Missers in de AVG: Afschuiven van informatiebeveiliging
Afschuiven van de Informatiebeveiliging kan niet
‘Deel 2 van 3 artikelen over missers in de AVG’
Geregeld maak ik mee, dat een directeur of bedrijfsleider geheel tevreden is met de informatiebeveiliging van zijn organisatie, omdat alle informatie “ergens anders” wordt opgeslagen, in een of andere webapplicatie. Helaas is dit een té simpele interpretatie van het begrip Informatiebeveiliging; informatiebeveiliging kun je niet eenvoudigweg afschuiven op een leverancier.
De relatie tussen informatiebeveiliging en privacybescherming
Het is belangrijk om eerst te begrijpen wat informatiebeveiliging en privacybescherming nu eigenlijk met elkaar te maken hebben.
Door te kijken naar wat er kan gebeuren met persoonsgegevens als de beveiliging ontbreekt, wordt de relatie tussen beveiliging en privacy snel duidelijk.
Zonder adequate informatiebeveiliging kunnen er allerlei zaken fout gaan:
- Er kunnen persoonsgegevens worden veranderd of verwijderd
- Abusievelijk verwijderde of aangepaste gegevens kunnen niet worden hersteld
- Gegevens worden zichtbaar voor onbevoegden
- Gegevens kunnen onrechtmatig in het buitenland terecht komen
Bovenstaande situaties kunnen vervolgens leiden tot persoonlijke problemen zoals:
- Uitsluiting van financiële producten zoals verzekeringen, hypotheken en leningen
- Uitsluiting van een baan of sociale omgeving
- Identiteitsdiefstal met financiële en/of emotionele schade tot gevolg, soms zeer vérstrekkend (zie de zaak Kowsoleea)
Voor een organisatie leiden deze situaties vooral tot:
- Negatieve publiciteit
- Imagoschade
- Financieel verlies door boetes, schadeclaims en klantenderving
Kortom, zonder informatiebeveiliging valt de privacybescherming al snel in het water. Natuurlijk zijn er ook vraagstukken die zuiver te maken hebben met privacybescherming, en niet met informatiebeveiliging. Maar informatiebeveiliging speelt wél een belangrijke rol, het is essentieel gereedschap voor de privacybescherming.
Logisch dan ook dat in de AVG een verplichting is opgenomen om actief aan informatiebeveiliging te doen. Het niet hebben van een goede informatiebeveiliging is een directe schending van de AVG… het is dus belangrijk om dit onderwerp goed te begrijpen.
Wat is Informatiebeveiliging?
De directeur die vindt dat de informatiebeveiliging in zijn organisatie op orde is, omdat de gegevens in het systeem van de leverancier worden opgeslagen, heeft een begrijpelijke gedachtegang, maar wél een te beperkt begrip van wat informatiebeveiliging eigenlijk is.
Informatiebeveiliging is namelijk een onderwerp dat veel verder gaat dan het installeren van een goede virusscanner en het hebben van een sterk wachtwoord. Tot het vakgebied van informatiebeveiliging behoren veel verschillende onderwerpen, zoals:
- Beleid: welke verantwoordelijkheid neemt de directie op zich
- Welke doelstellingen zijn er
- Welke eisen worden er gesteld door de wetgever, klanten, leveranciers, etc.?
- Risico management: zolang je niet weet welke risico’s jouw organisatie loopt, weet je ook niet of je voldoende maatregelen hebt genomen.
- Personeelsmanagement: mag iedereen bij alle gegevens, of is dit afhankelijk van je functie? Moet nieuw personeel worden gescreend, is een Verklaring omtrent Gedrag noodzakelijk? Over welke competenties moet iemand beschikken om met vertrouwelijke gegevens om te gaan? Wat gebeurt er als iemand uit dienst gaat? En als iemand op staande voet wordt ontslagen?
