AVG-experts verklaren hoe u gegevens onderweg kunt beschermen

Trends

AVG‑experts verklaren hoe u gegevens onderweg kunt beschermen

Leestijd:  5 Minuten

Hoe veilig zijn de gegevens van uw bedrijf buiten het kantoor? De Algemene Verordening Gegevensbescherming (AVG) treedt deze maand in werking en betreft elke organisatie ter wereld die persoonlijke gegevens van EU-inwoners verzamelt of verwerkt. Hier adviseren AVG-nalevingsexperts u over de manier waarop u uw bedrijf moet beschermen

 

Als uw bedrijf vertrouwt op telewerkers, weet u al hoe belangrijk het is om te garanderen dat de gegevens niet worden misbruikt, op een verkeerde plaats worden bewaard of foutief worden toegewezen. Met de Algemene Verordening Gegevensbescherming (AVG) die deze maand (mei 2018) in werking treedt, is het ook van belang dat u garandeert dat u aan de strenge vereisten van de verordening voldoet of u riskeert aanzienlijke financiële schade en reputatieschade. Hoe kunt u dus gegevens onderweg beschermen terwijl u de voordelen van een echt flexibel personeelsbestand behoudt?

1. Leid uw werknemers op

In de taal van AVG is uw bedrijf de ‘eigenaar van de gegevens’ en zijn uw telewerknemers ‘gegevensverwerkers’. "Dat betekent dat ze een even grote rol moeten spelen in het veilig houden van de gegevens van uw bedrijf als u," zegt John Slaughter, MD van Data Company(1). "Het naleven van de AVG moet een prioriteit worden in hun dagelijkse rollen, vooral als ze aan telewerk doen," voegt hij toe. "Duidelijke richtlijnen over het gebruik van veilige netwerken zijn van cruciaal belang; bepaal en communiceer dus welke gegevens beperkt zijn tot een veilige omgeving." Hij raadt bedrijven aan om werknemers regelmatig te trainen, opnieuw te trainen en te beoordelen om te garanderen dat ze de problemen begrijpen en hun gewoonten up-to-date zijn.

Bedrijven moeten ook overwegen om hun personeelsleden eraan te herinneren dat openbare wifi-netwerken geenszins veilig zijn. "Individuen moeten geen bankzaken regelen via een openbaar netwerk, ze moeten dus ook geen toegang hebben tot vertrouwelijke documenten," zegt Andy Kays, CTO bij dreigingsdetectie- en crisisspecialist Redscan(2). "Moedig werknemers aan om enkel gebruik te maken van beveiligde wifi-toegangspunten of via een veilige (VPN) verbinding met het netwerk van het bedrijf te maken. Het is ook goed om verbinding te maken met het internet via 4G (of dongle), waardoor werknemers een goede, veilige verbinding met de serviceprovider krijgen."

2. Bescherm alles met een wachtwoord

De AVG zal waarschijnlijk de macht hebben om boetes op te leggen tot vier procent van de wereldwijde omzet van een bedrijf in het geval van aanzienlijke gegevenslekken. De enige vrijstelling is wanneer u kunt aantonen dat de gegevens correct versleuteld waren.

"Onfeilbare beveiliging bestaat niet: zelfs NASA is gehackt," zegt de in Roemenië wonende Andrei Hanganu, auteur van de AVG-documentatietoolkit van de EU(3). "Maar sterke wachtwoorden en passende encryptieoplossingen helpen om uw persoonlijke gegevens veilig te houden voor niet-geautoriseerde gebruikers."

De meeste bedrijven hebben software geïnstalleerd om harde schijven en bestanden die erop staan te versleutelen, maar dit is niet noodzakelijk van toepassing op apparaten op afstand. Hanganu raadt aan om de encryptiesoftware te voorzien die nodig is voor laptops, mobiele telefoons en persoonlijke desktops. Alles wat de gebruiker dan nodig heeft, is een pincode of wachtwoord om toegang te krijgen tot de gegevens en deze uit te pakken in een leesbare vorm. Alle werkers moeten de gewoonte hebben om alles met een wachtwoord te beschermen.

3. Blijf schoon

Virussen en malwareaanvallen kunnen gegevens verzamelen en traceren, wat betekent dat ze ook onder de AVG-norm vallen. "Aangezien het zo moeilijk is om zich te beschermen tegen malware, gaan de meeste bedrijven ervan uit dat het geen kwestie van of, maar wanneer u getroffen wordt," zegt Nigel Tozer, Director EMEA Solutions Marketing bij Commvault(4). Hij raadt aan te garanderen dat de apparaten van uw werknemers beschermd zijn door het recentste besturingssysteem en anti-virussoftware.

"Mensen zijn altijd de zwakste schakel in de beveiligingsmentaliteit van een organisatie en het kan verwoestende gevolgen hebben als een werknemer op een kwaadaardige link klikt of zijn systeem niet bijwerkt," voegt Andy Kays toe. "Daarom is het belangrijk om het bewustzijn rond risico’s van cyberveiligheid te verhogen door regelmatige training van werknemers, vooral bij telewerkers die toegang hebben tot bedrijfsgegevens en -diensten vanaf verschillende apparaten, locaties en netwerken."

Bedrijven kunnen ook overwegen om regelmatig sessies met de IT-afdeling te implementeren, waarbij werknemers hun mobiele apparaten inleveren voor regelmatige veiligheidscontroles, updates en upgrades.

