European Data Protection Day: Hoe kunnen bedrijven hun data beter beschermen?
28 januari is European Data Protection Day. Jammer genoeg werd het de afgelopen weken nog maar eens duidelijk hoe belangrijk het is te investeren in een goede cyber security en databeschermingssystemen. Dat hackers beseffen dat data het nieuwe goud is, werd de afgelopen weken nog maar eens pijnlijk duidelijk. Het hackerscollectief Play drong binnen in de systemen van de stad Antwerpen en dreigde de persoonlijke gegevens van duizenden inwoners van de stad op straat te gooien tenzij er losgeld werd betaald. Hoewel de stad geen losgeld zou hebben betaald, schat men het verlies aan inkomsten ten gevolge van de aanval op +/- 70 mio euro. Naast dit financieel verlies hoeft het geen betoog dat de reputatie van het stadsbestuur ook een stevige knauw kreeg. Jammer genoeg is de case Antwerpen slechts één van de vele voorbeelden. Dagelijks worden overheidsdiensten, lokale besturen en bedrijven het slachtoffer van vergelijkbare aanvallen. Maar niet alle dreigingen komen van buitenuit. Recent maakte een medewerker van een grote Belgische bank het mogelijk dat derden toegang kregen tot cliëntengegevens en diende deze bank dus een data breach te rapporteren aan de privacy commissie.
Naar aanleiding van European Data Protection Day praten we met Emilie Toth Jensen – Legal Counsel & DPO (Data Protection Officer) van Penneo. Voor de Scandinavische RegTech gespecialiseerd in digitale ondertekening van documenten en de automatisatie van de daarbij horende verzendings- en archivageprocessen, is maximale bescherming van de data die ze behandelen voor hun klanten immers cruciaal om het vertrouwen van (potentiële) klanten te winnen en te behouden. Penneo biedt bijvoorbeeld een SaaS-oplossing aan accountants voor het automatiseren van de ondertekening van jaarverslagen en -rekeningen. Via hun software worden jaarlijks honderdduizenden vertrouwelijke documenten die enkel door de bevoegde personen mogen worden gelezen en behandeld. Ze doen er dan ook alles aan om de opgeslagen data zowel digitaal als fysiek zo goed mogelijk te beveiligen en maken onder meer gebruik van AES256 versleuteling om ervoor te zorgen dat cybercriminelen tijdens digitale gegevensuitwisseling tussen verschillende partijen in het proces geen data kunnen lezen.
Emilie Toth Jensen – Legal Counsel & DPO bij Penneo zet graag 8 tips op een rijtje die u kunnen helpen om uw data zo goed mogelijk te beschermen:
- Beperkt de toegang tot data
Het ligt misschien voor de hand, maar zorg er binnen uw organisatie voor dat je aan je medewerkers enkel toegang geeft tot niet-publieke informatie op een ‘need-to-know’-basis. Zorg voor een inventaris van de toegangsrechten die de verschillende medewerkers hebben en stel je periodiek de vraag of de bestaande toegangsrechten nog echt noodzakelijk zijn opdat een specifieke medewerker zijn job zou kunnen uitvoeren.
- Versleutel je data
Het versleutelen of ‘encrypteren’ van je data is de beste manier om ze te beschermen. Versleuteling is een proces waarbij je data wordt omgezet in een niet-leesbaar formaat op basis van een algoritme. Enkel bevoegde personen kunnen de versleutelde data decoderen en lezen. Zelf als je data gestolen wordt, is hij onbruikbaar en dus niet langer interessant voor gegevensdieven.
- Zorg voor een vertrouwelijkheidsbeleid
Mensen blijven helaas vaak de zwakste schakel in beveiligingsprocessen. Medewerkers zijn zich vaak niet bewust van de gevaren op datalekken bij het behandelen van hun dossiers of het opslagen van hun output. Het is dan ook van cruciaal belang regelmatig intern te sensibiliseren rond dit thema en ervoor te zorgen dat er een duidelijke en bruikbare set aan richtlijnen met betrekking tot de beveiliging van gegevens bestaat. Zorg dat ze eenduidig zijn zodat er geen twijfel ontstaat over hoe men moet handelen. Op deze manier kan je datalekken ten gevolge van menselijke fouten vermijden en ervoor zorgen dat je voldoet aan de wettelijke voorschriften inzake gegevensbehandeling.
- Zorg voor een beleid inzake gegevensbehoud (data retention policy)
Het basisprincipe in een data retention policy is dat je gegevens enkel zolang bewaart als strikt noodzakelijk voor je bedrijfsfinaliteiten. Hoe meer data je bijhoudt, hoe moeilijker het wordt om ze te beschermen.
Dit basisprincipe en het implementeren van een data retention policy wordt bovendien opgelegd vanuit de GDPR-regelgeving.
