Allemaal Veilige Gegevens

Er verscheen kort geleden een artikel in het blad Marketing Rendement. Het artikel geschreven door H. Kortekaas beschrijft hoe u als bedrijf dat hele AVG gebeuren nou het beste kunt aanvliegen. Het is namelijk niet niks om de voorbereidingen te treffen voor de nieuwe privacywet. Meneer Kortekaas geeft u een aantal handvaten, tips, trucs en concepten. In heldere taal legt hij cyberbeveiliging uit aan de leek want die moeten immers er (helaas) ook aan geloven. Lees het volledige artikel hieronder.

Als de Algemene Verordening Gegevensbescherming (AVG) in mei in werking treedt, moet u uw maatregelen om een datalek te voorkomen op de rit hebben. Een eis van de AVG is dat u daarvoor ‘passende beveiligingsmaatregelen’ neemt. Natuurlijk is uw eerste zorg uw eigen afdeling, maar het geldt uiteraard voor het hele bedrijf. Daarvoor zult u dus nauw moeten samenwerken met de IT-afdeling. Aan welke knoppen moet u draaien?

Het aanpassen van de IT-systemen aan de AVG is niet in een achternamiddag geregeld. Kort gezegd eist deze namelijk van elke organisatie dat die continu op het netvlies heeft of er netjes met persoonsgegevens wordt omgegaan. Daarvoor moet u veel dingen gaan vastleggen. Zo moet u een register gaan bijhouden met daarin een overzicht van alle verwerkingen van persoonsgegevens. Met het bijhouden van een register voorkomt u echter nog geen datalek. Daarvoor moet u toch echt bij de techniek zijn. Maar waar te beginnen? Eigenlijk begint het allemaal met kennis. U moet duidelijk in beeld krijgen welke persoonsgegevens u nu eigenlijk verwerkt en hoe de informatiestromen lopen.

Verkleinen

De vervolgvraag voor uw bedrijf is dan: welke mogelijke beveiligingsrisico’s leveren die informatiestromen en verwerkingen op? En natuurlijk: hoe kan ik die verkleinen? Het is handig om eerst een risico-analyse te doen met behulp van een stappenplan (zie hieronder). Dit levert uw bedrijf als het goed is een duidelijk beeld op van de ingrepen die nog nodig zijn om alles op de rit te krijgen. Daarna kunt u besluiten welke knelpunten u zelf aanpakt en wat u wilt uitbesteden. Het up-to-date maken van de systemen en de organisatie hoeft in principe geen maanden in beslag te nemen. Maar de tijdsduur en de kosten van een traject zijn wel afhankelijk van de huidige stand van uw gegevensbeveiliging.

 In 5 stappen naar goede gegevensbeveiliging.
Zo krijgt u uw privacybeleid op de rails.

Stap 1. Iemand moet verantwoordelijk zijn voor de bescherming van persoonsgegevens. Breng de verwerking hiervan in kaart.

Stap 2. Analyseer de risico’s van deze verwerkingen en bekijk wat er nog ontrbreekt an uw beveiliging, bijvoorbeeld met behulp van een gap-analyse.

Stap 3. Update uw privacybeleid. De AVG schrijft voor:

“Privacy by default”
“Privacy by design”
“Dataminimalisatie”, oftewel: verzamel niet meer gegevens dan nodig is.

Stap 4. Creëer bewustzijn en leg verantwoordelijkheden vast. Maak afspraken met leveranciers die persoonsgegevens van uw organisatie verwerken; die blijfen uw verantwoordelijkheid.

Stap 5. Voer de technische adviezen uit die de gap-analyse heeft opgeleverd.

Voordat we verdergaan met dit artikel: Even een klein IT-woordenboek!

Wie zich verdiept in databeveiliging komt terecht in een woud van Engelse termen
die voor de ict-leek abracadabra zijn. Toch is het nuttig om een paar basistermen te
kennen.

-DDoS-aanvallen
Een ‘Distributed Denial of Service’-aanval is een cyberaanval waarbij heel veel verkeer naar computernetwerken of servers wordt verstuurd waardoor deze vastlopen. Een ‘wasstraat’ houdt in dat verdacht internetverkeer wordt gedetecteerd en wordt doorgeleid naar gespecialiseer de anti-DDoS-apparatuur. Die ‘reinigt’ het verkeer en stuurt het schoon weer terug. 

