Overzicht Actueel

Voorkom een datalek: quick wins in gegevensbeveiliging

quick wins datasecurity

Omdat de nieuwe Europese privacywet (AVG) er aan komt, gaan we dit jaar onze leden helpen bij de voorbereiding hierop: In 10 stappen klaar voor de AVG. Aan het eind van het traject is de vernieuwde audit voor het Privacy Waarborg dé test om te zien of je organisatie AVG proof is. Deel 1: de Meldplicht Datalekken is een handig stroomschema om te bepalen of sprake is van een datalek en of je dat lek moet melden (en aan wie). Dit stroomschema is exclusief voor leden beschikbaar via onze AVG pagina. Wil je een datalek liever voorkomen? Dit artikel biedt een paar quick wins die je kunnen helpen.

Voorkomen is beter dan genezen, dat geldt ook voor datalekken. Uit de resultaten van de security check van  het DDMA Privacy Waarborg blijkt dat de meeste winst op het gebied van gegevensbeveiliging te behalen is in de operationele processen van organisaties. Daarom heeft onze legal counsel Matthias de Bruyne een aantal praktische tips en aanbevelingen op een rij gezet.

Mogen medewerkers software downloaden en installeren op bedrijfsapparatuur?

Als dit het geval is, dan zorgt dit voor kwetsbaarheden in de beveiliging. Zorg ervoor dat dit op apparaten die toegang hebben tot persoonsgegevens niet is toegestaan. Dit kun je oplossen met een gecontroleerd applicatieregister.

Worden bij afgeschreven hardware alle persoonsgegevens daarop vernietigd?

Het is aan te raden om bij het verkopen of vernietigen van hardware te zorgen dat persoonsgegevens onleesbaar zijn gemaakt. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf. Zorg dat de data overschreven wordt of maak de gegevensdragers onbruikbaar.

Mogen medewerkers persoonsgegevens die gebruikt worden voor marketing(campagnes) bewaren op hun eigen apparatuur?

We raden aan om medewerkers te instrueren om lokale opslag van persoonsgegevens tot een minimum te beperken. Zeker wanneer deze ook toegankelijk zijn via de eigen randapparatuur.

Weten alle medewerkers dat (kopieën van) bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers verwijderd moeten worden?

Soms is het noodzakelijk dat bepaalde medewerkers tijdelijk een kopie van een klant- of prospectbestand krijgen. Binnen callcenters gebeurt het regelmatig dat agents een Excelbestand op hun computer hebben, bijvoorbeeld omdat zij een restant van een telemarketingcampagne moeten nabellen. Het is dan aan te raden medewerkers te instrueren  de kopie te verwijderen, zowel van lokale apparatuur als eventuele externe gegevensdragers als USB-sticks etc. Het is belangrijk dat medewerkers zich ervan bewust zijn dat ze zorgvuldig met dit soort bestanden moeten omgaan, zodat onbevoegden er niet bij kunnen.

Heb je voor gasten een gast-netwerk?

Fabrikanten van draadloze apparatuur maken deze apparatuur zo gebruiksvriendelijk mogelijk. Nadeel daarvan is dat het netwerk ook makkelijk in gebruik te nemen is door iemand met minder goede bedoelingen. Beveilig draadloze netwerken daarom altijd met een wachtwoord of WPA/WPA2 (Wifi Protected Acces)-encryptie. Maak daarnaast gebruik van een apart draadloos gastnetwerk, waarbij  gasten wél internettoegang hebben en kunnen communiceren met andere apparaten in het netwerk, maar geen toegang hebben tot het hoofdnetwerk van de router.

Verzend je bestanden met persoonsgegevens als Excel in de mail, of gebruik je een beveiligde SFTP server?

Bijna alle organisaties maken gebruik van netwerken voor het transporteren van persoonsgegevens. Deze datacommunicatie kan binnen de organisatie plaatsvinden, maar ook met andere organisaties. Wanneer persoonsgegevens over netwerken worden getransporteerd, ontstaat een beveiligingsrisico. Het is mogelijk dat de gegevens tijdens het transport in handen komen van onbevoegden of dat gegevens gewijzigd worden. Dit is op verschillende manieren te ondervangen,  bijvoorbeeld door gebruik te maken van een SFTP-server of Extranet. Als je organisatie gegevens uitwisselt per e-mail of fysieke gegevensdragers zoals USB-sticks, adviseert de Autoriteit Persoonsgegevens deze gegevens goed te versleutelen.

Mogen medewerkers inloggen op bedrijfsnetwerken vanaf een publiek netwerk?

Medewerkers moeten extra voorzichtig zijn wanneer ze vanuit een externe locatie gebruik maken van een publiek netwerk om verbinding te maken met het bedrijfsnetwerk. Internetverbindingen zijn namelijk niet per definitie veilig en openbare netwerken vormen een hoger risico. Communicatie via het reguliere protocol, waarmee internet werkt, is erg eenvoudig af te luisteren. Vermijd daarom openbare netwerken wanneer het kan, of zorg dat je gebruik maakt van een beveiligde verbinding. Een VPN-verbinding kan hiervoor een oplossing bieden.

Slaat je organisatie persoonsgegevens op in de cloud, bijvoorbeeld via Dropbox, Google Drive of Microsoft Azure?

Let er dan op waar deze gegevens opgeslagen worden. Wanneer persoonsgegevens opgeslagen worden buiten de EU, dan zijn erspecifieke regels om de bescherming van die gegevens te garanderen. Voordat je organisatie deze diensten gaat gebruiken,  is het van belang na te gaan of deze aan privacy- en beveiligingsvoorschriften voldoen. Veel aanbieders van clouddiensten zijn gevestigd in de VS, waardoor de Amerikaanse overheid zich op basis van de Patriot Act toegang kan verschaffen tot je (marketing)database. Als persoonsgegevens buiten de EU worden opgeslagen, moet er met deze partij een EU-modelovereenkomst of Binding Corporate Rules (BCR’s) afgesproken worden. Voor partijen uit de VS is het ‘Privacy Shield’ een alternatief. Dit is de vervanger van Safe Harbour. Kijk op deze lijst of de cloud partij waar je mee wilt samenwerken hiervoor is gecertificeerd. Lees meer  op de website van de Autoriteit Persoonsgegevens.

Tot slot: een paar korte tips die een groot verschil kunnen maken in gegevensbeveiliging:

·         Beveilig al je online webformulieren met SSL encryptie, dit is sinds vrij recent zelfs gratis. Als de formulieren door derden worden gehost, check dan of zij dit in orde hebben.

·         Zorg voor dagelijkse back-ups van gegevens, inclusief databases en configuratiebestanden, op een off-site locatie

What the hack, toch een lek!

Ondanks al je maatregelen op het gebied van gegevensbeveiliging, kan het toch voorkomen dat er iets mis gaat. Wanneer is sprake van een datalek? En wanneer moet je melden? Onze legal counsels ontwikkelden in het kader van de AVG voorlichting exclusief voor leden een handig stroomschema om te bepalen wat in welke situatie van toepassing is. Meer weten? Check onze AVG pagina.

En wil je meer weten over het communiceren van een datalek? Bekijk dan dit handige document.