dados à autoridade neerlandesa para a proteção de dados o mais rapidamente possível. Por lei, deves fazê-lo no prazo de 72 horas. Podes fazê-lo através de https://dataleks.autoriteitpersoonsgegevens.nl.

A autoridade neerlandesa para a proteção de dados divide os relatórios sobre violações de dados em diferentes níveis. No caso de uma violação de dados grave, a Autoridade Neerlandesa para a Proteção de Dados refere-se à fuga de uma grande quantidade de dados pessoais, que pode ter um grande impacto na vida de alguém.

Uma violação de dados é classificada como "grave" quando os seguintes dados são divulgados:

• Detalhes do início de sessão
• Informações médicas
• Bilhetes de identidade
• Dados financeiros
• Dados sobre raça ou credo

Enquanto empresa, tens a obrigação de comunicar a violação de dados a todos os envolvidos. Isto permite-lhes tomar medidas atempadas que podem evitar danos maiores. Por exemplo, deves oferecer aos titulares dos dados a possibilidade de alterarem a sua palavra-passe.

Não tens de informar os titulares dos dados quando os dados pessoais estão protegidos por encriptação. Isto significa que terceiros têm acesso aos dados, mas não podem visualizá-los graças à segurança. Deves, no entanto, ter a certeza disso. Se a Autoridade Neerlandesa para a Proteção de Dados considerar que deverias ter informado os titulares dos dados, podes ainda ser multado. Isto é garantido se ocultares intencionalmente uma violação de dados. A coima pode ir até 820 000 euros ou 10% do volume de negócios anual.

A autoridade neerlandesa para a proteção de dados pode impor uma instrução vinculativa se não houver intenção ou se não for demonstrada negligência grave. Deves cumprir esta instrução.

Podes tratar dados pessoais?

Como podes ter a certeza de que estás autorizado a processar dados pessoais? A Autoridade Neerlandesa para a Proteção de Dados elaborou um plano passo a passo para o efeito, que tu, enquanto PME, podes seguir. Os quatro pontos seguintes são importantes para as PME:

• Enquanto PME, podes tratar dados pessoais para cumprir um acordo.
• Poderás ter de processar dados pessoais porque tal é exigido por lei.
• Enquanto PME, também podes tratar dados pessoais se alguém o tiver autorizado.
• Podes processar dados pessoais se tal se basear em interesses legítimos. Queres saber se é esse o caso? Então clica nesta ligação!

O que é que os criminosos podem fazer com os dados pessoais obtidos?

Os criminosos podem utilizar dados pessoais para copiar uma identidade online. Desta forma, podem cometer roubo de identidade. Fazem-se passar por outra pessoa para cometer crimes sem impedimentos. Podem utilizar os dados, por exemplo, para aceder à tua conta bancária.

Mais exemplos de fraude de identidade

• Encomenda produtos em nome de outra pessoa
• Cria uma conta credível nas redes sociais para enganar alguém
• Celebra acordos em nome de outra pessoa

Como empresa, é natural que não queiras ser parcialmente responsável por este sofrimento. Por isso, é extremamente importante proteger a privacidade online dos teus clientes.

Ransomware
Os criminosos não se limitam a utilizar indevidamente os dados pessoais obtidos para tornar a vida dos seus clientes miserável. Também podem usá-los para extorquir a tua empresa. Fazem-no utilizando os dados pessoais como ransomware. Trata-se de software malicioso que assume o controlo e bloqueia os computadores de uma empresa. O ransomware também pode ser a causa de uma violação de dados.

Os criminosos obtêm frequentemente acesso à rede da empresa através de phishing. Um exemplo de phishing é o envio de e-mails aos funcionários da empresa com um anexo perigoso. Quando este anexo é descarregado, o criminoso obtém acesso ao computador do empregado. Este anexo chama-se, por exemplo, "fatura".

O criminoso rouba então os dados pessoais do computador e instala um vírus. Este vírus bloqueia os dados no computador. Através de um pop-up no ecrã, os criminosos informam-te de que os dados estão novamente acessíveis após o pagamento de, por exemplo, Bitcoin. Se não pagares a tempo, os criminosos ameaçam divulgar os teus dados pessoais. Isto põe em risco a relação de confiança com os teus clientes.

Como é que posso evitar uma violação de dados?

Protege a tua privacidade online e a dos teus clientes utilizando um bom software de segurança cibernética. O Guardey é um desses programas. Graças ao Guardey, os empregados podem trocar dados de forma segura, sem que os criminosos possam fazer nada com eles.

Avisa o cliente
Em primeiro lugar, os teus clientes devem saber que armazenas os seus dados. Deixa isso bem claro e explica também porque o fazes.

Utiliza uma boa segurança
Além disso, certifica-te de que todos os dados sensíveis estão protegidos por uma palavra-passe forte e, eventualmente, por uma autenticação multifactor. Além disso, impede que terceiros acedam a estas palavras-passe.

Mantém a tua equipa informada
Também é aconselhável ter conversas regulares com a tua equipa. Desta forma, podes recordar-lhes como devem tratar os dados pessoais, o que está a correr bem nesta área e o que pode ser melhorado.

VPN empresarial
Os funcionários que trabalham remotamente podem ligar-se à rede da empresa através de uma VPN empresarial. Os dados necessários são protegidos por uma camada segura. Por exemplo, possíveis cibercriminosos não podem fazer nada com os dados, porque não podem aceder aos dados. Apenas o funcionário que tem acesso à VPN pode aceder e utilizar os ficheiros. Os funcionários podem estabelecer a ligação VPN num instante através do Guardey.

Dá formação aos empregados através de um jogo
No Guardey, os empregados podem utilizar um jogo. Este jogo torna-os conscientes do seu comportamento online. Por exemplo, os empregados aprendem a reconhecer e-mails não fiáveis, mas também o que podem e não podem partilhar com terceiros.

Alertas cibernéticos
O Guardey analisa continuamente a rede da empresa para verificar se existem actividades suspeitas. Desta forma, pode evitar um ataque de ransomware.

Experimenta já o software de cibersegurança Guardeys durante 14 dias, gratuitamente!