Datalekken: neem passende maatregelen
door Strict op wo 3 aug 2016
Het is niet zozeer de vraag of je als organisatie te maken krijgt met een datalek, maar vooral wat je er aan gedaan hebt om het te voorkomen. Sinds 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden en is er een extra reden (openbaarmaking op straffe van een fikse boete) bijgekomen om de beveiliging rondom persoonsgegevens op orde te krijgen. Het is hierbij niet alleen van belang dat je een datalek ‘onverwijld’ meldt, maar ook dat je kan aantonen dat er ‘passende technische en organisatorische maatregelen’ zijn getroffen om persoonsgegevens te beveiligen. Hoewel je als bedrijf de vrijheid hebt om een specifieke invulling te geven aan informatie beveiliging, is het lastig uit te leggen als je niet eens de controle hebt over wie er toegang heeft tot welke gegevens.
Reputatieschade
Klanten hoeven hun stoel niet meer uit te komen: de meest uiteenlopende goederen en diensten worden inmiddels van achter het beeldscherm aangeschaft. Daarnaast is het steeds gemakkelijker geworden om bedrijven met elkaar te vergelijken op onder meer prijs en kwaliteit, maar bijvoorbeeld ook duurzaamheid.
Er is daarbij een groeiend besef dat de informatie die je online invult makkelijk op straat kan komen te liggen. Sites als www.haveibeenpwned.com geven een direct en genadeloos overzicht van webshops en online diensten waarbij hun(!) persoonsgegevens zijn buit gemaakt.
Naast de rompslomp die dit geeft (‘wijzig onmiddellijk je wachtwoord’) is het lastig om in te schatten in hoeverre jij hier verdere schade van zult ondervinden. Hiermee blijft de dreiging van bijvoorbeeld identiteitsfraude en financiële schade in de lucht hangen. Met dit groeiend bewustzijn van (online) kwetsbaarheid wordt het voor klanten steeds belangrijker dat de bedrijven achter de webshops en online diensten waar ze gebruik van maken de beveiliging van hun persoonlijke gegevens serieus nemen. Mocht blijken dat dit vertrouwen beschaamd wordt, dan is links laten liggen of ‘overstappen’ veel eenvoudiger dan aandringen op verbetering.
Als je als bedrijf het belang van reputatie en merkentrouw onderkent en je jouw niveau van informatiebeveiliging wilt verhogen, dan is het goed om te weten dat het gevaar slechts ten dele van buiten komt en dat er een hoop te winnen is door intern orde op zaken te stellen.
Meldplicht datalekken
Ook van overheidswege wordt de noodzaak van bescherming van persoonsgegevens onderkend. Als aanvulling op de Wet bescherming persoonsgegevens (Wbp) is op 1 januari 2016 de Meldplicht datalekken van kracht geworden.
Dit geeft de Autoriteit Persoonsgegevens (AP) een aantal krachtige pressiemiddelen in handen bij de bescherming van ons recht op de bescherming van onze persoonsgegevens, te weten:
- de plicht om datalekken te melden bij de Autoriteit Persoonsgegevens, maar
- soms ook de plicht om melding te doen bij diegenen die bij het datalek betrokken zijn.
Per overtreding kan een boete opgelegd worden die kan oplopen tot € 820.000,- of 10% van de jaaromzet. Hiermee dwingt de Meldplicht datalekken bedrijven en organisaties om openheid te geven rondom een opgetreden datalek, dat wil zeggen een inbreuk op hun informatiebeveiliging.
Passende maatregelen
Het lijkt voor de hand te liggen, maar het uiteindelijke doel van de Wet bescherming persoonsgegevens en daarmee ook de Meldplicht datalekken is dat jouw en mijn persoonsgegevens afdoende beschermd worden tegen kwaadwillenden. De website van de Autoriteit Persoonsgegevens (AP) rondom persoonsbeveiliging verwoordt het als volgt:
“Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen.”
Het is dus de wettelijke verantwoordelijk van jouw organisatie om
- te bepalen wat passende maatregelen zijn voor de context van jouw bedrijf, maar
- om deze maatregelen vervolgens ook daadwerkelijk te treffen.
