GDPR proof: praktische tips voor het voorkomen van een datalek

25 mei 2018 treedt de AVG/GDPR wet in werking. Dit betekent dat er strengere eisen worden gesteld aan het beheren, opslaan en verwerken van persoonsgegevens. Nu is de Meldplicht Datalekken in Nederland sinds 1 januari 2016 al van kracht, en dat blijft zo, maar met de nieuwe wetgeving moet elk datalek binnen een organisatie worden gedocumenteerd. De Autoriteit Persoonsgegevens kan zo controleren of aan de meldplicht is voldaan. Het DDMA Privacy Waarborg heeft een securitycheck gedaan, waaruit blijkt dat de meeste winst op het gebied van gegevensbeveiliging te behalen is in de operationele processen van organisaties. Bij de meeste datalekken is een menselijke handeling namelijk de oorzaak. Onder het mom ‘better safe, than sorry’ geven we je daarom enkele tips voor het voorkomen van een datalek.

Datalekken door bedrijfsprocessen voorkomen

Het vernietigen van persoonsgegevens bij afgeschreven hardware
Bij het verkopen of vernietigen van hardware is het niet voldoende om alle persoonsgegevens simpelweg te verwijderen. De data is dan namelijk nog steeds terug te vinden. Daarom dient dit onleesbaar gemaakt te worden. Dit kan je doen door de data te overschrijven of door de hardware in zijn geheel onbruikbaar te maken.

Verzenden van bestanden met persoonsgegevens
Organisaties hebben dagelijks te maken met datacommunicatie, zowel intern als extern. Wanneer hierbij persoonsgegevens worden gecommuniceerd, ontstaat er een beveiligingsrisico. Zo is het bijvoorbeeld mogelijk dat de persoonsgegevens in handen komen van onbevoegden of dat gegevens worden gewijzigd. Om dit te voorkomen kan je de volgende stappen nemen:

  • Bestanden met persoonsgegevens versleutelen als je die verstuurt over de mail, bijvoorbeeld middels een zip-bestand met wachtwoord. Denk erom dat je het wachtwoord niet in dezelfde mail stuurt als het zip-bestand. Het meest veilig is het wachtwoord mailen naar een compleet ander e-mailadres of middels een bericht naar een telefoon. Het is onwenselijk dat persoonsgegevens blijven rondzweven in mailboxen, dus na ontvangst dien je deze bestanden op een veilige locatie op te slaan en uit je mailbox te verwijderen. Let op: persoonsgegevens in mailboxen zorgen ervoor dat de betrokkene het ‘recht om vergeten te worden’ niet volledig kan benutten en worden gezien als een potentieel datalek.
  • Maak gebruik van een SFTP-server of extranet. Hiermee kan je persoonsgegevens beveiligd beschikbaar stellen aan derden die specifiek toegang mogen hebben tot deze data.
  • Wissel je persoonsgegevens uit middels externe gegevensdragers (bijv. een USB-stick), denk er dan goed om dat je deze versleutelt.

Maak regelmatig back-ups
Door regelmatig back-ups te maken, voorkom je dataverlies. Als je bijvoorbeeld te maken hebt met ransomware – ook wel gijzelsoftware genoemd – heb je geen toegang meer tot je gegevens. Dit is een chantagemiddel die cybercriminelen gebruiken om jou te laten betalen zodat zij je gegevens weer vrijgeven. Het blijkt alleen dat betalen lang niet altijd helpt om je gegevens weer terug te krijgen. Door het maken van back-ups kan je bij zo’n ransomware aanval de reservekopie van je data terugzetten, waardoor je de gegevens niet verliest.

Cloudopslag buiten de EU
Wanneer persoonsgegevens buiten de EU worden opgeslagen, krijg je te maken met andere privacy- en beveiligingsregels dan binnen de EU. Neem bijvoorbeeld de Verenigde Staten. Hier zijn veel aanbieders van clouddiensten gevestigd, bijvoorbeeld Gmail, Dropbox, Google Drive en Outlook Webmail. De VS kan zich op basis van de Patriot Act toegang verschaffen tot je data, onder de noemer ‘aannemelijk belang’.

Om aan de privacy- en beveiligingseisen te kunnen voldoen, dien je met partijen buiten de EU een Europese Modelovereenkomst (of Binding Corporate Rules, BCR’s) aan te gaan. Voor partijen in de VS is het Privacy Shield ook een alternatief. Zowel bij het Europese Modelovereenkomst als het Privacy Shield zijn echter recent vraagtekens gezet, dus de tijd zal moeten uitwijzen of je dit ook daadwerkelijk kunt gaan gebruiken.

Datalekken door medewerkers voorkomen

Downloaden en installeren van software door medewerkers
Dat medewerkers software kunnen downloaden en installeren lijkt misschien efficiënt voor de snelheid van de werkzaamheden, maar dit brengt kwetsbaarheden mee in de databeveiliging. Zorg er daarom voor dat je iemand aanstelt die verantwoordelijk is voor het downloaden en installeren van software en dit alleen kan doen middels de admin-rechten.

Addendum bij de arbeidsvoorwaarden: hoe om te gaan met data?
De meeste datalekken ontstaan doordat medewerkers per ongeluk gebruikmaken van publieke clouddiensten als Dropbox, bijlagen met persoonsgegevens onbeveiligd versturen of USB-sticks laten slingeren. Maak medewerkers bewust van je databeleid middels een addendum bij de arbeidsvoorwaarden. Deze dienen zij door te nemen en te ondertekenen.

Wat je hierin ook op kunt nemen is hoe om te gaan met eigen apparatuur. Kunnen medewerkers persoonsgegevens inzien of opslaan op hun persoonlijke smartphone, tablet of laptop? Wij raden aan je medewerkers te instrueren om dit tot een minimum te beperken.

Het is ook belangrijk te vermelden dat medewerkers bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers (USB-stick, externe harde schijf) dienen te verwijderen. Mocht de medewerker bijvoorbeeld een klantenbestand moeten inladen in het e-mailprogramma, dan dient dit klantenbestand daarna van alle lokale apparatuur en externe gegevensdragers te worden verwijderd.

Vragen? Neem dan vrijblijvend contact met ons op.

Disclaimer: we hebben uitgebreid onderzoek gedaan bij het opstellen van deze blogs. Echter zijn we niet juridisch aansprakelijk voor de inhoud en hier kunnen geen rechten aan worden ontleend. 

Laat een reactie achter

Neem contact met ons op

We zijn op dit moment niet online. Mail een bericht en we nemen zo spoedig mogelijk contact met je op.

Geef een zoekterm en druk op enter

Friends of Search 2018 - James Whittaker