5 AVG Privacy en Security Tips

De Algemene verordening gegevensbescherming (Avg), of in het Engels “General Data Protection Regulation” (GDPR), gelden vanaf 25 mei 2018 voor iedereen die direct of indirect gegevens van personen en organisaties verwerkt. Voor veel organisaties is dit niet nieuw en komt de nieuwe regelgeving redelijk overeen met de huidige privacywetgeving waar we al aan moeten voldoen. Toch zijn er belangrijke verschillen waarbij de nadruk sterk ligt op dat je straks niet alleen je privacy en security goed op orde moet hebben, maar ook goed moet vastleggen welke gegevens en waarom je deze gegevens verwerkt en bewaart. Daarnaast moet je dit communiceren aan je klanten en leveranciers. Wij gaan nu niet in op alle juridische aspecten en regels van de wetgeving, maar geven in dit artikel een aantal praktische tips vanuit ICT-oogpunt.

Waarom?

Stel jezelf de vraag ‘Waarom’ je specifieke gegevens verwerkt en/of bewaart. Heb je deze gegevens echt nodig voor je dienstverlening of bedrijfsvoering? Kijk goed wat voor jouw organisatie gevoelig kan liggen op dit gebied. Leg dit ook goed vast met daarbij aangegeven waarom, hoe en wat je hiermee doet.

Overweeg daarbij om gegevens te anonimiseren. Denk aan langdurige statistieken bewaren rondom gebruik van je diensten of resultaten die uit een onderzoek komen waar echte gegevens van bijvoorbeeld patiënten gebruikt zijn.

Dit punt is sterk afhankelijk van de branche en de juridische verplichtingen die je dan hebt, maar door de ‘Waarom’ vraag te stellen krijg je een beter inzicht en ben je bewuster met jouw gegevens bezig.

Werksystemen versleutelen

Systemen die jij en jouw collega’s gebruiken om hun alledaagse taken uit te voeren, zoals een PC, laptop, mobiel en tablet, zijn vaak een mooie bron voor hackers en criminelen om gegevens te verschaffen die privacygevoelig kunnen zijn. Denk aan e-mails, CV’s, offertes, presentaties, rapporten etc. die vaak op een dergelijk systeem nog worden bewaard. Of bijvoorbeeld softwareontwikkelaars die een kopie van een database hebben met daarin gegevens die privacygevoelig kunnen zijn. Veel organisaties hebben nog geen maatregelen genomen om deze gegevens te beveiligen of weten niet hoe medewerkers met deze gegevens omgaan.

  • Zorg ervoor dat alle werksystemen versleuteld zijn. Harde schijven versleutelen is vaak standaard aangeboden in besturingssystemen en kan ook centraal ingesteld worden om dit voor alle werkplekken in te richten. Jouw ICT-beheerder of dienstverlener kan dit voor je regelen. Bij verlies of diefstal van een werksysteem, zoals een laptop of mobiel, hoef je je dan minder zorgen te maken dat gegevens zomaar op straat komen. Je laptop of mobiel ben je dan misschien kwijt, maar je maakt het voor de kwaadwillende lastig om bij de gegevens te komen.
  • Neem je vaak gegevens mee op een USB-stick of externe harde schijf? Dan kan je deze ook vaak versleutelen of producten kopen die dat automatisch voor je doen.

E-mail

Iedereen stuurt e-mails en het zal je zeker niet verbazen als via dit kanaal veel gegevens onbedoeld of onbewust worden gelekt. Er wordt veel gevoelige informatie gedeeld via e-mail en het verkeer hierbij is vaak niet versleuteld. Je kan wat bewuster mee omgaan en een aantal praktische regels invoeren.