-Endpoint protection
Een strategie waarbij beveiligingssoftware is geïnstalleerd op zogenoemde ‘eindpunten’, dus op elk apparaat dat verbinding maakt met het bedrijfsnetwerk. Bijvoorbeeld laptops of smartphones. Een centrale server controleert of het apparaat dat verbinding wil maken daar ook toestemming voor heeft en up-to-date is. 

-Gap-analyse
Analyse om de verschillen vast te stellen tussen de huidige en gewenste staat van
uw systemen en bedrijfsprocessen. Deze analyse levert niet alleen de gaten (‘gaps’),
maar maakt ook duidelijk wat u nog te doen staat om aan de eisen te voldoen (en
de gaten te dichten).

-Penetratietest
Een door u goedgekeurde gesimuleerde aanval op één of meer geselecteerde IT
systemen, om zo te bepalen hoe kwetsbaar deze zijn. Een IT-beveiligingsadviseur voert de penetratietest uit.

-Sterke authenticatie
Het principe dat je toegang hebt op basvan ‘iets dat je weet, hebt of bent’. Bijvoorbeeld een wachtwoord plus een code die gegenereerd wordt door een token,
een app of een vingerafdruk.

-Virtual Private Network (VPN)
Een beveiligd privénetwerk tussen thuis en mobiele werkers en het kantoor en
tussen het hoofdkantoor en nevenvestigingen. Het gevolg is dat een hacker uw verbinding niet kan binnendringen, waardoor u veilig op afstand kunt werken

Schakel

Op basis van de analyse kan het bedrijf aan de slag met – zoals de AVG voorschrijft – ‘passende’ beveiligingsmaatregelen om een datalek te voorkomen. De vraag is dan natuurlijk: wat zijn ‘passende maatregelen’? Dat is voor ieder bedrijf maatwerk. Maar als de volgende vier gebieden op orde zijn, heeft u het grootste deel te pakken. Omdat de hele keten zo sterk is als de zwakste schakel, verdienen alle categorieën aandacht.

Gebruikersbeveiliging
De gebruiker is de zwakste schakel bij cybersecurity. Bij zo’n 45% van de datalekken die nu gemeld worden, heeft een medewerker een e-mail met privacygevoelige informatie naar de verkeerde persoon gestuurd. Deels kunt u dit ondervangen met technische ingrepen, zoals ‘mobile device management’ (beheer en beveiliging van en toezicht op mobiele apparaten als smartphones en tablets) en ‘endpoint protection’. Maar misschien nog wel belangrijker – en zeker ook op uw eigen afdeling – is bewustwording. Die neemt toe wanneer u regelmatig aandacht besteedt aan het onderwerp, waarbij u heel specifek voorbeeldgedrag positief belicht. Elke medewerker moet dus weten: wat is een datalek? Hoe kan ik het voorkomen? En wat moet ik doen wanneer ik denk dat er sprake is van een datalek?

Netwerk- en toegangsbeveiliging
Uw bedrijf moet ook maatregelen nemen om te zorgen dat het bedrijfsnetwerk en
de internettoegang veilig zijn en veilig blijft functioneren. Er moet dus een beschermende muur opgetrokken worden tegen hackers, malware en phishing. In IT-land worden dit soort maatregelen vaak gebundeld in oplossingen die ‘unifed threat management’ (UTM) worden genoemd. In zo’n pakket zitten vaak onder meer een frewall, een virtual private network (VPN), sterke authenticatie, programma’s voor ‘intrusion prevention’, webflters (beperken de internetsites die een gebruiker kan openen) en antivirusprogramma’s. Een zogenoemd security operations center kan in de gaten houden of de beveiliging goed werkt. Zo’n
systeem signaleert mogelijke dreigingen voor uw informatie- en communicatiesystemen en verdedigt u daartegen.

Applicatiebeveiliging
Gebruikt de marketingafdeling speciale applicaties die essentieel zijn voor de  bedrijfsvoering? Aangenomen dat deze (van afstand) te benaderen zijn via een bedrijfsnetwerk, dan zijn ze kwetsbaar. Mogelijke maatregelen hiertegen zijn een applicatiefrewall, een ‘wasstraat’ tegen DDoS-aanvallen, sterke authenticatie, versleuteling van gegevens (encryptie/decryptie), maar eveneens een penetratietest. En ook hier weer: bewustmaking van collega’s.

Gegevensbeveiliging
Uw bedrijf moet ook ‘offline’ de zaakjes op orde hebben. Denk aan maatregelen om de serverruimte te beveiligen (een blusinstallatie, toegangscontrole). Zelf kunt u bijvoorbeeld voorkomen dat draagbare gegevensdragers als usb-sticks onbeheerd rondslingeren. Zorg ook voor het veilig delen, mailen en opslaan van data op uw afdeling. Mogelijke maatregelen hiervoor zijn encryptie, mobile device management, veilig datadelen, aangetekend en verzegeld e-mailen, back-ups maken en natuurlijk meer bewustzijn creëren.

