GDPR: 7 praktische tips om een datalek te voorkomen
De Meldplicht Datalekken is in Nederland sinds 1 januari 2016 van kracht. En dat blijft ook zo na 25 mei 2018. Het enige verschil is dat onder de Algemene Verordening Gegevensbescherming (AVG of GDPR) elk datalek binnen een organisaties moet worden gedocumenteerd, zodat de Autoriteit Persoonsgegevens (AP) kan controleren of aan de meldplicht is voldaan. Wie preventief veiligheidsmaatregelen neemt, verkleint de kans op een datalek echter aanzienlijk. Uit de securitycheck van het DDMA Privacy Waarborg blijkt dat de meeste winst op het gebied van gegevensbeveiliging te behalen is in de operationele processen van organisaties. Bij de meeste datalekken is een menselijke handeling namelijk de oorzaak. In deel 8 van deze blogserie zetten we daarom een aantal praktische tips en aanbevelingen op een rij.
7 tips
1. Mogen medewerkers zelf software downloaden en installeren op bedrijfsapparatuur?
Als medewerkers op eigen houtje software mogen installeren, zorgt dit voor kwetsbaarheden in de databeveiliging. Zorg er daarom voor dat dit op apparaten die toegang hebben tot persoonsgegevens niet is toegestaan. Dit kun je oplossen met een gecontroleerd applicatieregister.
Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.
2. Worden bij afgeschreven hardware alle persoonsgegevens daarop vernietigd?
Het is aan te raden om bij het verkopen of vernietigen van hardware te zorgen dat persoonsgegevens onleesbaar zijn gemaakt. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf.
Zorg dat de data overschreven worden of maak de gegevensdragers in zijn geheel onbruikbaar. En vergeet vooral ook de printer niet – die hebben vaak nog duizenden print- en scanopdrachten in het geheugen staan.
3. Mogen medewerkers persoonsgegevens die gebruikt worden voor marketingcampagnes bewaren op hun eigen apparatuur?
We raden aan medewerkers te instrueren om lokale opslag van persoonsgegevens, op smartphone, tablet of laptop, tot een minimum te beperken. Zeker wanneer deze ook toegankelijk zijn via de eigen randapparatuur.
4. Weten alle medewerkers dat (kopieën van) bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers verwijderd moeten worden?
Soms is het noodzakelijk dat bepaalde medewerkers tijdelijk een kopie van een klant- of prospectbestand krijgen. Denk aan het maken van een export van e-mailadressen uit je CRM, om deze vervolgens te uploaden in Mailchimp of een ander e-mailprogramma. Het is dan aan te raden medewerkers te instrueren de kopie te verwijderen, zowel van lokale apparatuur als eventuele externe gegevensdragers als USB-sticks etc.
Het is belangrijk dat iedereen zich ervan bewust is dat ze zorgvuldig met dit soort bestanden moeten omgaan, zodat onbevoegden er niet bij kunnen.
5. Verzend je bestanden met persoonsgegevens via mail of gebruik je een beveiligde SFTP-server?
Bijna alle organisaties maken gebruik van netwerken voor het transporteren van persoonsgegevens. Deze datacommunicatie kan binnen de eigen organisatie plaatsvinden, maar ook met externe bureaus of partnerorganisaties. Wanneer persoonsgegevens over netwerken worden getransporteerd, ontstaat een beveiligingsrisico.
Het is mogelijk dat de gegevens tijdens het transport in handen komen van onbevoegden of dat gegevens gewijzigd worden. Dit is op verschillende manieren te ondervangen, bijvoorbeeld door gebruik te maken van een SFTP-server of extranet.
Als je organisatie gegevens uitwisselt per e-mail of fysieke gegevensdragers zoals USB-sticks, adviseert de Autoriteit Persoonsgegevens deze gegevens goed te versleutelen. Daar komt nog bij dat het onwenselijk is dat er bestanden met persoonsgegevens rondzweven in mailboxen, omdat deze data volledig van de radar zijn. Daardoor is deze niet in beeld bij een ‘recht om vergeten te worden’-verzoek van een klant of bij een potentieel datalek.
6. Mogen medewerkers inloggen op bedrijfsnetwerken vanaf een publiek netwerk?
Medewerkers moeten extra voorzichtig zijn wanneer ze vanuit een externe locatie – de hippe koffietent – gebruikmaken van een publiek netwerk om verbinding te maken met het bedrijfsnetwerk. Internetverbindingen zijn namelijk niet per definitie veilig en openbare netwerken vormen een hoger risico. Communicatie via het reguliere protocol, waarmee internet werkt, is erg eenvoudig af te luisteren.
Vermijd daarom openbare netwerken wanneer het kan, of zorg dat je gebruikmaakt van een beveiligde verbinding. Een VPN-verbinding kan hiervoor een oplossing bieden.
7. Slaat je organisatie persoonsgegevens op in de cloud, bijvoorbeeld via Dropbox, Google Drive of Microsoft Azure?
Let er dan op waar deze gegevens opgeslagen worden. Wanneer persoonsgegevens opgeslagen worden buiten de EU, zijn er specifieke regels om de bescherming van die gegevens te garanderen.
Voordat je organisatie deze diensten gaat gebruiken, is het van belang na te gaan of deze aan privacy- en beveiligingsvoorschriften voldoen. Veel aanbieders van clouddiensten zijn gevestigd in de VS, waardoor de Amerikaanse overheid zich op basis van de Patriot Act toegang kan verschaffen tot je (marketing)database.
Als persoonsgegevens buiten de EU worden opgeslagen, moet er met deze partij een Europese Modelovereenkomst of Binding Corporate Rules (BCR’s) afgesproken worden. Voor partijen uit de VS is het ‘Privacy Shield’ een alternatief. Bij deze vervanger van Safe Harbour zijn echter recent vraagtekens gezet, dus het is aan te raden het nieuws hierover scherp in de gaten te houden. Hetzelfde geldt voor de Europese Modelovereenkomst.
Bonustips
- Beveilig al je online webformulieren met een gratis SSL-encryptie. Als de formulieren door derden worden gehost, check dan of zij dit in orde hebben.
- Zorg voor dagelijkse back-ups van gegevens, inclusief databases en configuratiebestanden, op een off-site locatie.
- Gebruik een apart draadloos gastnetwerk, waarbij gasten wél internettoegang hebben en kunnen communiceren met andere apparaten in het netwerk, maar geen toegang hebben tot het hoofdnetwerk van de router.
Datalek?
Ondanks alle maatregelen op het gebied van gegevensbeveiliging, kan het toch voorkomen dat er iets mis gaat. Maar wanneer is er nu precies sprake van een datalek? En welke handelingen zijn dan verplicht? We hebben een handig stroomschema opgesteld met welke acties je in welke situatie moet ondernemen – deze kun je bij DDMA aanvragen.
Daarnaast is het belangrijk om altijd een crisiscommunicatieplan paraat te hebben. Hiermee kun je gedupeerden snel en correct op de hoogte stellen en wanneer nodig ook de media van uitleg voorzien. Zo voorkom je dat de schade na een datalek nog groter wordt.
Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.