7 Tips
1. Mogen medewerkers zelf software downloaden en installeren op bedrijfsapparatuur?
Als medewerkers op eigen houtje software mogen installeren, zorgt dit voor kwetsbaarheden in de databeveiliging. Zorg er daarom voor dat dit op apparaten die toegang hebben tot persoonsgegevens niet is toegestaan. Dit kun je oplossen met een gecontroleerd applicatieregister.
2. Worden bij afgeschreven hardware alle persoonsgegevens daarop vernietigd?
Het is aan te raden om bij het verkopen of vernietigen van hardware te zorgen dat persoonsgegevens onleesbaar zijn gemaakt. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf.
Zorg dat de data overschreven worden of maak de gegevensdragers in zijn geheel onbruikbaar. En vergeet vooral ook de printer niet – die hebben vaak nog duizenden print- en scanopdrachten in het geheugen staan.
3. Mogen medewerkers persoonsgegevens die gebruikt worden voor marketingcampagnes bewaren op hun eigen apparatuur?
We raden aan medewerkers te instrueren om lokale opslag van persoonsgegevens, op smartphone, tablet of laptop, tot een minimum te beperken. Zeker wanneer deze ook toegankelijk zijn via de eigen randapparatuur.
4. Weten alle medewerkers dat (kopieën van) bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers verwijderd moeten worden?
Soms is het noodzakelijk dat bepaalde medewerkers tijdelijk een kopie van een klant- of prospectbestand krijgen. Denk aan het maken van een export van e-mailadressen uit je CRM, om deze vervolgens te uploaden in Mailchimp of een ander e-mailprogramma. Het is dan aan te raden medewerkers te instrueren de kopie te verwijderen, zowel van lokale apparatuur als eventuele externe gegevensdragers als USB-sticks etc.
Het is belangrijk dat iedereen zich ervan bewust is dat ze zorgvuldig met dit soort bestanden moeten omgaan, zodat onbevoegden er niet bij kunnen.
5. Verzend je bestanden met persoonsgegevens via mail of gebruik je een beveiligde SFTP-server?
Bijna alle organisaties maken gebruik van netwerken voor het transporteren van persoonsgegevens. Deze datacommunicatie kan binnen de eigen organisatie plaatsvinden, maar ook met externe bureaus of partnerorganisaties. Wanneer persoonsgegevens over netwerken worden getransporteerd, ontstaat een beveiligingsrisico.
Het is mogelijk dat de gegevens tijdens het transport in handen komen van onbevoegden of dat gegevens gewijzigd worden. Dit is op verschillende manieren te ondervangen, bijvoorbeeld door gebruik te maken van een SFTP-server of extranet.
Als je organisatie gegevens uitwisselt per e-mail of fysieke gegevensdragers zoals USB-sticks, adviseert de Autoriteit Persoonsgegevens deze gegevens goed te versleutelen. Daar komt nog bij dat het onwenselijk is dat er bestanden met persoonsgegevens rondzweven in mailboxen, omdat deze data volledig van de radar zijn. Daardoor is deze niet in beeld bij een ‘recht om vergeten te worden’-verzoek van een klant of bij een potentieel datalek.
6. Mogen medewerkers inloggen op bedrijfsnetwerken vanaf een publiek netwerk?
Medewerkers moeten extra voorzichtig zijn wanneer ze vanuit een externe locatie – de hippe koffietent – gebruikmaken van een publiek netwerk om verbinding te maken met het bedrijfsnetwerk. Internetverbindingen zijn namelijk niet per definitie veilig en openbare netwerken vormen een hoger risico. Communicatie via het reguliere protocol, waarmee internet werkt, is erg eenvoudig af te luisteren.
Vermijd daarom openbare netwerken wanneer het kan, of zorg dat je gebruikmaakt van een beveiligde verbinding. Een VPN-verbinding kan hiervoor een oplossing bieden.
7. Slaat je organisatie persoonsgegevens op in de cloud, bijvoorbeeld via Dropbox, Google Drive of Microsoft Azure?
Let er dan op waar deze gegevens opgeslagen worden. Wanneer persoonsgegevens opgeslagen worden buiten de EU, zijn er specifieke regels om de bescherming van die gegevens te garanderen.
Voordat je organisatie deze diensten gaat gebruiken, is het van belang na te gaan of deze aan privacy- en beveiligingsvoorschriften voldoen. Veel aanbieders van clouddiensten zijn gevestigd in de VS, waardoor de Amerikaanse overheid zich op basis van de Patriot Acttoegang kan verschaffen tot je (marketing)database.
Als persoonsgegevens buiten de EU worden opgeslagen, moet er met deze partij een Europese Modelovereenkomst of Binding Corporate Rules (BCR’s) afgesproken worden. Voor partijen uit de VS is het ‘Privacy Shield’ een alternatief. Bij deze vervanger van Safe Harbourzijn echter recent vraagtekens gezet, dus het is aan te raden het nieuws hierover scherp in de gaten te houden. Hetzelfde geldt voor de Europese Modelovereenkomst.
Bonustips
- Beveilig al je online webformulieren met een gratis SSL-encryptie. Als de formulieren door derden worden gehost, check dan of zij dit in orde hebben.
- Zorg voor dagelijkse back-ups van gegevens, inclusief databases en configuratiebestanden, op een off-site locatie.
- Gebruik een apart draadloos gastnetwerk, waarbij gasten wél internettoegang hebben en kunnen communiceren met andere apparaten in het netwerk, maar geen toegang hebben tot het hoofdnetwerk van de router.
Datalek?
Ondanks alle maatregelen op het gebied van gegevensbeveiliging, kan het toch voorkomen dat er iets mis gaat. Maar wanneer is er nu precies sprake van een datalek? En welke handelingen zijn dan verplicht? We hebben een handig stroomschema opgesteld met welke acties je in welke situatie moet ondernemen – deze kun je hier aanvragen.
Daarnaast is het belangrijk om altijd een crisiscommunicatieplan paraat te hebben. Hiermee kun je gedupeerden snel en correct op de hoogte stellen en wanneer nodig ook de media van uitleg voorzien. Zo voorkom je dat de schade na een datalek nog groter wordt.
Lees hier:
- deel 1 Marketeers nog lang niet klaar voor GDPR
- deel 2 De 17 meest gestelde vragen over de GDPR
- deel 3 AVG voor consumenten
- deel 4 GDPR: de 4 grootste mythes over dataverwerking in B2B-marketing
- deel 5 Wat er voor marketingbureaus en andere dienstverleners verandert
- deel 6 Alles wat je als marketeer moet weten over toestemming onder de AVG
- deel 7 Het dagelijkse werk van een Data Protection officer