Voorbij de AVG: Zeker in de digitale sector is het tijd om databeveiliging eens écht door te lichten

De Foodora-hack maakte het onlangs weer pijnlijk duidelijk: als digitale sector moeten we ons veel meer inspannen voor databeveiliging. Denk voorbij de wettelijke AVG-verplichtingen en houd het securitybeleid zowel intern als bij partners tegen het licht. Zoals duurzaamheid overal op de agenda is beland, zo vraagt security om dezelfde urgentie.

Met de komst van de AVG heeft de naïviteit gelukkig plaatsgemaakt voor de kritische blik. Met wie delen we onze (klant)data? Welke subverwerkers komen eraan te pas? En waar zijn al die gegevens gehost? Tegelijkertijd hebben velen ook precies zoveel gedaan als nodig is. Nog bijna wekelijks worden we bijvoorbeeld overspoeld door berichten van recruiters met daarin allerlei persoonlijke gegevens van ‘kandidaten’. Telefonisch blijken die kandidaten al lang niet meer op zoek en geen weet te hebben van dit gebruik. De AVG heeft ervoor gezorgd dat iedereen zijn best doet zich aan de privacywetgeving te houden, niet dat we naar de meest veilige oplossing streven.

Wie of wat zorgt er voor verandering? Het bewustzijn van consument groeit, net als de eisen die ze (gaan) stellen. Minstens zo belangrijk is echter dat bedrijven hierin zelf een rol pakken en ethisch handelen voorop stellen. Zeker in de digitale sector vraagt dit om partners die elkaar kritisch bevragen. Zodat als er onverhoopt toch sprake is van een datalek er aantoonbaar alles aan gedaan is om deze te voorkomen. Vraag elkaar bijvoorbeeld naar ISO 27001, de standaard voor informatiebeveiliging.

Vragen die stellingname vereisen

Bij Gen25 hebben we de afgelopen maanden de certificering hiervoor doorlopen. Hoewel we al aan een groot deel van de eisen voldeden, dwingt het proces je om er een beleid over te schrijven en de werking geregeld te controleren. Om je een idee te geven van de vragen die om stellingname vragen: Het begint bij een inventarisatie van alle gebruikte middelen en processen en op welke plekken in de organisatie data worden bewaard. Welke eisen stellen we daaraan – bijvoorbeeld op het vlak van encryptie? Welke standaard vinden we daarin belangrijk en hoe controleren we dit periodiek? Behalve ons beleid neem je ook de relatie met leveranciers onder de loep. Kunnen we daadwerkelijk garanderen dat de data die bij hen is ondergebracht wordt verwerkt volgens onze gestelde standaard? Zo niet, dan start de zoektocht naar een alternatief of eisen we een aanpassing.

Encryptie gaat natuurlijk over de, in onze ogen beste, versleuteling voor opgeslagen data, maar heeft zeker ook betrekking op de gegevens die onderweg zijn. In transit van de ene naar de andere persoon of tussen systemen onderling. Het uiteenzetten van een beleid voor onszelf en de relatie met anderen levert daarnaast de vraag op hoe je wenst om te gaan met de toegang tot gegevens. Een autorisatiematrix geeft ons een duidelijk beeld van wie waar kan inloggen en welke rechten diegene heeft. We controleren dit op gezette tijden. Daarnaast wil je natuurlijk voorkomen dat een ontwikkelaar mét toegangsrechten een export maakt. Tijdens het gebruik van een database registreren we daarom elke handeling in speciale logs en zorgen we met notificaties voor de juiste monitoring.

Hoe groter de organisatie, hoe complexer dit allemaal is. Het gebruik van wachtwoordkluizen en een tool zoals Okta die de toegang tot interne applicaties regelt maakt het beheer gelukkig een stuk overzichtelijker. Bij de juiste inrichting blijven de wachtwoorden voor iedereen geheim en kan de toegang op ieder moment – bijvoorbeeld bij een uitdiensttreding – worden ingetrokken.

Interne bewustwording

Toch kent elk beveiligingsbeleid een zwakke schakel: de mens. Als onderneming kun je er alles aan doen om de systemen te beveiligen. Blijken medewerkers vervolgens het wachtwoord voor hun e-mailaccount óók te gebruiken op andere plekken dan is het natuurlijk kinderspel om gevoelige bedrijfsinfo in handen te krijgen. In praktijk heet zoiets een incident, in feite zegt het echter iets over het interne beleid.

Rondom onze ISO 27001 certificering hebben we daarom uitgebreid stilgestaan bij de bewustwordingscampagnes. Onder meer door mensen mee te nemen in de besluitvorming en een tool te bieden om incidenten te melden. Daardoor komt de discussie tot leven, wat de veiligheid alleen maar ten goede komt. Onze ontwikkelaars hebben bijvoorbeeld actief meegedacht aan de grondprincipes voor privacy by design en de manier waarop we als bedrijf automatisch ongebruikte data willen verwijderen. Ook onze oude vertrouwde Justin Bieber-methode bleek nog altijd effectief: wie bij het verlaten van zijn bureau zijn scherm vergeet te locken, krijgt een Bieber-achtergrond cadeau. Zonder diegene publiekelijk aan te spreken komt de boodschap met een knipoog over.

De interne gesprekken maakten ook duidelijk waarin we wilden veranderen. We hebben bijvoorbeeld geregeld te maken met datamigraties waarbij we gevoelige info krijgen aangeleverd. Met een speciaal ontwikkelde tool faciliteren we onze klant om deze data op een veiligere manier aan te leveren en zorgen we ervoor dat we de gegevens zo snel als mogelijk automatisch vernietigen. Om klanten verder te ontmoedigen zomaar wachtwoorden met ons te delen, is een tool geschreven – de cryptex – die een veiliger een alternatief biedt.

In beweging blijven

De digitale sector heeft bij uitstek te maken met een grote hoeveelheid data waarbij het functionele doel nog weleens uit het oog wordt verloren. De uitdaging en oproep is dus om elkaar te blijven bevragen op de procedures. Want wat ergens als normaal is gaan gelden, hoeft niet te stroken met wat we maatschappelijk gezien wenselijk vinden. 

Dat de extra aandacht voor security de snelheid van innovatie zou remmen, is in onze ervaring overigens niet zo gebleken. Sterker nog, de manier waarop bedrijven met hun databeveiliging omgaan vormt een steeds groter deel van het onderscheidend vermogen. Zoals duurzaamheid inmiddels overal een thema is, zo vraagt databeveiliging om minstens dezelfde urgentie.

Over de auteur: Gijs Martens is founder en CEO bij Gen25.