Meer slagkracht Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens, die toezicht moet houden op de naleving van de Algemene verordening gegevensbescherming (AVG) krijgt meer slagkracht.

De ministerraad heeft besloten het budget van de toezichthouder fors te verhogen, zodat er meer mogelijkheden ontstaan om de naleving van de komende AVG te controleren. Tot nu toe waren er te weinig financiële middelen om die taak naar behoren uit te voeren. Daarom heeft de ministerraad besloten dat er meer geld naar het AP gaat.

Nog in de loop van 2018 krijgt de AP € 5 miljoen extra toegewezen. In 2019 komt daar nog eens € 2 miljoen bij. Het betekent in ieder geval dat de AP meer mogelijkheden krijgt om onderzoek te doen naar organisaties die ervan verdacht worden de AVG niet na te leven of zelfs te overtreden. Ook het onderzoeken van datalekken wordt daardoor makkelijker.

Hoe ver bent u met de beveiliging van persoonsgegevens?

Let op uw techniek!

Het is u hopelijk niet ontgaan: de Algemene Verordening Gegevensbescherming (AVG) treedt 25 mei in werking in Nederland. De verordening schrijft maatregelen voor om uiteindelijk een datalek van persoonsgegevens binnen uw BV te voorkomen. De AVG vraagt nogal wat van uw ICT-systemen. Aan welke knoppen moet u gaan draaien?

Het aanpassen van uw systemen aan de verordening is niet in een namiddag geregeld. Kort gezegd eist de AVG namelijk van elke onderneming dat die continu op het netvlies heeft of er netjes met persoonsgegevens wordt omgegaan. De AVG brengt sowieso al papieren verplichtingen met zich mee. Zo moet u een register gaan bijhouden met daarin een overzicht van alle verwerkingen van persoonsgegevens in uw BV.

Kennis

Maar met papieren afspraken of het bijhouden van een register voorkomt u nog geen datalek binnen uw BV. Daar-voor moet u toch echt bij de techniek zijn. Maar waar te beginnen? Eigenlijk begint het allemaal met kennis. U moet duidelijk in beeld krijgen welke persoonsgegevens u nu eigenlijk verwerkt en hoe de informatiestromen lopen. De vervolgvraag is dan: welke mogelijke beveiligingsrisico’s leveren die informatiestromen en verwerkingen op? En natuurlijk: hoe kan ik die verkleinen? ‘Het begint met kennis’ geldt trouwens ook voor uw eigen kennis. Wie zich verdiept in databeveiliging komt terecht in een woud van Engelse termen die voor de ICT-leek abracadabra zijn. Toch is het nuttig om een paar basiszaken te kennen, dat kan schelen in de onderhandelingen met uw IT-leverancier. Terug naar de informatiestromen en het verkleinen van de beveiligingsrisico’s.

Het is handig om een stappenplan te volgen (zie hieronder) en een risico-analyse te doen. Dit levert u als het goed is een duidelijk beeld op van waar er in uw BV nog ingrepen nodig zijn. Daarna kunt u besluiten welke knelpunten u zelf aanpakt en wat u wilt uitbesteden. Het up-to-date maken van de systemen en de organisatie hoeft in principe geen maanden in beslag te nemen. Maar de tijdsduur en de kosten van een traject zijn wel af hankelijk van waar uw BV op dit moment staat met de gevensbeveiliging.

Op basis van de analyse kunt u aan de slag om, zoals de AVG voorschrijft, ‘passende’ beveiligingsmaatregelen te nemen om een datalek te voorkomen. Vraag is natuurlijk: wat zijn ‘passende maatregelen’? Dat blijft voor elke onderneming maatwerk. Maar als u de onderstaande vier gebieden op orde heeft, heeft u het grootste deel te pakken. Omdat de hele keten zo sterk is als de zwakste schakel, verdienen alle categorieën aandacht.

Stappen zetten op weg naar goede gegevensbeveiliging:

1 Maak iemand binnen uw BV verantwoordelijk voor de bescherming van persoonsgegevens en breng de verwerkingen van persoonsgegevens in kaart.