De website gaat als volgt verder:
“Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?”
De AP geeft wel degelijk richtlijnen om te komen tot passende maatregelen. Er wordt gesproken over het hanteren van een plan-do-check-act cyclus, het uitvoeren van een risicoanalyse en het nemen van maatregelen op basis van beveiligingsstandaarden. Hierbij wordt onder meer verwezen naar een zeer veel gebruikte beveiligingsstandaard: de Code voor Informatiebeveiliging (nen-iso/iec 27002:2007 nl).
Deze standaard vraagt bijvoorbeeld aandacht voor informatieclassificatie, het beheer van verwijderbare media, het gebruik van cryptografie, maar ook voor het bredere onderwerp van toegangsbeveiliging. Uit de verschillende aandachtsgebieden die in deze standaard genoemd worden, wordt nu juist toegangsbeveiliging (wie heeft er toegang tot welke gegevens) als voorbeeld genoemd op de website.
Het lijkt wel alsof de AP hiermee zegt: je moet zelf bepalen wat passend is voor jouw organisatie en dat vervolgens ook daadwerkelijk implementeren, maar als je niet eens weet wie waar toegang toe heeft dan heb je toch behoorlijk wat uit te leggen.
Als de Autoriteit Persoonsgegevens het nodig vindt om een onderzoek naar jouw bedrijf in te stellen, dan kunnen en zullen zij wel degelijk inhoudelijk (en openlijk) een oordeel geven over het huidige en gepaste niveau van bescherming van persoonsgegevens.
Identity en Access Management
Als je het hebt over de controle hebben over toegangsbeveiliging dan gaat het er in de kern over dat je om de juiste reden de juiste mensen de juiste toegang verleent tot informatie (maar ook tot applicaties, systemen en zelfs fysieke ruimtes).
De eerste stap hierbij is dat je als organisatie inzicht krijgt in waar je staat:
- zijn er mensen die nog toegang hebben nadat zij uit dienst zijn getreden?
- zijn er mensen die nog toegang hebben nadat zij van functie en of rol zijn gewisseld?
- worden er accounts (en wachtwoorden gedeeld) door werknemers?
- kunnen we nagaan wat onze netwerk-, systeem en applicatiebeheerders doen?
- wie heeft er momenteel toegang tot vertrouwelijke klant, maar ook werknemers-, financiële gegevens danwel intellectueel eigendom?
Om de controle terug te krijgen en toe te werken naar de gewenste situatie zul je:
- als bestuurder een beleid moeten vaststellen omtrent toegangsbeveiling.
- rollen en bijbehorende autorisaties moeten definiëren
- duidelijk moeten hebben welke combinatie van rollen onverstandig is
- verschillende processen moeten implementeren of aanscherpen:
- registratie en uitschrijving van gebruikers en
- verlenen, aanpassen en intrekken van toegangsrechten
- mensen moeten trainen en begeleiden ten aanzien van deze veranderingen
- mensen verantwoordelijk moeten houden voor toepassen nieuwe werkwijze
- huidige en gewenste situatie moeten kunnen vergelijken en corrigeren waar nodig
Gelukkig ben je niet de enige die voor deze uitdaging staat. Het implementeren van Identiteits- en Toegangsbeheer was voorheen voorbehouden aan grotere bedrijven, die het zich konden veroorloven om samen met een gekozen technische oplossing ook de bijbehorende consultants voor langere termijn in te huren. Tegenwoordig zijn er meerdere pragmatische oplossingen waarbij een hoop van het werk door de eigen business kan worden ingevuld en uitgevoerd.
In de ‘business case’ voor de implementatie van Identity en Access Management gaat het zeker niet alleen maar om het voorkomen van reputatieschade en/of boetes, maar ook om de kans bijvoorbeeld de instroom en uitstroom van nieuwe werknemers te versnellen en te vergemakkelijken.
Meer weten? Reageer dan hieronder of neem contact op via info@strict.nl als je eens verder van gedachten wilt wisselen over informatiebeveiliging in het algemeen en Identity en Access Management in het bijzonder. Je kunt me natuurlijk ook persoonlijk benaderen via LinkedIn!
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)