 

Bijspijkeren


De AVG dwingt iedere marketeer om na te denken over de manier waarop de afdeling met persoonsgegevens omgaat. De verordening brengt werk met zich mee,
en misschien ook het bijspijkeren van wat ict-kennis. Maar het biedt ook  mogelijkheden om u te onderscheiden. Want nu klanten steeds bewuster omgaan met hun privacy, zien ze ook graag bedrijven die dat tot in de puntjes op orde hebben.

 

Zelf doen of FG?

Functionaris voor de gegevensbescherming

(Branche)organisaties hebben de mogelijkheid zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen. Zo iemand wordt een functionaris voor de gegevensbescherming (FG) genoemd. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens (Wbp).

Straks: verplichte FG

Let op: vanaf 25 mei 2018 geldt er nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Organisaties kunnen dan verplicht zijn om een FG aan te stellen. Natuurlijk mogen organisaties dan ook nog steeds vrijwillig een FG aanstellen.

Voor meer informatie, zie het AVG-dossier Functionaris voor de gegevensbescherming (FG).

Taken

De werkzaamheden van een FG kunnen onder meer zijn:

  • toezicht houden;
  • inventarisaties van gegevensverwerkingen maken;
  • meldingen van gegevensverwerkingen bijhouden;
  • vragen en klachten van mensen binnen en buiten de organisatie afhandelen;
  • interne regelingen ontwikkelen;
  • adviseren over technologie en beveiliging (privacy by design);
  • input leveren bij het opstellen of aanpassen van een gedragscode.

Melden gegevensverwerking

Moet u een risicovolle verwerking melden bij de Autoriteit Persoonsgegevens? Als u een FG heeft, kunt u deze melding bij de FG doen.

Eisen aan FG

De wet stelt een aantal eisen aan FG’s:

  • Een FG moet een natuurlijk persoon zijn. Een ondernemingsraad of commissie komt dus niet in aanmerking.
  • Een FG moet voldoende kennis hebben van de organisatie en de privacywetgeving.
  • Een FG moet betrouwbaar zijn. Dit uit zich onder meer in een geheimhoudingsplicht.

Bevoegdheden FG

Een FG heeft geen formele sanctiebevoegdheden. Maar de organisatie is wel wettelijk verplicht om de FG controlebevoegdheden te geven. Zo moet een FG bevoegd zijn om ruimtes te betreden, zaken te onderzoeken en inlichtingen en inzage te vragen.

De FG moet in onafhankelijkheid zijn werkzaamheden kunnen verrichten binnen een organisatie.

Een FG heeft dezelfde ontslagbescherming als leden van een ondernemingsraad. Dit betekent dat hij pas ontslagen kan worden na toestemming van de kantonrechter.

Toezicht door Autoriteit Persoonsgegevens

Heeft een organisatie een FG, dan behoudt de Autoriteit Persoonsgegevens als nationale toezichthouder alle bevoegdheden. Maar de Autoriteit Persoonsgegevens stelt zich terughoudend op bij organisaties met een FG.

Beroepsvereniging FG’s

FG’s kunnen lid worden van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG).

FG aanstellen

Een (branche)organisatie kan een of meerdere FG’s aanstellen. De organisatie moet elke FG vervolgens aanmelden bij de Autoriteit Persoonsgegevens. Pas dan kan de FG als zodanig aan de slag.

Let op: een verantwoordelijke (degene die het doel van en de middelen voor de gegevensverwerking vaststelt) kan niet tevens FG zijn in zijn eigen organisatie.

FG aanmelden bij Autoriteit Persoonsgegevens

U kunt een FG aanmelden bij de Autoriteit Persoonsgegevens via het aanmeldingsformulier. Stuur dit vervolgens naar:

Autoriteit Persoonsgegevens
t.a.v. Afdeling Bestandsbeheer
Postbus 93374
2509 AJ Den Haag.

Openbaar register FG’s

De Autoriteit Persoonsgegevens publiceert aanmeldingen van FG’s in een register.

  • Is iemand geen FG meer? Dan moet de organisatie dit doorgeven aan de Autoriteit Persoonsgegevens.
  • Komt er geen nieuwe FG? Dan moet de organisatie alle gegevensverwerkingen melden bij de Autoriteit Persoonsgegevens.