AVG-experts verklaren hoe u gegevens onderweg kunt beschermen

Heeft uw organisatie een strategie om gegevens veilig te houden zodra ze het kantoor verlaten?

 

4. Denk aan visuele beveiliging

"In een technologisch geavanceerde wereld vergeten we nog altijd makkelijk dat er laagtechnologische manieren zijn voor mensen om de gegevens van uw bedrijf te stelen," zegt Orlagh Kelly, advocaat en CEO van Briefed GDPR Training and Consultancy Specialists(5).

In een experiment dat werd uitgevoerd door 3M was een undercover hacker in staat om gevoelige informatie te bemachtigen door gewoon te ‘schoudersurfen’ (naar iemands scherm kijken) in 88 procent van de gevallen(6).

"Moedig werknemers aan dat ze zich bewust zijn van wie er over hun schouder kan kijken terwijl ze buiten het kantoor werken," zegt Kelly. U kunt overwegen om privacyfilters uit te delen die aan een scherm bevestigd kunnen worden en zijdelings zicht op het scherm verhinderen voor personen die heimelijk willen meekijken.

5. Begrijp de beperkingen van de cloud

Volgens een studie van Ponemon Institute wordt 44 procent van de bedrijfsgegevens die opgeslagen zijn in cloudomgevingen niet beheerd of gecontroleerd door de IT-afdeling. Als gevolg hiervan maakt de studie ook duidelijk dat het gebruik van clouddiensten de waarschijnlijkheid van een datalek van $ 20 miljoen met factor drie kan verhogen(7).

"De juiste cloudprovider kiezen is heel belangrijk," zegt Nigel Tozer. "U moet exact weten hoe ze met een datalek zullen omgaan, aangezien beide kanten verantwoordelijkheden hebben. Als alle gegevens in de EU blijven, moet uw cloudprovider garanderen dat ze deze op een manier bewaren die voldoet aan de wettelijke vereisten. U moet ook controleren of gegevens die de EU verlaten, voldoende beschermd zijn met betrekking tot de AVG."

Tozer wijst erop dat inzake de AVG de cloudprovider de verwerker van de gegevens is en uw bedrijf de gegevensverantwoordelijke. "[Dit betekent dat] het uw verantwoordelijkheid is om de referenties van de provider te controleren en ervoor te zorgen dat hij voldoende garanties biedt om de passende technische en organisatorische beveiligingen te implementeren die voldoen aan de nieuwe EU-regelgeving."

6. Respecteer de privacy van uw werknemer

"Als u momenteel gebruikmaakt van tools of technologie om de productiviteit van uw telewerkers te bewaken, moet u overwegen hoe u uw goede bedoelingen in lijn kunt brengen met de noodzaak om hun privacy te beschermen," zegt George Harris, AVG-consultant voor DMPC Ltd(8). "[Uw personeel bewaken] valt moeilijk te verantwoorden in een standaard bedrijfsscenario," zegt hij.

Onder de AVG-norm is het lastig om de apparaten van een werknemer te bewaken (door het registreren van toetsaanslagen of muistraceringstechnologie) zonder zijn recht op privacy te schenden. Volgens AVG-artikel 29-werkgroep: "Technologieën die communicatie bewaken kunnen […] een temperend effect hebben op de fundamentele rechten van werknemers om te organiseren, werknemersvergaderingen voor te bereiden en in vertrouwen te communiceren (met inbegrip van het recht op informatie)(9)."

7. Zorg voor een actieplan bij gegevenslekken

"Een gegevenslek kan van alles omvatten, van een malwareaanval die iemands laptop treft, tot een werknemer die zijn werktelefoon op de trein achterlaat, tot diegenen die onbedoeld e-mailgegevens naar een groep sturen via ‘cc’ in plaats van ‘bcc’," zegt James Walker, MD of Jaw Consulting UK, dat gespecialiseerd is in cyberveiligheid, gegevensbescherming en privacy(10).

Hoewel uw eerste instinct u zegt om aan schadebeperking te gaan doen, is de urgentie hiervan onder AVG groter. "Een organisatie heeft 72 uur om zowel de getroffen individuen als de relevante toezichthouder op de hoogte te brengen van een gegevenslek, met inbegrip van een analyse van de gevolgen van het lek en de getroffen of voorgestelde maatregelen om de negatieve effecten te matigen," zegt Walker.

Herinnert u zich die vier procent van daarnet nog? Dat is wat er op het spel staat als u niet aan de regels voldoet. "De vrijstelling van deze gedetailleerde meldingsprocedure is als u kunt aantonen dat het onwaarschijnlijk is dat het lek een risico vormt voor de rechten en vrijheden van natuurlijke personen," zegt Walker. "Aantonen dat u de gegevens correct hebt versleuteld, brengt u al een heel eind en maakt het misschien zelfs niet noodzakelijk om een dergelijk incident als een gegevenslek te melden.

 


Bronnen:

(1) https://datacomply.co.uk/

(2) https://www.redscan.com

(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/

(4) https://www.commvault.com /

(5) https://www.briefed.pro/

(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/

(7) https://www.ibm.com/security/data-breach

(8) http://dmpc.ltd.uk/

(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf

(10) https://www.jawconsulting.co.uk