Geplaatst op: 10-9-2018
Afbeelding: BlogErik
Geblogd door Erik

Passende technische maatregelen (GDPR/AVG)

Technische maatregelen voor het beveiligen van persoonsgegevens (GDPR/AVG)
Sinds mei 2018 is de Europese wetgeving van kracht. De General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming (AVG) stelt meer eisen aan het verwerken van gegevens van personen. Iedereen moet erop kunnen vertrouwen dat zijn gegevens voldoende beveiligd worden. Samen met BonsenReuling zijn wij een unieke samenwerking aangegaan en hebben wij een Privacyscan ontwikkeld. Hiermee hebben we verschillende organisaties kunnen helpen met de eerste stappen richting de wetgeving.

De Privacyscan bundelt onze krachten en combineert de juridische aspecten met ICT-oplossingen. Om zo passende technische en organisatorische maatregelen te treffen voor het beveiligen van persoonsgegevens. Met onze beveiligingstechnieken krijgen bijvoorbeeld hackers minder kans om toegang te krijgen tot persoonsgegevens of wordt ervoor gezorgd dat uitsluitend de juiste gebruiker toegang krijgt tot zijn online werkplek. 

De beveiligingstechnieken die wij bepalen zijn volledig afhankelijk van de organisatie en wijze waarop persoonsgegevens verwerkt worden (doel, type gegevens, systeem, bewaartermijn, gevoeligheid etc.) en in hoeverre de ICT-security al geregeld is. 

Door het toepassen van beveiligingstechnieken worden gegevens beter beschermd, dit kan bijvoorbeeld met een goede back-up plan, recoveryplan, encryptie, extra beveiligingslaag, slimme firewalls, scheiden van netwerken, centraal beheren van accounts en frequente monitoring en registratie. Het is belangrijk dat documentatie op orde is. Jaarlijkse audit is nodig om te onderzoeken of de maatregelen nog actueel, effectief en doeltreffend zijn, GDPR/AVG-compliant worden is een continu proces. 

Maar hoe zien die technische maatregelen er dan uit? 
Hieronder een greep uit verschillende ICT-oplossingen voor betere beveiliging: 
1. Wachtwoord beleid
2. Extra beveiligingslaag (2FA)
3. Netwerkbeheer en beveiliging
4. Beheren en beveiligen van mobiele apparatuur 

1. Wachtwoordbeleid
In een wachtwoordbeleid staat het wachtwoord gebruik binnen een organisatie omschreven. Hierin kan vastgelegd worden dat een medewerker verschillende wachtwoorden voor verschillende systemen gebruikt, geen gebruik mag maken van de wachtwoord onthoud of blijf ingelogd functie. Dat er altijd gebruik gemaakt moet worden van een sterk wachtwoord en dat deze regelmatig gewisseld moet worden, dit laatste kan ook afgedwongen worden (wijzig wachtwoord na bijvoorbeeld 90 aantal dagen). 
Ook kan het beleid bepalen of er gebruik gemaakt wordt van een tool om alle wachtwoorden te beheren, via een wachtwoordmanager. Wachtwoord managers worden steeds vaker gebruikt, het is een veilige opslag (soort kluis) voor alle wachtwoord, lees er hier meer over. Ook kan deze tool een sterkt wachtwoord genereren (een lange mix van letters, hoofdletters, symbolen, cijfers) zodat jij deze zelf niet hoeft te bedenken, of te onthouden.   

2. Extra beveiligingslaag (2FA)
Vaak log je in met een gebruikersnaam en wachtwoord, dit is iets wat jij weet. Tweefactorauthenticatie voegt hier een extra beveiligingslaag aan toe, door iets wat jij hebt of bent. Dit is vaak een soort token: USB-token, SMS-code, nummer-token. In het tweede geval kan het zijn vingerafdruk, irisscan of stem. Er wordt naast het wachtwoord om een extra verificatie gevraagd. Deze beveiligingslaag geeft extra zekerheid dat de persoon die inlogt ook echt degene is die toegang mag krijgen tot het account. 

