Datalekken: neem passende maatregelen

Het is niet zozeer de vraag of je als organisatie te maken krijgt met een datalek, maar vooral wat je er aan gedaan hebt om het te voorkomen. Sinds 1 januari 2016 is de Wet Meldplicht Datalekken in werking getreden en is er een extra reden (openbaarmaking op straffe van een fikse boete) bijgekomen om de beveiliging rondom persoonsgegevens op orde te krijgen. Het is hierbij niet alleen van belang dat je een datalek ‘onverwijld’ meldt, maar ook dat je kan aantonen dat er ‘passende technische en organisatorische maatregelen’ zijn getroffen om persoonsgegevens te beveiligen. Hoewel je als bedrijf de vrijheid hebt om een specifieke invulling te geven aan informatie beveiliging, is het lastig uit te leggen als je niet eens de controle hebt over wie er toegang heeft tot welke gegevens.

Reputatieschade

Klanten hoeven hun stoel niet meer uit te komen: de meest uiteenlopende goederen en diensten worden inmiddels van achter het beeldscherm aangeschaft. Daarnaast is het steeds gemakkelijker geworden om bedrijven met elkaar te vergelijken op onder meer prijs en kwaliteit, maar bijvoorbeeld ook duurzaamheid.

Er is daarbij een groeiend besef dat de informatie die je online invult makkelijk op straat kan komen te liggen. Sites als www.haveibeenpwned.com geven een direct en genadeloos overzicht van webshops en online diensten waarbij hun(!) persoonsgegevens zijn buit gemaakt.

Naast de rompslomp die dit geeft (‘wijzig onmiddellijk je wachtwoord’) is het lastig om in te schatten in hoeverre jij hier verdere schade van zult ondervinden. Hiermee blijft de dreiging van bijvoorbeeld identiteitsfraude en financiële schade in de lucht hangen. Met dit groeiend bewustzijn van (online) kwetsbaarheid wordt het voor klanten steeds belangrijker dat de bedrijven achter de webshops en online diensten waar ze gebruik van maken de beveiliging van hun persoonlijke gegevens serieus nemen. Mocht blijken dat dit vertrouwen beschaamd wordt, dan is links laten liggen of ‘overstappen’ veel eenvoudiger dan aandringen op verbetering.

Als je als bedrijf het belang van reputatie en merkentrouw onderkent en je jouw niveau van informatiebeveiliging wilt verhogen, dan is het goed om te weten dat het gevaar slechts ten dele van buiten komt en dat er een hoop te winnen is door intern orde op zaken te stellen.

Meldplicht datalekken

Ook van overheidswege wordt de noodzaak van bescherming van persoonsgegevens onderkend. Als aanvulling op de Wet bescherming persoonsgegevens (Wbp) is op 1 januari 2016 de Meldplicht datalekken van kracht geworden.

Dit geeft de Autoriteit Persoonsgegevens (AP) een aantal krachtige pressiemiddelen in handen bij de bescherming van ons recht op de bescherming van onze persoonsgegevens, te weten:

• de plicht om datalekken te melden bij de Autoriteit Persoonsgegevens, maar
• soms ook de plicht om melding te doen bij diegenen die bij het datalek betrokken zijn.

Per overtreding kan een boete opgelegd worden die kan oplopen tot € 820.000,- of 10% van de jaaromzet. Hiermee dwingt de Meldplicht datalekken bedrijven en organisaties om openheid te geven rondom een opgetreden datalek, dat wil zeggen een inbreuk op hun informatiebeveiliging.

Passende maatregelen

Het lijkt voor de hand te liggen, maar het uiteindelijke doel van de Wet bescherming persoonsgegevens en daarmee ook de Meldplicht datalekken is dat jouw en mijn persoonsgegevens afdoende beschermd worden tegen kwaadwillenden. De website van de Autoriteit Persoonsgegevens (AP) rondom persoonsbeveiliging verwoordt het als volgt:

“Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen.”

Het is dus de wettelijke verantwoordelijk van jouw organisatie om

• te bepalen wat passende maatregelen zijn voor de context van jouw bedrijf, maar
• om deze maatregelen vervolgens ook daadwerkelijk te treffen.

