Let op uw applicaties!

Om berichten en gegevens te delen binnen uw organisatie kennen we veel toepassingen. Het gaat hierbij om meestal gratis software voor het online opslaan of versturen van informatie. Degelijke voorbeelden zijn WhatsApp, Dropbox en Skype. Het is belangrijk om na te gaan waar deze informatie eigenlijk allemaal heengaat omwille van de AVG. Als u namelijk gegevens aan deze instanties verstrekt door middel van verzending of opslag, moet u met deze bedrijven een verwerkersovereenkomst sluiten. Ook is het belangrijk om te kijken waar de gegevens worden opgeslagen. Namelijk of die nog in de EER blijven of misschien naar de United States gaan. Als ze naar de States gaan moet u dan nagaan of het bedrijf onderdeel is van het zogenoemde Privacy Shield programma, dit is een soort EU-VS samenwerkingsprogramma waarin aangetoont wordt dat er op een veilige manier gegevens kunnen worden uitgewisseld waarbij aan de EU privacywetgeving voldaan kan worden.

Het is ook handig om nog even de gebruikersovereenkomsten en privacyvoorwaarden van die partijen door te lezen wat hun beleid is voor bijvoorbeeld data recovery. In het geval dat er data verloren gaat bent u verantwoordelijk omdat u geen goede technische maatregelen heeft genomen om de data veilig te stellen. Dropbox bijvoorbeeld heeft instellingen waarmee het synchroniseren van gegevens tussen apparaten wel erg handig is ingesteld, maar tegerlijkertijd kan een verkeerd vinkje ergens plaatsen/weghalen alle data wissen van alle locaties. Let dus heel goed op wanneer u dit soort oplossingen gebruikt.

 

Hoe zit het met webshops en de AVG?

De AVG is in volle aantocht! We hebben het al in eerder blogposts gehad over hoe u uw bedrijf AVG compliant kan maken door technische en organisatorische maatregelen toe te passen. Bent u nog steeds onzeker over hoe u dit nou het beste kan aanvliegen? Vraag dan een AVG Advies traject aan bij Data Privacy Partners! Maar hoe zit dat nou met webshops?

Bij de meeste webshops worden er een aantal persoonsgegevens gevraagd, waaronder email adres en (soms) telefoonnummer. Nu kan het handig zijn om deze gegevens te hebben voor bijvoorbeeld het versturen van een nieuwsbrief of het bellen om door te geven dat er iets aan de hand is met de bestelling, maar het is niet de bedoeling dat u deze gegevens zomaar voor andere doeleinden gaat gebruiken. En zelfs bij in het geval van de nieuwsbrief mag de optie “Meld mij aan voor de nieuwsbrief” niet standaard aan staan, de gebruiker moet hier expliciet toestemming voor geven.

Als u toch de gegevens die u verzamelt in uw webshop (bijvoorbeeld door cookies) wilt gebruiken voor “Targeted advertising” (op maat gemaakte advertenties). Zorg dan wederom dat A) Dit goed staat beschreven in uw cookie statement en privacyverklaring en dat B) de gebruiker hier makkelijk “Nee” op kan zeggen. Maak bijvoorbeeld een knop voor aangepaste cookie instellingen waarbij alleen de cookies die noodzakelijk zijn voor het functioneren van de webshop worden geplaatst, en mocht u gebruik maken van bijvoorbeeld Google Ads, dan mag u geen melding genereren in de trend van “Schakel uw adblocker uit om gebruik te kunnen maken van deze website”. Dit heeft te maken met één van de rechten van betrokkenen, namelijk het recht van bezwaar. Een betrokkene kan middels een adblocker bezwaar maken tegen het feit dat er persoonsgegevens van hem of haar worden verwerkt omdat er in sommige ads een “Tracking Pixel” zit die bijhoud welke personen de advertentie allemaal gezien hebben.

Als u toch deze gegevens zou willen gebruiken voor bijvoorbeeld advertising dan moet u hiervoor toestemming vragen aan de klanten van uw webshop voordat u de gegevens doorgeeft aan een derde. Zorg ook dat u de gegevens niet langer bewaard dan de wettelijke bewaartermijn. Verder is het van belang dat u ook laat weten aan uw klanten dat mocht u persoonsgegevens doorgeven aan derden, zij dit te allen tijden mogen stoppen door bij u aan te geven dat zij dit liever niet willen. Het intrekken van toestemming moet volgens de AVG net zo makkelijk zijn als het geven van toestemming. Houd er dan ook rekening mee dat mocht u zo’n aanvraag tot stoppen van verwerken van de persoonsgegevens, u ook dit moet doorgeven bij de partijen aan wie u de persoonsgegevens heeft overgedragen. Deze zijn immers ook verplicht om de gegevens te verwijderen. Om goed in kaart te krijgen wie nou allemaal welke persoonsgegevens heeft is het verstandig dit allemaal goed op te nemen in uw verwerkersovereenkomsten.

