HCA AUTOMATISERING NIEUWSBRIEF: DATALEKKEN
Bekijk deze mail in uw browser

Nieuwsbrief 1: Datalekken.

Het heeft even geduurd, maar onze eerste nieuwsbrief van 2016 is een feit!
Wij zullen u voortaan met regelmaat een update te geven over de snelle veranderingen binnen de ICT.

Deze nieuwsbrief staat volledig in het teken van de wet Datalekken, een uitbreiding van de Wet op de privacy. Deze wet is per 1 januari ingegaan en vergt een verregaande aanpassing van de IT omgeving, maar ook andere administratieve en organisatorische processen zullen tegen het licht gehouden moeten worden.

Nieuw in 2016; Meldplicht datalekken

Waarschijnlijk heeft u al berichten gelezen dat er sinds 1 januari een wijziging is doorgevoerd in de Wet op de Privacy, met als meest belangrijke kenmerken een meldplicht bij datalekken en een boete clausule met hoofdelijke aansprakelijkheid voor bestuurders. Hierdoor moet in de praktijk het lekken (of kwijt raken) van privacygevoelige informatie in sommige gevallen binnen 48 uur gemeld worden bij het College bescherming persoonsgegevens, sinds kort hernoemd naar Autoriteit Persoonsgegevens.  

Deze Nederlandse wet loopt momenteel voor op Europa en kent een maximale boete van € 820.000,- of 10% van de omzet. De verwachting is echter dat het Europees Parlement nog dit jaar een gelijke wet zal aannemen en dat er uitbreidingen komen over datalekken in algemene zin.

In de praktijk heeft deze wet dus voor ieder bedrijf consequenties, immers in elk bedrijf is personeelsdata of persoonlijke (klant)data aanwezig en met alle ontwikkelingen rond de wet datalekken is de weg tevens vrij gemaakt voor het plaatsen van claims bij lekken van bedrijfsgevoelige data.
Wij adviseren daarom geen scheiding te maken in het wel of niet actief zijn in een publieke sector maar als bedrijf altijd voorbereid te zijn en te zorgen om alle zaken hier om heen gewoon op orde te hebben.
 

Organisatorisch

In de praktijk zal er veel veranderen, zowel organisatorisch als op het voor datalekken meest gevoelige gebied, de ICT.
Organisatorisch moeten bedrijven en instellingen compleet in kaart worden gebracht; wat is er voor privacygevoelige data aanwezig, waar is het opgeslagen, wie kan er bij, wat zijn de risico's, wat zijn de bestaande policies etc. Tevens moet er een standaard draaiboek aanwezig zijn hoe er gehandeld dient te worden bij een optredend datalek en wie verantwoordelijk is voor de melding.
Ook moeten er weerbare bewerkersovereenkomsten worden opgesteld met derden die toegang hebben tot privacygevoelige informatie en het kan met het oog op de toekomst zeker geen kwaad dit ook alvast op te stellen met externe bewerkers van bedrijfsdata.
Deze bewerkersovereenkomsten zijn er op gericht om in een keten of een netwerk van gegevensverwerkingen eenzelfde niveau van gegevensbescherming te realiseren en afspraken te maken over de manier waarop ketenpartijen met elkaar omgaan. Deze overeenkomsten maken gebruik van een Trusted Third Party (TTP) en hebben tot doel de-escalerend te werken en geschillen onderling uit te werken.
 

Technische kant

Maar ook de technische kant moet compleet in kaart zijn gebracht, immers de bestuurder is verantwoordelijk te zorgen voor een goede bescherming van de gegevens binnen de organisatie.
Dit betekent dat er afdoende veiligheidsmiddelen worden ingezet waardoor het lekken van data wordt beschermd. Een gratis virusscanner op het netwerk is dus verreweg geen volledige oplossing. Voor bescherming moet gedacht worden aan een gedegen virusscanner samen met een actieve Malware scanner, logging van databewegingen, het blokkeren van toegang via de USB poort, Mail Archiven etc. Tevens moet gemonitord worden of er geen ongewone acties plaatsvinden, bijvoorbeeld een Trojan die wel gezien wordt maar niet onschadelijk gemaakt wordt.
Zelfs een besmetting met een Trojan kan een datalek met meldplicht betekenen, als deze Trojan actief is geweest op een computer met privacygevoelige data en niet duidelijk is welke data eventueel naar de maker is gestuurd.
Ook het versturen van privacygevoelige informatie mag niet via een standaard mail worden gedaan. Met mailen van salarisstroken, maar zelfs een auto kenteken van een privé persoon dient via encrypted uitgaande mail te worden gedaan, waarbij 2 weg authenticatie vaak de sleutel is.
 

Hardware

Ook aan de kant van de hardware worden de eisen een stuk strenger. Alle hard- en software moet nog ondersteund worden door de leverancier met betrekking tot veiligheidsupdates. Een AccesPoint op het netwerk die als hoogste beveiligingsniveau WPA heeft in plaats van WPA-2 zorgt bijvoorbeeld voor een veiligheidsrisico en moet vervangen worden.
Maar ook alle standaard wachtwoorden uit netwerkapparatuur (bijvoorbeeld netwerkprinters!) moeten vervangen zijn door sterke unieke wachtwoorden.
Alle hardware dient voorzien te zijn van recente Firmware zodat bekende veiligheidslekken gedicht worden en software moet worden bijgewerkt naar ondersteunde versies, zowel de besturingssystemen Windows XP of Server 2003 maar ook applicaties van Microsoft, Adobe en specifieke leveranciers. Uiteraard geldt ook hier dat de vaak maandelijkse updates ook direct worden geďnstalleerd zodat de kans op besmetting door virussen of inbraak verkleind wordt.
 

Advies

Voor organisaties hebben we een compleet draaiboek klaarliggen om compliant te worden aan de nieuwe regelgeving. Dit begint met een complete security audit en risico scan waarbij de organisatie op technisch vlak volledig in kaart wordt gebracht. Er wordt duidelijk welke data waar aanwezig is, hoe deze te benaderen is en vanaf waar. Welke gebruikers er zijn en in welke groepen zijn deze verdeeld, waar hebben deze toegang toe en wat zijn de policies.
Wat voor apparatuur is er allemaal aanwezig, wat is de staat, is deze nog compliant en afdoende beveiligd?
 

Meer informatie?

Wilt u meer informatie over het onderwerp datalekken in het algemeen en hoe hier in de praktijk mee omgegaan moet worden dan hebben wij een uitgebreid document gemaakt waarin dit uitvoerig wordt beschreven. Tevens staat hier een beknopte checklist in waarop gekeken kan worden of de meest essentiële stappen genomen zijn om een organisatie te beschermen tegen het lekken van data.
Om deze informatie kosteloos te ontvangen kunt u bellen met ons op telefoonnummer 078-635.17.19 of een mail sturen naar info@hcagroep.nl.
 

Mail: info@hcagroep.nl        Website: www.hcagroep.nl  
Download hier gratis onze algemene voorwaarden.  

Meld af van deze mailing.  Pas e-mail voorkeuren aan.