- Toegangsbeheer (fysiek en virtueel), gebruikersaccounts / systeemaccounts
- Aanschaf en Ontwikkeling van software
- Monitoring van de systemen: als je niet weet dat er iemand probeert in te breken, of al heeft ingebroken, kun je daar ook niet op reageren.
- Logging van systemen: wat is er gebeurd? Wie heeft wat gedaan?
- Versleuteling van gegevens: maak het hackers niet makkelijk maar beveilig gegevens.
- Hoe is de scheiding tussen zakelijk en privé gebruik geregeld? Zijn er maatregelen voor toegang van buitenaf voor thuiswerken? Mag je op je privé telefoon of privé computer ook zakelijk inloggen of e-mails ontvangen?
- Veel geslaagde hacks hebben te maken met het niet tijdig installeren van veiligheidsupdates. Hoe is dit geregeld? Wie houdt hier toezicht op?
- Zijn alle virusscanners up to date? Draaien ze altijd, of worden ze wel eens uitgezet door het personeel?
- Hoe correct verloopt de backup procedure? Is terugval op oudere gegevens mogelijk?
En dit is nog maar een korte lijst. Wie zich wel eens heeft verdiept in de internationale standaard voor informatiebeveiliging, ISO 27001, weet dat er meer dan 150 punten zijn waarop gecontroleerd kan worden, variërend van beleidsdocumenten en procedures tot checklists, registraties en rapportages.
Risico georiënteerd beveiligen
Natuurlijk hoeft niet elke organisatie dezelfde uitgebreide lijst van maatregelen te nemen. Dit is afhankelijk van:
- De soort gegevens
- De kans dat er iets gebeurt met deze gegevens
- De werkelijke impact die het heeft als er iets fout gaat
Om te bepalen wat er moet worden gedaan op het gebied van informatiebeveiliging, is het noodzakelijk om een risico analyse uit te voeren. Hierin bepaal je, welke risico’s er zijn voor de organisatie en de gegevens die worden verwerkt, wat de kans en de impact is dat deze risico’s zullen optreden, en welke maatregelen al zijn genomen om deze risico’s te verkleinen.
Vervolgens kun je bij de risico’s die, ondanks eventueel genomen maatregelen, te hoog zijn om geaccepteerd te worden, gaan bepalen wat je kunt doen om deze risico’s onder controle te krijgen.
Eén maatregel kan natuurlijk zijn dat je de gegevens niet in eigen beheer verwerkt, maar dit bij een ander onderbrengt, zoals in de inleiding werd beschreven. Maar dit zegt nog niets over bijvoorbeeld toegang van jouw werknemers, wat er gebeurt bij ontslag, en of jouw werknemers vanuit huis of de trein mogen inloggen.
Genoeg theorie, wat moet je doen als ondernemer?
De AVG stelt dat je, naast allerlei andere verplichtingen, ook moet zorgen dat “door het nemen van passende technische en organisatorische maatregelen … een passende beveiliging gewaarborgd is”.
Wil je als ondernemer aan de AVG voldoen, dan moet je dus ook zorgen voor een passende beveiliging. Hoe doe je dat?
- Verdiep je in het onderwerp, vraag eventueel een specialist om hulp.
- Analyseer de risico factoren van jouw bedrijf; kijk waar al maatregelen zijn genomen en waar nog acties te nemen zijn. Denk in ieder geval aan de onderwerpen die hierboven vermeld zijn.
- Maak een plan om de risico’s aan te pakken die je nog onaanvaardbaar hoog vindt. Pak eerst de grootste risico’s aan.
- Controleer of de maatregelen ook werkelijk zijn ingevoerd.
- Controleer minstens één keer per jaar of de lijst met risico’s nog actueel is. Door veranderende omstandigheden kunnen risico’s groter of juist kleiner worden.
Meer in de serie “Missers in de AVG”
Dit is het tweede deel van “Missers in de AVG”. Deel 1 gaat over de verwarring en het onbegrip rondom Verwerkers en Verwerkersverantwoordelijken.