Veiligheid voorop

Een artikel in het blad Office Rendement:

De IT systemen spelen een belangrijke rol bij uw voorbereiding op de AVG. U moet er namelijk voor zorgen dat persoonsgegevens veilig zijn binnen uw organisatie. En techniek is de manier om dat voor elkaar te boksen. Op 25 mei is het zover, dus loop nu de systemen op beveiliging van persoonsgegevens na, zodat de puntjes altijd op de ‘i’ staan.

Het aanpassen van de IT-systemen aan de AVG is niet in een achternamiddag geregeld. Kort gezegd eist deze namelijk van elke organisatie dat die continu op het netvlies heeft of er netjes met persoonsgegevens wordt omgegaan. Daarvoor moet u veel dingen gaan vastleggen. Zo moet u een register gaan bijhouden met daarin een overzicht van alle verwerkingen van persoonsgegevens. Met het bijhouden van een register voorkomt u echter nog geen datalek. Daarvoor moet u toch echt bij de techniek zijn. Maar waar te beginnen? Eigenlijk begint het allemaal met kennis. U moet duidelijk in beeld krijgen welke persoonsgegevens u nu eigenlijk verwerkt en hoe de informatiestromen lopen.

Abracadabra

De vervolgvraag voor uw bedrijf is dan: welke mogelijke beveiligingsrisico’s leveren die informatiestromen en verwerkingen op? En natuurlijk: hoe kan ik die verkleinen? Het is handig om eerst een risico-analyse te doen met behulp van een stappenplan (zie hieronder). Dit levert uw bedrijf als het goed is een duidelijk beeld op van de ingrepen die nog nodig zijn om alles op de rit te krijgen. Daarna kunt u besluiten welke knelpunten u zelf aanpakt en wat u wilt uitbesteden. Het up-to-date maken van de systemen en de organisatie hoeft in principe geen maanden in beslag te nemen. Maar de tijdsduur en de kosten van een traject zijn wel afhankelijk van de huidige stand van uw gegevensbeveiliging.

 In 5 stappen naar goede gegevensbeveiliging.
Zo krijgt u uw privacybeleid op de rails.

Stap 1. Iemand moet verantwoordelijk zijn voor de bescherming van persoonsgegevens. Breng de verwerking hiervan in kaart.

Stap 2. Analyseer de risico’s van deze verwerkingen en bekijk wat er nog ontrbreekt an uw beveiliging, bijvoorbeeld met behulp van een gap-analyse.

Stap 3. Update uw privacybeleid. De AVG schrijft voor:

“Privacy by default”
“Privacy by design”
“Dataminimalisatie”, oftewel: verzamel niet meer gegevens dan nodig is.

Stap 4. Creëer bewustzijn en leg verantwoordelijkheden vast. Maak afspraken met leveranciers die persoonsgegevens van uw organisatie verwerken; die blijfen uw verantwoordelijkheid.

Stap 5. Voer de technische adviezen uit die de gap-analyse heeft opgeleverd.

Het abc van beveiliging onder de Algemene Verordening Gegevensbescherming

‘Het begint met kennis’geldt trouwens ook voor uw eigen kennis. Wie zich verdiept in databeveiliging komt terecht in een woud van Engelse termen
die voor de ict-leek abracadabra zijn. Toch is het nuttig om een paar basistermen te
kennen, dat kan schelen in de onderhandelingen met uw IT-leverancier.

-DDoS-aanvallen
Een ‘Distributed Denial of Service’-aanval is een cyberaanval waarbij heel veel verkeer naar computernetwerken of servers wordt verstuurd waardoor deze vastlopen. Een ‘wasstraat’ houdt in dat verdacht internetverkeer wordt gedetecteerd en wordt doorgeleid naar gespecialiseer de anti-DDoS-apparatuur. Die ‘reinigt’ het verkeer en stuurt het schoon weer terug. 

-Endpoint protection
Een strategie waarbij beveiligingssoftware is geïnstalleerd op zogenoemde ‘eindpunten’, dus op elk apparaat dat verbinding maakt met het bedrijfsnetwerk. Bijvoorbeeld laptops of smartphones. Een centrale server controleert of het apparaat dat verbinding wil maken daar ook toestemming voor heeft en up-to-date is. 

-Gap-analyse
Analyse om de verschillen vast te stellen tussen de huidige en gewenste staat van
uw systemen en bedrijfsprocessen. Deze analyse levert niet alleen de gaten (‘gaps’),
maar maakt ook duidelijk wat u nog te doen staat om aan de eisen te voldoen (en
de gaten te dichten).