  • Bewaar niet eindeloos je Verzonden en Verwijderde e-mails in je postvak. Als jouw e-mailaccount op de een of andere manier toegankelijk is voor derden, dan hebben ze in ieder geval niet de sollicitatiegegevens en/of lijsten met klanten die jouw collega je 2 jaar terug nog had verzonden. Archiveer je e-mail daarom in exportbestanden per jaar, zodat je die gegevens, wanneer nodig, weer kan gebruiken. Je kan deze exports vaak ook versleutelen met een wachtwoord.
  • Overweeg om een beleid in te voeren voor je Verwijderde en Verzonden e-mails. Die staan nog vaak eindeloos in je prullenbak of in Sent-Items. De meeste softwarepakketten ondersteunen permanent-verwijderen functies die dat automatisch doen na bijvoorbeeld 30 dagen.
  • Versleutel je e-mailverkeer: Je kan hele mooie firewall- en antivirus oplossingen ingericht hebben, maar e-mail gaat vaak bij veel organisaties nog via een niet versleutelde verbinding. Er zijn ondertussen genoeg oplossingen om dit in te richten.
  • Communiceer gevoelige gegevens via een ander kanaal, waar extra beveiligingsmaatregelen genomen zijn. Denk aan bestanden delen via een share-service vanuit je organisatie, die na inzien of downloaden het bestand meteen verwijdert.
  • Communiceer met je ontvanger hoe gevoelig deze gegevens zijn en wat je van ze verwacht ermee te doen. Eenmaal buiten jouw bereik, weet je niet wat met deze gegevens gebeurt of hoe veilig dit bij jouw ontvanger is ingericht.
  • Gevoelige bestanden als bijlage kan je ook beveiligen met een wachtwoord. Een Word, Excel en andere documenten kan je versleutelen met een wachtwoord voordat je die gaat verzenden. Of maak een versleutelde ZIP-bestand met daarin de documenten die je gaat verzenden. Stuur je wachtwoord vervolgens via een andere e-mail of via een alternatief communicatiekanaal.

Rechten in je organisatie, netwerk en systemen

Weet je hoe jouw organisatie netwerk is ingericht en wie bij welke gegevens kan komen? Mag een systeembeheerder bij alle gegevens komen? Ook bij de personeelsdossiers? Een duidelijke verdeling van rollen, groepen en rechten is essentieel. Dit hoort ook vastgelegd en geïmplementeerd te zijn in de organisatie.

  • Kijk scherp en kritisch welke gegevens in eerste instantie gevoelig kunnen liggen. Begin bij deze gegevens.
  • Zorg ervoor dat er duidelijke organisatiegroepen en rollen worden gedefinieerd. Maakt dit passend bij je organisatie, want dat is tenslotte hoe je organisatie is ingedeeld. Bijzondere groepen erbij toevoegen is dan eenvoudiger.
  • Beveilig en versleutel je gegevens op het netwerk. Geef alleen toegangsrechten aan de juiste groepen en test dit.
  • Heb je een indiensttreding- en uitdiensttredingprocedure? Kunnen oud-medewerkers er nog bij?
  • Overweeg om gevoelige plekken extra te beveiligen door ook te controleren of vanuit je beveiligde netwerk wordt gewerkt. Wil je dat medewerkers die thuis werken of vanuit een onbekend systeem bij de gegevens mogen komen?

Back-up

Back-ups maken van je infrastructuur, databases en gegevens op het netwerk zijn standaard tegenwoordig. Dit wordt vaak nog in je eigen netwerk gedaan of wordt misschien uitbesteed aan een derde partij die dat in de ‘Cloud’ voor je doet.

Wat organisaties vaak vergeten, is de beveiliging en regelgeving te betrekken bij de back-up van deze gegevens. Een systeembeheerder kan misschien de gegevens niet inzien bij de originele bron, maar misschien wel in de back-up. Is dat wenselijk?

Back-up processen kan je goed scheiden. Wat moet een systeembeheerder kunnen terugzetten en waar is extra toezicht bij nodig? Maak hier duidelijke afspraken over. Doe dit ook met je leverancier als je hosting en back-up diensten afneemt. Alle regels rondom de beveiliging en privacy gelden ook voor de back-ups.

Ben je klaar voor de komst van de AVG?

Wil je meer weten en advies ontvangen dat past bij jouw organisatie? Neem dan contact met ons op. Wij en onze partners staan voor je klaar.

Contact
By |2018-05-22T17:52:21+00:00vrijdag, 18 mei 2018|Categories: Privacy|Tags: , , |