Spring naar content

Voorkomen is beter dan genezen, dat geldt ook voor datalekken. Uit de resultaten van de security check van het DDMA Privacy Waarborg blijkt dat de meeste winst op het gebied van gegevensbeveiliging te behalen is in de operationele processen van organisaties. Daarom hebben we een aantal praktische tips en aanbevelingen op een rij gezet.

Mogen medewerkers software downloaden en installeren op bedrijfsapparatuur?

Als dit het geval is, dan zorgt dit voor kwetsbaarheden in de beveiliging. Zorg ervoor dat dit op apparaten die toegang hebben tot persoonsgegevens niet is toegestaan. Dit kun je oplossen met een gecontroleerd applicatieregister.

Worden bij afgeschreven hardware alle persoonsgegevens daarop vernietigd?

Het is aan te raden om bij het verkopen of vernietigen van hardware te zorgen dat persoonsgegevens onleesbaar zijn gemaakt. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf. Zorg dat de data overschreven wordt of maak de gegevensdragers onbruikbaar.

Mogen medewerkers persoonsgegevens die gebruikt worden voor marketing(campagnes) bewaren op hun eigen apparatuur?

We raden aan om medewerkers te instrueren om lokale opslag van persoonsgegevens tot een minimum te beperken. Zeker wanneer deze ook toegankelijk zijn via de eigen randapparatuur.

Weten alle medewerkers dat (kopieën van) bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers verwijderd moeten worden?

Soms is het noodzakelijk dat bepaalde medewerkers tijdelijk een kopie van een klant- of prospectbestand krijgen. Binnen callcenters gebeurt het regelmatig dat agents een Excelbestand op hun computer hebben, bijvoorbeeld omdat zij een restant van een telemarketingcampagne moeten nabellen. Het is dan aan te raden medewerkers te instrueren  de kopie te verwijderen, zowel van lokale apparatuur als eventuele externe gegevensdragers als USB-sticks etc. Het is belangrijk dat medewerkers zich ervan bewust zijn dat ze zorgvuldig met dit soort bestanden moeten omgaan, zodat onbevoegden er niet bij kunnen.

Heb je voor gasten een gast-netwerk?

Fabrikanten van draadloze apparatuur maken deze apparatuur zo gebruiksvriendelijk mogelijk. Nadeel daarvan is dat het netwerk ook makkelijk in gebruik te nemen is door iemand met minder goede bedoelingen. Beveilig draadloze netwerken daarom altijd met een wachtwoord of WPA/WPA2 (Wifi Protected Acces)-encryptie. Maak daarnaast gebruik van een apart draadloos gastnetwerk, waarbij  gasten wél internettoegang hebben en kunnen communiceren met andere apparaten in het netwerk, maar geen toegang hebben tot het hoofdnetwerk van de router.

Verzend je bestanden met persoonsgegevens als Excel in de mail, of gebruik je een beveiligde SFTP server?

Bijna alle organisaties maken gebruik van netwerken voor het transporteren van persoonsgegevens. Deze datacommunicatie kan binnen de organisatie plaatsvinden, maar ook met andere organisaties. Wanneer persoonsgegevens over netwerken worden getransporteerd, ontstaat een beveiligingsrisico. Het is mogelijk dat de gegevens tijdens het transport in handen komen van onbevoegden of dat gegevens gewijzigd worden. Dit is op verschillende manieren te ondervangen,  bijvoorbeeld door gebruik te maken van een SFTP-server of Extranet. Als je organisatie gegevens uitwisselt per e-mail of fysieke gegevensdragers zoals USB-sticks, adviseert de Autoriteit Persoonsgegevens deze gegevens goed te versleutelen.

Mogen medewerkers inloggen op bedrijfsnetwerken vanaf een publiek netwerk?

Medewerkers moeten extra voorzichtig zijn wanneer ze vanuit een externe locatie gebruik maken van een publiek netwerk om verbinding te maken met het bedrijfsnetwerk. Internetverbindingen zijn namelijk niet per definitie veilig en openbare netwerken vormen een hoger risico. Communicatie via het reguliere protocol, waarmee internet werkt, is erg eenvoudig af te luisteren. Vermijd daarom openbare netwerken wanneer het kan, of zorg dat je gebruik maakt van een beveiligde verbinding. Een VPN-verbinding kan hiervoor een oplossing bieden.

Slaat je organisatie persoonsgegevens op in de cloud, bijvoorbeeld via Dropbox, Google Drive of Microsoft Azure?

Let er dan op waar deze gegevens opgeslagen worden. Wanneer persoonsgegevens opgeslagen worden buiten de EU, dan zijn erspecifieke regels om de bescherming van die gegevens te garanderen. Voordat je organisatie deze diensten gaat gebruiken,  is het van belang na te gaan of deze aan privacy- en beveiligingsvoorschriften voldoen. Veel aanbieders van clouddiensten zijn gevestigd in de VS, waardoor de Amerikaanse overheid zich op basis van de Patriot Act toegang kan verschaffen tot je (marketing)database. Als persoonsgegevens buiten de EU worden opgeslagen, moet er met deze partij een EU-modelovereenkomst of Binding Corporate Rules (BCR’s) afgesproken worden. Voor partijen uit de VS is het ‘Privacy Shield’ een alternatief. Dit is de vervanger van Safe Harbour. Kijk op deze lijst of de cloud partij waar je mee wilt samenwerken hiervoor is gecertificeerd. Lees meer  op de website van de Autoriteit Persoonsgegevens.

Tot slot: een paar korte tips die een groot verschil kunnen maken in gegevensbeveiliging:

  • Beveilig al je online webformulieren met SSL encryptie, dit is sinds vrij recent zelfs gratis. Als de formulieren door derden worden gehost, check dan of zij dit in orde hebben.
  • Zorg voor dagelijkse back-ups van gegevens, inclusief databases en configuratiebestanden, op een off-site locatie.

Speciaal voor leden: What the hack, toch een lek!

Ondanks al je maatregelen op het gebied van gegevensbeveiliging, kan het toch voorkomen dat er iets mis gaat. Wanneer is sprake van een datalek? En wanneer moet je melden? Onze legal counsels ontwikkelden in het kader van de AVG voorlichting exclusief voor leden een handig stroomschema om te bepalen wat in welke situatie van toepassing is. Je kunt deze aanvragen door een mail te sturen naar legal@ddma.nl.

Wil je meer weten over het communiceren van een datalek? Bekijk dan dit handige document.

Bekijk hieronder onze hele AVG-voorlichtingsserie:

Ook interessant

Lees meer
Data, Decisions & Engagement |

Server-side tag management bij HelloFresh als essentiele factor om privacy en compliance te waarborgen

HelloFresh heeft onlangs de switch gemaakt naar server-side tagging. Het heeft ervoor gezorgd dat de maaltijdbezorger veel meer controle heeft over de tracking op hun platform dat in meer dan…
Lees meer
AVG |

KNLTB-zaak over gerechtvaardigd belang naar hoogste EU-rechter

In 2020 legde de Autoriteit Persoonsgegevens (AP) een boete op aan de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB). Volgens de AP heeft de KNLTB onrechtmatig tegen betaling persoonsgegevens van KNLTB-leden…
Lees meer
AVG |

Hoe is het eigenlijk met… de e-Privacyverordening?

De Europese wetgever introduceert het ene wetgevingsvoorstel over online reclame en marketing na het andere. Interessant genoeg is het ene wetsvoorstel snel klaar, terwijl vergelijkbare voorstellen jaren ogenschijnlijk bewegingsloos in…