Kunt u een geheim bewaren?
Sinds 1 januari 2016 zijn organisaties verplicht datalekken te melden bij de Autoriteit Persoonsgegevens. Als blijkt dat uw organisatie niet de juiste maatregelen heeft genomen om datalekken te voorkomen, of nalaat om melding hiervan te doen, kan de boete bij overtreding oplopen tot 820.000 euro of 10% van de bedrijfsomzet. Reden te meer om gepaste maatregelen te treffen!
Welke maatregelen kunt u nemen?
Binnen uw organisatie kan een datalek gemakkelijk plaatsvinden door onjuist gedrag van uw medewerkers, wat ertoe kan leiden dat onrechtmatig toegang wordt verkregen tot persoonsgegevens. Denk bijvoorbeeld aan een HR-medewerker die wegloopt van de werkplek zonder deze te vergrendelen. Of de situatie waarbij de login-gegevens met een Post-it op de monitor zijn geplakt. Maak uw medewerkers bewust van hun handelen. Biedt eenvoudige mogelijkheden ter voorkoming van een datalek door bijvoorbeeld een document op te stellen waarin afspraken en richtlijnen met betrekking tot het omgaan met persoonsgegevens vaststaan.
Er zijn ook technische maatregelen te nemen om persoonsgegevens te beschermen. Een firewall en up-to-date virusscanning zijn noodzakelijk, maar bieden onvoldoende bescherming. Welke oplossing voor uw organisatie van toepassing is wordt mede bepaald door de manier waarop toegang wordt verkregen tot de applicaties en de systemen waarin persoonsgegevens worden opgeslagen. Wordt daarvoor bijvoorbeeld een smartphone of tablet gebruikt, dan biedt Enterprise Mobility Management (EMM) de oplossing. EMM maakt de beveiliging van mobiele devices en applicaties mogelijk. Wanneer een apparaat gestolen wordt of verloren raakt, biedt EMM de mogelijkheid om vanaf afstand een remote wipe uit te voeren.
Verder is encryptie van de informatie (in-transit, at-rest) een methode om bij verlies van een fysiek apparaat te voorkomen dat de gegevens in verkeerde handen vallen. Een voorbeeld kan het gebruik van Bitlocker zijn op Windows laptops. Een Intrusion Detection Systeem (IDS) helpt u om kwaadwillende aanvallen tijdig te detecteren. Zorg tevens voor een recente back-up om verloren informatie volledig te kunnen herstellen.
Voor alle technische oplossingen geldt dat u bij een datalek moet kunnen aantonen welke maatregelen u heeft genomen om de negatieve gevolgen te beperken of te verhelpen. Dit betekent een extra last voor uw IT-organisatie: is tooling en kennis aanwezig om op proactieve wijze te kunnen handelen? Zijn procedures opgesteld zodat men weet welke activiteiten uitgevoerd moeten worden ter voorkoming of melding van een datalek? Heeft u een bewerkersovereenkomst opgesteld met externe partijen waarmee u samenwerkt, zoals bijvoorbeeld uw salarisadministrateur?
Strategisch IT-advies
De nieuwe Wet bescherming persoonsgegevens heeft dus behoorlijk wat impact op uw organisatie. Zowel op procedureel als technisch vlak dienen maatregelen genomen te worden ter voorkoming van een datalek.
Een goede start is te onderzoeken in welke applicaties en systemen relevante persoonsgegevens worden geregistreerd en hoe deze systemen zijn beveiligd. PQR kan u daarmee helpen. Voorafgaand aan ons advies gaan we het gesprek met u aan. Wat vindt u belangrijk, wat speelt er onder uw medewerkers en hoe kan IT bijdragen aan het succes van uw organisatie? Ook voor een eventuele aanpassing van uw IT-infrastructuur of het opstellen van een IT-roadmap met bijbehorende IT-strategie om datalekken te voorkomen, bent u bij ons aan het juiste adres.
Wilt u weten welke maatregelen u moet nemen? Wij maken voor u een advies op maat!
Auteur: Peter Sterk, Solution Architect bij PQR