Een beleid inzake gegevensbehoud zorgt er ook voor dat
- je medewerkers nadenken over welke data ze moeten bewaren en voor hoelang;
- ze weten hoe ze gegevens correct moeten verwijderen of vernietigen zodra ze deze niet langer nodig hebben.
- Ontwikkel en implementeer een cybersecurity programma
Het zorgen voor een adequate beveiliging van je IT-systemen, dataflows en databases is essentieel om ervoor te de vertrouwelijkheid, de beschikbaarheid en integriteit van je gegevens te verzekeren.
Dergelijk cybersecurity programma is echt maatwerk en kan verschillen van organisatie tot organisatie. Veelal is het een combinatie van goede antivirusprogramma’s, firewalls, inbraakdetectiesystemen, multi-factorauthenticatie, software-updates maar ook cyberbewustzijnstrainingen voor je medewerkers hebben er hun plaats in.
Dergelijk programma is ook niet statisch. De digitale wereld evolueert snel en hackers vinden altijd nieuwe manieren om je systemen binnen te dringen. Het is dan ook erg belangrijk te volgen wat er gebeurt in het cyberlandschap zodat je tijdig je beveiligingsmaatregelen kan aanscherpen of verbeteren.
- Vergeet je fysieke beveiligingsmaatregelen niet!
Vele databreuken en -diefstallen gebeuren vandaag inderdaad online. De risico’s om gevat te worden zijn voor criminelen nu eenmaal vele kleiner als ze hun aanval uitvoeren vanachter hun laptop in een ver land. Maar dat wil niet zeggen dat er geen gevaar meer is dat fysieke documenten met gevoelige data gestolen worden.
Het is dus ook nodig om ervoor te zorgen dat deze materiële stukken goed worden beschermd. De principes zijn hetzelfde als voor digitale data. Zorg ervoor dat enkel de bevoegde mensen toegang hebben tot papieren documenten door ze in afsluitbare lokalen of kasten te bewaren. Beveilig je kantoor met een alarmsysteem, voorzie beveiligingscamera’s en zorg voor toegangscontrole.
Denk er ook aan dat vele gegevensdiefstallen van binnenuit gebeuren. Het is niet uitzonderlijk dat een medewerker die het bedrijf verlaat nog snel zijn cliëntenportefeuille uitprint of download op een memory stick. Zorg dus ook dat deze zaken niet zomaar mogelijk zijn.
- Non-disclosure agreement (NDA) & data protection agreement (DPA)
Het delen van gegevens of vertrouwelijke informatie is vaak onvermijdelijk bij het zakendoen.
Daarom moet u ervoor zorgen dat u gegevens op een veilige manier deelt, die ook in overeenstemming is met uw gegevensverwerkingsovereenkomsten.
Om contractueel te waarborgen dat de gegevens die u in zakelijke relaties deelt vertrouwelijk blijven, kunt u gebruik maken van geheimhoudingsovereenkomsten. Hierin moet worden vastgelegd welk materiaal zal worden gedeeld, wie de verantwoordelijkheid heeft voor de beveiliging van de gegevens en welke maatregelen de ontvanger moet treffen om aan uw beveiligingsstandaard te voldoen. Neem altijd een clausule op waarin staat dat de derde partij de gegevens niet openbaar mag maken of delen met niet-verbonden partijen.
Een goede manier om gegevens fysiek veilig te delen, is door het gebruik van met een wachtwoord beveiligde documenten, via versleutelde e-mailcorrespondentie of via andere platforms die vereisen dat de gebruikers zich identificeren voordat zij toegang krijgen tot de gegevens.
Documenteer deze contractuele verplichtingen en veiligheidsmaatregelen in een NDA voor prospects of eenmalige transacties. Voor doorlopende zakelijke relaties of lopende projecten raden wij u aan deze verplichtingen op te nemen in uw overeenkomsten voor gegevensverwerking.
- Automatiseer en digitaliseer zoveel mogelijk met een betrouwbare partner
Ik vertelde al dat menselijke fouten nog vaak de oorzaak zijn van databreuken of -lekken. Ook de behandeling van vele fysieke documenten verhoogt het risico. Denken we maar aan documenten die gewoon in de vuilnisemmer belanden in plaats van vernietigd te worden. Ze komen dan letterlijk vaak gewoon op straat te staan waar iedereen erbij kan.
Investeer daarom in een software die administratieve processen automatiseert zodat er zo weinig mogelijk menselijke tussenkomst nodig is, die ervoor zorgt dat data worden versleuteld en ze enkel toegankelijk zijn nadat de bevoegde personen zich correct hebben geïdentificeerd.
Providers zoals Penneo zijn bovendien specialisten in de materie en hebben experten die dagelijks de evolutie van databeveiliging volgen en hun oplossingen bijsturen indien nodig. Ze hebben er bovendien een commercieel belang bij om ervoor te zorgen dat alles adequaat is ingericht aangezien ‘vertrouwen’ centraal staat in hun aanbod.