Security & privacy: werk veilig en verantwoord | Transsmart

Voorkom hacks & datalekken en voldoe aan de nieuwe Europese privacywetgeving Digitaal is de nieuwe standaard Kunt u zich die tijd nog herinneren dat al uw documenten geprint of geschreven gearchiveerd werden? En dat orders telefonisch of per fax doorkwamen? Het is nog niet eens zo heel lang geleden dat dit gebeurde en toch lijkt het een eeuwigheid geleden.

Security & privacy: werk veilig en verantwoord | Transsmart

Voorkom hacks & datalekken en voldoe aan de nieuwe Europese privacywetgeving

Digitaal is de nieuwe standaard
Kunt u zich die tijd nog herinneren dat al uw documenten geprint of geschreven gearchiveerd werden? En dat orders telefonisch of per fax doorkwamen? Het is nog niet eens zo heel lang geleden dat dit gebeurde en toch lijkt het een eeuwigheid geleden.


Tegenwoordig is digitaal de nieuwe standaard. Alles wat ‘paperless’ kan, gebeurt ook paperless: e-mail, webshops met ordersystemen, CRM-systemen, etc. Makkelijk, want je kunt vanaf elke locatie overal bij, maar deze digitale wereld brengt wel veiligheidsrisico’s met zich mee.

Bij Transsmart werken wij geheel digitaal. Wij hebben dan ook dagelijks te maken met de security en privacy wetgeving. Graag wil ik u in een kort artikel meenemen langs de belangrijkste zaken: welke gevaren zijn er en hoe kunt u hier het beste mee omgaan?

Hacks, datalekken & cyberaanvallen
Je ziet het tegenwoordig vaak, berichten als: hackers hebben privégegevens van miljoenen klanten van een bepaalde organisatie weten te bemachtigen. Of: bedrijf ligt stil door cyberaanval. Indrukwekkende berichten waarin het gevaar duidelijk wordt dat gegevens misbruikt kunnen worden voor toegang tot persoonsgegevens, identiteitsdiefstal of misbruik van financiële gegevens.

Het risico op zulke datalekken wordt steeds groter. Onze persoonsgegevens staan tenslotte in steeds meer databanken en systemen opgeslagen die verbonden zijn met internet.

Goede beveiliging is essentieel
Het bewustzijn van de risico’s binnen organisaties groeit wel, maar is nog steeds veel te laag. Er worden maar weinig stappen ondernomen om de beveiliging te verbeteren. Dit moet beter. Maar hoe pak je dat aan? Het begint bij het volgende: waar binnen je organisatie ligt de verantwoordelijkheid voor informatieveiligheid? Ligt dit bij de directie, het management, de IT-afdeling of heb je zelfs al een speciale securitymanager? Zorg dat de verantwoordelijke bekend is binnen je organisatie en zorg ook dat deze persoon er zich daadwerkelijk mee bezig kan houden.

De vervolgstap is om een risicoanalyse uit te voeren: waar zitten de gevaren en hoe kun je deze ‘gaten’ in je beveiliging dichten? De kans op datalekken of hacks kan uiteraard worden verkleind door aanpassingen in het ICT-systeem. Denk aan beveiligde wifi-netwerken, emailencryptie en dataopslag (Network Parimeter Protection): beveiliging tegen inbraak, oneigenlijk gebruik, gijzeling (denk aan de recente Petya gijzelingen) en pogingen tot sabotage (DDOS). Maar de risico’s bevinden zich niet alleen in het ICT-stukje.

ICT vs. de mens
Een groot gevaar voor datalekken en privacy schending zijn wij zelf: de mens. Een paar voorbeelden:

  • Uw ontslagen medewerkers hebben misschien nog toegang tot uw bedrijfsinformatie omdat dit niet direct geblokkeerd is. Zij kunnen met allerlei gegevens aan de haal gaan.
  • Uw medewerkers laten belangrijke papieren rondslingeren op bureaus. En wanneer deze papieren weg kunnen, gaan ze in de normale prullenbak in plaats van in de papierversnipperaar.
  • Onbewaakte beeldschermen geven gevoelige informatie weer of toegang daartoe.
  • Uw medewerkers laten USB-sticks met gevoelige informatie rondslingeren.
  • Uw medewerkers werken op kantoor of andere locaties met openbare wifispots. Een groot gevaar: er kan gemakkelijk ingebroken worden in uw laptop, tablet of smartphone.
  • De consumenten-manier van communiceren wordt steeds meer naar de werkvloer gebracht: collega’s sturen even snel een berichtje naar elkaar via WhatsApp of de chatfunctie op Facebook, LinkedIn of Skype, want dat is soms sneller dan mailen of bellen. Maar denk ook aan het delen van bestanden via Google of Dropbox. Dit neemt allemaal risico’s met zich mee, waar de meesten zich niet van bewust zijn. Deze onbeveiligde of minder goed beveiligde communicatie tools kunnen vrij gemakkelijk gehackt worden, plus de grens tussen zakelijk en privé wordt flinterdun.
  • Er worden makkelijk te kraken wachtwoorden gebruikt en/of voor alles wordt hetzelfde wachtwoord gebruikt.
  • Updates worden niet uitgevoerd omdat deze tijd kosten, terwijl deze updates vaak juíst verbeteringen rondom security bevatten.

