Vanaf 1 januari 2016 zijn er ingrijpende veranderingen op het gebied van privacy en zijn de WPB (Wet PersoonsBescherming) en de Telecommunicatiewet aangepast. Er zijn vanaf dat moment grote gevolgen als men (persoonlijke) data lekt.

Wat is een datalek?

Zowel grootschalige (digitale) inbraak als kwijtraken, verliezen, diefstal of onbevoegd/onrechtmatig gebruik maken, wijzigen of verwijderen van persoonlijke/gevoelige gegevens telt als een datalek, evenals onbevoegde toegang daartoe of afgifte daarvan. Dus ook het versturen van een mailing met adressen in het CC-veld!

Wat zijn de sancties?

De boetes welke het CBP (College Bescherming Persoonsgegevens) kan opleggen kunnen oplopen tot € 810.000,00 of 10% van de jaaromzet per overtreding. Een overtreding is bijvoorbeeld het niet op orde hebben van de beveiliging, het niet (tijdig) melden van het lek bij het CBP of aan de getroffen personen, maar ook bij het voortduren van het lek. Het is dus mogelijk dat bij een datalek meerdere overtredingen zijn/worden begaan en er dus meerdere sancties worden opgelegd. Een extra overtreding is het (nog) bezitten van data welke niet (meer) nodig is.

Wat zijn de gevolgen?

Een (enorme) onvoorziene kostenpost door de sanctie(s), imagoverlies door het moeten melden van het datalek aan het CBP maar ook aan alle getroffenen (cliënten?) onder vermelding van welke data er specifiek is gelekt en bij verlies of gewijzigde data ook omzetverlies.

Wat kunt u er aan doen?

U dient er als verantwoordelijke ervoor te zorgen dat u de beveiliging op orde heeft, en u dient aantoonbaar zich ervan te vergewissen dat de bedrijven die voor u persoonlijke data afhandelen/verwerken hier ook aan voldoen (boekhouder, payroll verwerker, webhoster/ontwerper/beheerder, etc. etc.):
  1. Gebruik een goede betaalde antivirusoplossing welke ook een goede tweeweg firewall heeft. Waarom? U loopt altijd het risico gehackt te worden of besmet te worden waardoor data wordt gelekt en u dient zich daartegen voldoende te wapenen. Wij raden hiervoor ESET Endpoint Security of ESET Smart Security aan, mede omdat deze ook een zeer goede bot-net en encryptie beveiliging heeft.
  2. Gebruik een gevalideerd encryptie (versleutelings)programma voor alle verwisselbare media (laptop – memorystick – dvd/cd – sd cards etc.) op het niveau FIPS 140-2 level 1 en voor data in the cloud. Waarom? Als er data is gelekt en deze is onleesbaar, dan hoeft u dat niet te melden aan de betrokkenen. Is dat alleen dan niet voldoende; nee! Stel u heeft geen voldoende antivirus/firewall beveiliging, dan kan de data ook worden gestolen op het moment dat u deze heeft ontsleuteld om zelf te gebruiken. Wij raden hiervoor de oplossingen van DESlock+ aan. Voordeel van deze oplossing is dat u een policy (beleid) via internet kunt opleggen zodat wanneer de laptop verbinding maakt, deze de policy ook verwerkt. Bijkomend voordeel is dat wanneer u iemand wilt ontslaan met een laptop (waaronder ook de eigen laptop) met bedrijfsgegevens, dan kunt u deze op afstand afsluiten waardoor deze eerst langs systeembeheer moet gaan om vrij te worden gegeven.
  3. Zorg dat de communicatie met persoonlijke data binnen het netwerk maar ook naar buiten toe versleuteld en/of beveiligd wordt uitgevoerd. Op het gebied van versleutelde communicatie via ftp of e-mail kan een oplossing van DESlock+ behulpzaam zijn. Maar denk ook aan de instellingen van de Wifi en het netwerk of NAS welke juist dienen te worden ingesteld zodat een onbevoegde hier niet naar binnen kan.
  4. Gebruik een 2 Factor Authenticatie. Naast uw wachtwoord, dient u nog een code in te voeren welke wordt gegenereerd door uw smartphone of een aparte token. Wij raden hiervoor de 2FA oplossing van ESET Secure Authentication aan.
  5. Gebruik een goede online back-up waarbij via een versleutelde communicatie de data versleuteld wordt opgeslagen op een locatie binnen de Europese wetgeving/invloedssfeer. Opslag in India, USA, etc. vallen onder wetgeving welke opsporingsdiensten en overheden zeer uitgebreide rechten geven. Wij raden IASO back-up aan. Dit is een Nederlands product (sinds kort overgenomen door Logicnow – een grote partij in de ICT), waarbij de data versleuteld wordt verzonden en opgeslagen op Nederlands grondgebied met een code die alleen u kent. Indien u dan toch slachtoffer wordt van een encryptie virus, dan kunt u de back-up in ieder geval terugzetten. LET OP: Werkt u in de cloud, waar staat dan uw data? Als u gebruik maakt van de Hexapole Cloud diensten dan bent u ervan verzekerd dat uw data in Nederland is ondergebracht.
  6. Zorg dat uw website/extranet waar persoonlijke data wordt uitgewisseld automatisch wordt gecontroleerd op lekken volgens de PCI standaard en de data SSL versleuteld is (certificaat). Waarom? Een website is via het internet altijd bereikbaar en nodigt uit om te ‘hacken’. Buiten dat de verzending van persoonlijke data versleuteld dient te worden (SSL – https://) waarbij een geldig certificaat gekoppeld moet zijn, dient ook de achterliggende server en eventuele gebruikte bestandsopslag juist te zijn geconfigureerd zodat database injections (het in velden plaatsen van opdrachten) niet zijn toegestaan of worden uitgevoerd. Wij raden hiervoor TrustGuard aan welke de PCI standaard hanteert.
  7. Zorg dat de updates en veiligheidspatches zo snel mogelijk worden bijgewerkt. Met name die van Windows, Java en Adobe Flash, omdat dit de meest misbruikte ‘ingangen’ zijn. De malware makers en hackers houden juist de meldingen over deze patches in de gaten omdat zij weten dat enorm veel gebruikers deze niet (direct) uitvoeren, op die wijze behoeven zij niet eens te zoeken naar de ‘ingangen’ in een systeem of website. Al heeft u de voorgaande 4 punten goed voor elkaar, een exploit of hacker komt via zo een ‘ingang’ gewoon naar binnen.
  8. Zorg voor een duidelijk vastgelegd beleid omtrent de verwerking van persoonlijke data, pas uw AOIC (Administratie Organisatie en Interne Controle) daarop aan en stel eventueel een Informatie/Security Officer aan. Maar vergeet ook niet dat u een beleid dient te hebben omtrent het gebruik van email en internet. Wat doet u personeel met email en/of telefoontjes van de ‘afdeling systeembeheer’ en met ‘gevonden’ memorysticks op het parkeer terrein?

Een heleboel informatie, die ongetwijfeld veel vragen opwerpen en twijfel in hoeverre het bij u goed geregeld is. Neem geheel vrijblijvend contact op voor meer informatie, een hele zorg minder.