-Penetratietest
Een door u goedgekeurde gesimuleerde aanval op één of meer geselecteerde IT
systemen, om zo te bepalen hoe kwetsbaar deze zijn. Een IT-beveiligingsadviseur voert de penetratietest uit.

-Sterke authenticatie
Het principe dat je toegang hebt op basvan ‘iets dat je weet, hebt of bent’. Bijvoorbeeld een wachtwoord plus een code die gegenereerd wordt door een token,
een app of een vingerafdruk.

-Virtual Private Network (VPN)
Een beveiligd privénetwerk tussen thuis en mobiele werkers en het kantoor en
tussen het hoofdkantoor en nevenvestigingen. Het gevolg is dat een hacker uw verbinding niet kan binnendringen, waardoor u veilig op afstand kunt werken

Schakel

Op basis van de analyse kan het bedrijf aan de slag met – zoals de AVG voorschrijft – ‘passende’ beveiligingsmaatregelen om een datalek te voorkomen. De vraag is dan natuurlijk: wat zijn ‘passende maatregelen’? Dat is voor ieder bedrijf maatwerk. Maar als de volgende vier gebieden op orde zijn, heeft u het grootste deel te pakken. Omdat de hele keten zo sterk is als de zwakste schakel, verdienen alle categorieën aandacht.

Gebruikersbeveiliging
De gebruiker is de zwakste schakel bij cybersecurity. Bij zo’n 45% van de datalekken die nu gemeld worden, heeft een medewerker een e-mail met privacygevoelige informatie naar de verkeerde persoon gestuurd. Deels kunt u dit ondervangen met technische ingrepen, zoals ‘mobile device management’ (beheer en beveiliging van en toezicht op mobiele apparaten als smartphones en tablets) en ‘endpoint protection’. Maar misschien nog wel belangrijker – en zeker ook op uw eigen afdeling – is bewustwording. Die neemt toe wanneer u regelmatig aandacht besteedt aan het onderwerp, waarbij u heel specifek voorbeeldgedrag positief belicht. Elke medewerker moet dus weten: wat is een datalek? Hoe kan ik het voorkomen? En wat moet ik doen wanneer ik denk dat er sprake is van een datalek?

Netwerk- en toegangsbeveiliging
Uw bedrijf moet ook maatregelen nemen om te zorgen dat het bedrijfsnetwerk en
de internettoegang veilig zijn en veilig blijft functioneren. Er moet dus een beschermende muur opgetrokken worden tegen hackers, malware en phishing. In IT-land worden dit soort maatregelen vaak gebundeld in oplossingen die ‘unifed threat management’ (UTM) worden genoemd. In zo’n pakket zitten vaak onder meer een frewall, een virtual private network (VPN), sterke authenticatie, programma’s voor ‘intrusion prevention’, webflters (beperken de internetsites die een gebruiker kan openen) en antivirusprogramma’s. Een zogenoemd security operations center kan in de gaten houden of de beveiliging goed werkt. Zo’n
systeem signaleert mogelijke dreigingen voor uw informatie- en communicatiesystemen en verdedigt u daartegen.

Applicatiebeveiliging
Gebruikt de marketingafdeling speciale applicaties die essentieel zijn voor de  bedrijfsvoering? Aangenomen dat deze (van afstand) te benaderen zijn via een bedrijfsnetwerk, dan zijn ze kwetsbaar. Mogelijke maatregelen hiertegen zijn een applicatiefrewall, een ‘wasstraat’ tegen DDoS-aanvallen, sterke authenticatie, versleuteling van gegevens (encryptie/decryptie), maar eveneens een penetratietest. En ook hier weer: bewustmaking van collega’s.

Gegevensbeveiliging
Uw bedrijf moet ook ‘offline’ de zaakjes op orde hebben. Denk aan maatregelen om de serverruimte te beveiligen (een blusinstallatie, toegangscontrole). Zelf kunt u bijvoorbeeld voorkomen dat draagbare gegevensdragers als usb-sticks onbeheerd rondslingeren. Zorg ook voor het veilig delen, mailen en opslaan van data op uw afdeling. Mogelijke maatregelen hiervoor zijn encryptie, mobile device management, veilig datadelen, aangetekend en verzegeld e-mailen, back-ups maken en natuurlijk meer bewustzijn creëren.

Ondersheiden


De AVG dwingt iedere marketeer om na te denken over de manier waarop de afdeling met persoonsgegevens omgaat. De verordening brengt werk met zich mee,
en misschien ook het bijspijkeren van wat ict-kennis. Maar het biedt ook  mogelijkheden om u te onderscheiden. Want nu klanten steeds bewuster omgaan met hun privacy, zien ze ook graag bedrijven die dat tot in de puntjes op orde hebben.