Zoals je hieruit wel kunt opmaken wordt de informatieveiligheid steeds complexer. En doordat het bewustzijn van de waarde van beveiliging en privacy nog zo laag is, staat het security stukje bij veel organisaties nog in de kinderschoenen. Maar zowel de ICT-kant als de menselijke kant van informatieveiligheid is belangrijk om actie op te ondernemen. Zeker nu er in 2018 een vernieuwde en aangescherpte privacywetgeving aan zit te komen.

Privacywetgeving (GDPR) en meldplicht datalekken
In mei 2018 vervangt de nieuwe Europese Privacy verordening de Nederlandse Wet Bescherming Persoonsgegevens. Een grote verandering van deze verordening (officieel ‘General Data Protection Regulation’, afgekort GDPR) voor het bedrijfsleven is de zwaardere documentatieplicht. Zo moet er bijgehouden worden welke data er wordt verzameld, via welke bronnen, met welke systemen en hoe deze beveiligd zijn. Daarnaast dient u te documenteren wie er bij deze data kan en bedrijven met grootschalige verwerking van persoonsgegevens moeten de verantwoordelijkheid voor het beheer van de gegevens neerleggen bij een ‘Functionaris Gegevensbescherming’ (FG) of, in het Engels, ‘Data Protection Officer’ (DPO). Deze DPO ziet toe of het bedrijf voldoet aan de wet- en regelgeving.

In de GDPR staat een uitgebreide omschrijving van de functie van DPO. Hieruit komt duidelijk naar voren dat het een functie betreft waar deskundigheid voor nodig is en dat je deze functie niet zomaar naast je huidige werkzaamheden kunt doen.

Zowel het ICT-gedeelte als het trainen van de medewerkers rondom privacy en datalekken ligt bijvoorbeeld bij de DPO. Daarnaast is de Data Protection Officer op de hoogte van de Wet Meldplicht Datalekken en handelt hij hiernaar wanneer nodig.

Deze meldplicht houdt onder andere in dat een datalek binnen 72 uur moet worden gemeld bij de Autoriteit Persoonsgegevens en dat betrokkenen erover geïnformeerd dienen te worden. Onder ‘datalek’ valt bijvoorbeeld een verloren USB-stick, hacks, malware dat persoonsgegevens aantast en e-mails naar een verkeerde persoon met daarin privacygevoelige informatie.

Ook stelt de DPO een crisisplan op welke gebruikt wordt in geval van datalekken, maar begint natuurlijk met de eerdergenoemde eerste stap: het maken van een risicoanalyse.

Voorkom hacks & datalekken en voldoe aan de GDPR
Ben je nog niet bekend met de nieuwe wet die in mei 2018 actief wordt? Wij raden aan deze wet grondig door te lezen en hierop te acteren. Wanneer de verordening niet wordt nageleefd, kunnen je namelijk hoge boetes opgelegd worden.

En ben je zelf niet in staat om de risico’s te analyseren? Schakel dan een externe partij in die de risico’s kan identificeren en je kan helpen met het oplossen hiervan. Zo verklein je de kans op hacks, datalekken en eventuele boetes omdat je niet zou voldoen aan de nieuwe wetgeving.

Eventueel kan ik u in contact brengen met een advocaat die u kan adviseren over security en privacy. Transsmart wordt volgens de wet gezien als ‘bewerker’ van data. Om u te kunnen verzekeren dat wij verantwoord en volgens de wet omgaan met uw privacygevoelige informatie, hebben wij een bewerkersovereenkomst opgesteld. Wilt u deze overeenkomst inzien? Klik dan hier.

 

Bron artikel.

Bezoek de website van Transsmart.