2 Voer een analyse uit van de risico’s die deze verwerkingen met zich meebrengen, bijvoorbeeld een ‘gap-analyse’.

3 Update uw privacybeleid. De AVG schrijft voor dat u ‘privacy by default’, ‘privacy by design’ en dataminimalisatie toepast. Dit houdt onder meer in dat u niet meer gegevens mag verzamelen dan nodig is.

4 Leg verantwoordelijkheden rond persoonsgegevens vast en creëer bewustzijn binnen uw BV. Maak afspraken met leveranciers die persoonsgegevens van uw BV verwerken (verwerkingsovereenkomst). De verantwoordelijkheid voor de gegevens ligt namelijk bij u.

5 Voer de technische adviezen uit die de gap-analyse heeft opgeleverd.

Gebruikersbeveiliging

De gebruiker is de zwakste schakel bij cybersecurity. Bij zo’n 45% van de datalekken die nu gemeld worden, heeft een werknemer een e-mail met privacygevoelige informatie naar de verkeerde persoon gestuurd. Deels kunt u dit proberen te ondervangen met technische ingrepen, zoals ‘mobile device management’ (beheer, beveiliging en toezicht op mobiele apparaten als smartphones en tablets), datalekpreventie en ‘endpoint protection’.

Maar misschien nog wel belangrijker is bewustwording onder werknemers. De bewustwording neemt toe wanneer er regelmatig aandacht is voor het onderwerp, waarbij heel specifiek voorbeeldgedrag positief wordt belicht. Elke werknemer moet dus weten: wat is een datalek? Hoe kan ik het voorkomen? En wat moet ik doen wanneer ik denk dat er sprake is van een datalek?

Netwerk- en toegangsbeveiliging

Dit zijn de maatregelen die u kunt nemen om te zorgen dat uw bedrijfsnetwerk en de internettoegang veilig zijn en dat dit ook allemaal blijft functioneren. Dus: een beschermingswal aanleggen tegen hackers, malware en phishing. In IT-land worden dit soort maatregelen vaak gebundeld in oplossingen die ‘unified threat management’ (UTM) worden genoemd. In zo’n pakket zitten vaak onder meer een firewall, een virtual private network (VPN), sterke authenticatie, programma’s voor ‘intrusion prevention’, webfilters (beperkt welke internetsites een gebruiker kan openen) en antivirus-programma’s. Om in de gaten te houden of de beveiliging goed zijn werk doet kunt u gebruikmaken van een zo-genoemd security operations center. Zo’n systeem signaleert mogelijke dreigingen voor uw informatie- en communicatiesystemen en verdedigt u daartegen.

Applicatiebeveiliging

Ook uw BV gebruikt waarschijnlijk een aantal programma’s die essentieel zijn voor uw bedrijfsvoering. Deze applicaties zijn steeds vaker te benaderen via een bedrijfsnetwerk (en ook door thuiswerkers). Daardoor zijn ze kwetsbaar. Mogelijke maatregelen zijn onder meer: een applicatiefirewall, een ‘wasstraat’ tegen DDoS-aanvallen, sterke authenticatie, versleuteling van gegevens (encryptie/decryptie), maar bijvoorbeeld ook een penetratietest. En ook hier weer: bewustzijnstrainingen voor uw werknemers.

Gegevensbeveiliging

U moet ook ‘offline’ uw zaakjes op orde hebben. Zoals maatregelen om uw serverruimte te beveiligen (een blusinstallatie, toegangscontrole). Ook moet u voorkomen dat draagbare gegevensdragers als usb-sticks onbeheerd rondslingeren. Maar ook het delen, mailen en opslaan van data vindt vaak onveilig plaats.Mogelijke maatregelen zijn: encryptie, mobile device management, veilig datadelen, aangetekend en verzegeld e-mailen, back-ups maken en meer bewustzijn creëren binnen uw BV.

Onderscheiden

De AVG dwingt elke onderneming om na te denken over hoe zij met persoonsgegevens omgaat. De verordening brengt werk met zich mee, en misschien ook het bijspijkeren van wat ICT-kennis. Maar het biedt ook mogelijkheden om u te onderscheiden. Want in een tijd dat klanten steeds bewuster omgaan met hun privacy, zien ze graag bedrijven die dat tot in de puntjes op orde hebben.