De website gaat als volgt verder:

“Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?”

De AP geeft wel degelijk richtlijnen om te komen tot passende maatregelen. Er wordt gesproken over het hanteren van een plan-do-check-act cyclus, het uitvoeren van een risicoanalyse en het nemen van maatregelen op basis van beveiligingsstandaarden. Hierbij wordt onder meer verwezen naar een zeer veel gebruikte beveiligingsstandaard: de Code voor Informatiebeveiliging (nen-iso/iec 27002:2007 nl).

Deze standaard vraagt bijvoorbeeld aandacht voor informatieclassificatie, het beheer van verwijderbare media, het gebruik van cryptografie, maar ook voor het bredere onderwerp van toegangsbeveiliging. Uit de verschillende aandachtsgebieden die in deze standaard genoemd worden, wordt nu juist toegangsbeveiliging (wie heeft er toegang tot welke gegevens) als voorbeeld genoemd op de website.

Het lijkt wel alsof de AP hiermee zegt: je moet zelf bepalen wat passend is voor jouw organisatie en dat vervolgens ook daadwerkelijk implementeren, maar als je niet eens weet wie waar toegang toe heeft dan heb je toch behoorlijk wat uit te leggen.

Als de Autoriteit Persoonsgegevens het nodig vindt om een onderzoek naar jouw bedrijf in te stellen, dan kunnen en zullen zij wel degelijk inhoudelijk (en openlijk) een oordeel geven over het huidige en gepaste niveau van bescherming van persoonsgegevens.

Identity en Access Management

Als je het hebt over de controle hebben over toegangsbeveiliging dan gaat het er in de kern over dat je om de juiste reden de juiste mensen de juiste toegang verleent tot informatie (maar ook tot applicaties, systemen en zelfs fysieke ruimtes).

De eerste stap hierbij is dat je als organisatie inzicht krijgt in waar je staat:

• zijn er mensen die nog toegang hebben nadat zij uit dienst zijn getreden?
• zijn er mensen die nog toegang hebben nadat zij van functie en of rol zijn gewisseld?
• worden er accounts (en wachtwoorden gedeeld) door werknemers?
• kunnen we nagaan wat onze netwerk-, systeem en applicatiebeheerders doen?
• wie heeft er momenteel toegang tot vertrouwelijke klant, maar ook werknemers-, financiële gegevens danwel intellectueel eigendom?

Om de controle terug te krijgen en toe te werken naar de gewenste situatie zul je:

• als bestuurder een beleid moeten vaststellen omtrent toegangsbeveiling.
• rollen en bijbehorende autorisaties moeten definiëren
• duidelijk moeten hebben welke combinatie van rollen onverstandig is
• verschillende processen moeten implementeren of aanscherpen:
• registratie en uitschrijving van gebruikers en
• verlenen, aanpassen en intrekken van toegangsrechten
• mensen moeten trainen en begeleiden ten aanzien van deze veranderingen
• mensen verantwoordelijk moeten houden voor toepassen nieuwe werkwijze
• huidige en gewenste situatie moeten kunnen vergelijken en corrigeren waar nodig

Gelukkig ben je niet de enige die voor deze uitdaging staat. Het implementeren van Identiteits- en Toegangsbeheer was voorheen voorbehouden aan grotere bedrijven, die het zich konden veroorloven om samen met een gekozen technische oplossing ook de bijbehorende consultants voor langere termijn in te huren. Tegenwoordig zijn er meerdere pragmatische oplossingen waarbij een hoop van het werk door de eigen business kan worden ingevuld en uitgevoerd.

In de ‘business case’ voor de implementatie van Identity en Access Management gaat het zeker niet alleen maar om het voorkomen van reputatieschade en/of boetes, maar ook om de kans bijvoorbeeld de instroom en uitstroom van nieuwe werknemers te versnellen en te vergemakkelijken.

Meer weten? Reageer dan hieronder of neem contact op via info@strict.nl als je eens verder van gedachten wilt wisselen over informatiebeveiliging in het algemeen en Identity en Access Management in het bijzonder. Je kunt me natuurlijk ook persoonlijk benaderen via LinkedIn!