3. Netwerkbeheer en beveiliging 
Verouderde netwerkapparatuur zoals modems, switches, routers vergroten het risico op inbraken maar worden vaak vergeten. Zo kan een verouderde firewall een backdoor zijn voor kwaadwillende omdat deze vaak onvoldoende zijn beveiligd. Ook data dat verstuurd wordt via een netwerkverbinding of E-mail moet versleuteld worden door bijvoorbeeld encryptie.  

Het scheiden van netwerken zorgt voor betere beveiliging. Als een gast inlogt op het bedrijfsnetwerk zit deze direct binnen het interne netwerk, waar dus geen firewall meer tussen zit. De laptop van de gast kan onbewust besmet zijn met een virus of spyware en hiermee het interne netwerk infiltreren. Om deze risico’s te beperken is het veiliger om een aparte gast WiFi verbinding op te stellen.

Monitoring van netwerkverkeer – ook van mobiele devices helpt om bedreigingen te detecteren en erop te reageren. Het beveiligen van mobiele gegevens kan met behulp van een MDM of MAM-oplossingen.

4. Beheren en beveiligen van mobiele apparatuur  
Mobiele apparatuur zoals computers/laptops, smartphones, tablets of thin clients zijn nodig voor het uitvoeren van werkzaamheden. Het werken met mobiele apparatuur is niet zonder gevaar, een medewerker kan per ongeluk een virus of spyware binnen halen en hiermee het interne netwerk besmetten. Door het verliezen van een apparaat kunnen gegevens gestolen worden. Hieronder een aantal maatregelen die genomen kunnen worden: 

Bit Locker: Maak gebruik van de gratis encryptie tool van Windows, hiermee kan je volledige schijf versleutelen. Bij verlies of diefstal zijn alle gegevens op de schijf beveiligd. 

Viruscanner (ESET): Om te voorkomen dat laptops geïnfecteerd raken met virussen, is nodig om deze te voorzien van een virusscanner (wij gebruiken ESET). Deze software draait op de achtergrond die elk bestand controleert dat je opent en vergelijkt met bekende virussen, wormen en andere vormen van malware. Ook controleert het programma op verdacht gedrag van programma's. 

Automatische scherm vergrendelen: Wanneer een medewerker niet achter zijn werkplek zit moet het scherm automatische na x aantal seconden automatische vergrendeld worden. Dit voorkomt dat ongeautoriseerde toegang krijgen tot bestanden.

Zakelijke bestanden: Om de risico’s zo klein mogelijk te houden dienen bedrijfsgevoelige bestanden opgeslagen te worden binnen Citrix en niet op de lokale computer. 

Beperken van zwakheden door het uitvoeren van updates en patches binnen het besturingssysteem en applicaties: Een van de belangrijkste maatregelen om computers te beschermen tegen kwaadaardige software is het uitvoeren van de laatste updates. Hiermee worden gevaren zoals virussen, aanvallen of verminderd. Ook verbeteren updates van OS de prestaties waardoor bijvoorbeeld crashes worden verminderd. 

Afbeelding: GDPRShield

Het in orde hebben van de beveiliging is al een goede stap!

Natuurlijk zijn er nog veel andere technische maar ook organisatorische maatregelen die genomen kunnen worden. Naast het uitvoeren van de Privacyscan bieden wij, indien gewenst ook hulp bij het implementeren van de maatregelen in organisaties. 

Komt jouw organisatie er nog niet helemaal uit? Kijk dan eens hoe wij kunnen helpen met onze Privacyscan. Of neem telefonische contact op met onze Privacy Expert via: +31 (0)544 - 20 00 01. 

Privacyscan-adv

Vragen of informatie aanvragen?

Velden met een * zijn verplicht.