Voorkom een datalek: quick wins in gegevensbeveiliging

Voorkomen is beter dan genezen, dat geldt ook voor datalekken. Uit de resultaten van de security check van  het DDMA Privacy Waarborg blijkt dat de meeste winst op het gebied van gegevensbeveiliging te behalen is in de operationele processen van organisaties. Daarom heb ik een aantal praktische tips en aanbevelingen op een rij gezet.

Mogen medewerkers software downloaden en installeren op bedrijfsapparatuur?

Als dit het geval is, dan zorgt dit voor kwetsbaarheden in de beveiliging. Zorg ervoor dat dit op apparaten die toegang hebben tot persoonsgegevens niet is toegestaan. Dit kun je oplossen met een gecontroleerd applicatieregister.

Worden bij afgeschreven hardware alle persoonsgegevens daarop vernietigd?

Het is aan te raden om bij het verkopen of vernietigen van hardware te zorgen dat persoonsgegevens onleesbaar zijn gemaakt. Bestanden verwijderen betekent niet dat deze niet meer terug te vinden zijn op de harde schijf. Zorg dat de data overschreven wordt of maak de gegevensdragers onbruikbaar.

Mogen medewerkers persoonsgegevens die gebruikt worden voor marketing(-campagnes) bewaren op hun eigen apparatuur?

We raden aan om medewerkers te instrueren om lokale opslag van persoonsgegevens tot een minimum te beperken. Zeker wanneer deze ook toegankelijk zijn via de eigen randapparatuur.

Weten alle medewerkers dat (kopieën van) bestanden met persoonsgegevens na gebruik van lokale apparatuur en externe gegevensdragers verwijderd moeten worden?

Soms is het noodzakelijk dat bepaalde medewerkers tijdelijk een kopie van een klant- of prospectbestand krijgen. Binnen callcenters gebeurt het regelmatig dat agents een Excelbestand op hun computer hebben, bijvoorbeeld omdat zij een restant van een telemarketingcampagne moeten nabellen. Het is dan aan te raden medewerkers te instrueren  de kopie te verwijderen, zowel van lokale apparatuur als eventuele externe gegevensdragers als USB-sticks etc. Het is belangrijk dat medewerkers zich ervan bewust zijn dat ze zorgvuldig met dit soort bestanden moeten omgaan, zodat onbevoegden er niet bij kunnen.

Heb je voor gasten een gast-netwerk?

Fabrikanten van draadloze apparatuur maken deze apparatuur zo gebruiksvriendelijk mogelijk. Nadeel daarvan is dat het netwerk ook makkelijk in gebruik te nemen is door iemand met minder goede bedoelingen. Beveilig draadloze netwerken daarom altijd met een wachtwoord of WPA/WPA2 (Wifi Protected Acces)-encryptie. Maak daarnaast gebruik van een apart draadloos gastnetwerk, waarbij  gasten wél internettoegang hebben en kunnen communiceren met andere apparaten in het netwerk, maar geen toegang hebben tot het hoofdnetwerk van de router.

Verzend je bestanden met persoonsgegevens als excel in de mail, of gebruik je een beveiligde sftp server?

Bijna alle organisaties maken gebruik van netwerken voor het transporteren van persoonsgegevens. Deze datacommunicatie kan binnen de organisatie plaatsvinden, maar ook met andere organisaties. Wanneer persoonsgegevens over netwerken worden getransporteerd, ontstaat een beveiligingsrisico. Het is mogelijk dat de gegevens tijdens het transport in handen komen van onbevoegden of dat gegevens gewijzigd worden. Dit is op verschillende manieren te ondervangen,  bijvoorbeeld door gebruik te maken van een SFTP-server of Extranet. Als je organisatie gegevens uitwisselt per e-mail of fysieke gegevensdragers zoals USB-sticks, adviseert de Autoriteit Persoonsgegevens deze gegevens goed te versleutelen.

Mogen medewerkers inloggen op bedrijfsnetwerken vanaf een publiek netwerk?

Medewerkers moeten extra voorzichtig zijn wanneer ze vanuit een externe locatie gebruik maken van een publiek netwerk om verbinding te maken met het bedrijfsnetwerk. Internetverbindingen zijn namelijk niet per definitie veilig en openbare netwerken vormen een hoger risico. Communicatie via het reguliere protocol, waarmee internet werkt, is erg eenvoudig af te luisteren. Vermijd daarom openbare netwerken wanneer het kan, of zorg dat je gebruik maakt van een beveiligde verbinding. Een VPN-verbinding kan hiervoor een oplossing bieden.

Slaat je organisatie persoonsgebonden op in de cloud, bijvoorbeeld via Dropbox, Google Drive of Microsoft Azure?

Let er dan op waar deze gegevens opgeslagen worden. Wanneer persoonsgegevens opgeslagen worden buiten de EU, dan zijn erspecifieke regels om de bescherming van die gegevens te garanderen. Voordat je organisatie deze diensten gaat gebruiken,  is het van belang na te gaan of deze aan privacy- en beveiligingsvoorschriften voldoen. Veel aanbieders van clouddiensten zijn gevestigd in de VS, waardoor de Amerikaanse overheid zich op basis van de Patriot Act toegang kan verschaffen tot je (marketing)database. Als persoonsgegevens buiten de EU worden opgeslagen, moet er met deze partij een EU-modelovereenkomst of Binding Corporate Rules (BCR’s) afgesproken worden. Voor partijen uit de VS is het ‘Privacy Shield’ een alternatief. Dit is de vervanger van Safe Harbour. Kijk op deze lijst of de cloud partij waar je mee wilt samenwerken hiervoor is gecertificeerd. Lees meer  op de website van de Autoriteit Persoonsgegevens.

Tot slot: een paar korte tips die een groot verschil kunnen maken in gegevensbeveiliging:

• Beveilig al je online webformulieren met SSL encryptie, dit is sinds vrij recent zelfs gratis. Als de formulieren door derden worden gehost, check dan of zij dit in orde hebben.
• Zorg voor dagelijkse back-ups van gegevens, inclusief databases en configuratiebestanden, op een off-site locatie

En wil je meer weten over het communiceren van een datalek? Bekijk dan dit handige document.

*) Dit artikel is ook gepubliceerd op de website van DDMA.