Alles over de GDPR

Op deze pagina vind je artikelen die je helpen de GDPR te begrijpen. Verder worden er mythen ontkracht, ontdek je wat belangrijk is om GDPR-compliance te bereiken en hoe je efficiënt omgaat met overtredingen.

Inhoudsopgave

01

Drie veelvoorkomende misverstanden over de GDPR

02

De drie belangrijkste zaken die je moet regelen om GDPR-compliant te worden

03

Waarom e-mailen grote risico's met zich meebrengt onder de GDPR?

04

Hoe voorkom je snel een GDPR-boete?

05

Welke vorm van 2FA moet ik gebruiken onder de GDPR?

06

Het melden van een datalek: welke stappen doorloop je?

07

Veilig mailen door ZIVVER

Introductie

Alles_over_de_GDPR_ZIVVER_NL_blog-1

De GDPR (ook wel AVG genoemd) is de meest uitgebreide set regels voor bezit, opslag, verspreiding en bescherming van persoonsgegevens ter wereld. Voorheen profiteerden sommige bedrijven van het gebruik van deze gegevens, zonder dat zij hier uitdrukkelijke toestemming voor hadden. De GDPR is in het leven geroepen om daar een einde aan te maken. Om de definities en processen vast te leggen met betrekking tot het universele recht op privacy. En natuurlijk om organisaties die deze wet overtreden, verantwoordelijk te houden.

01

Drie veelvoorkomende misverstanden over de GDPR

rick_closeup

Rick Goud

CEO

ZIVVER_safe-mailing_app

 

Het zal je niet zijn ontgaan: sinds 25 mei 2018 is de nieuwe privacywet, de AVG, van kracht. Mensen zijn zich steeds meer bewust van hun privacyrechten en verwachten ook van bedrijven dat er op een goede manier met hun persoonsgegevens wordt omgegaan. We merken dat er nog veel misverstanden over de AVG zijn bij ondernemers. Daarom drie veelvoorkomende misverstanden op een rij, gevolgd door een privacy check om te zien of jouw bedrijf al AVG-proof is.

 

Misverstand #1: De AVG is niet op mij van toepassing

Een grote misvatting is dat de AVG alleen geldt voor grote bedrijven die met veel data werken, maar niets is minder waar. De AVG is een Europese wet die geldt voor álle bedrijven, verenigingen en stichtingen die persoonsgegevens verwerken. Zowel voor grote multinationals zoals Shell en Unilever als voor MKB-ondernemers en zzp’ers - en alles daar tussenin. Dus ook als (kleine) ondernemer ben je verplicht om aan de AVG te voldoen en zul je maatregelen moeten nemen. Je moet namelijk kunnen aantonen dat je je aan de wet houdt.

 

Misverstand #2: Maar ik verwerk helemaal geen persoonsgegevens

Er zijn natuurlijk heel veel soorten persoonsgegevens. De meest voor de hand liggende persoonsgegevens zijn iemands naam, adres, woonplaats, telefoonnummer, geboortedatum, geboorteplaats en e-mailadres. Maar wat betekent het woord verwerken nou precies? Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dit is natuurlijk een ruime definitie. Laten we het even wat concreter maken en als voorbeeld de delicatessenwinkel op de hoek gebruiken. Op kleine schaal ‘verwerkt’ deze MKB-ondernemer ook persoonsgegevens. Op de website van de winkel staat namelijk een contactformulier en ze sturen wel eens een mail naar klanten of een factuur naar bedrijven. Maar denk ook aan arbeidsovereenkomsten en de salarisadministratie. Ook kleine ondernemers verwerken dus persoonsgegevens.

 

Misverstand #3: Ik heb al een privacyreglement, dus verder hoef ik niks meer te regelen

Je bent wettelijk verplicht om tegen je klanten transparant te zijn over hoe je omgaat met persoonsgegevens. Meestal worden klanten hierover geïnformeerd via een privacyreglement. Maar met alleen een reglement ben je er nog niet. Alles wat je in dit document beschrijft of belooft moet je natuurlijk ook doen. Pas dus je beleid en bedrijfsvoering hierop aan. De AVG verplicht je ook om een verwerkingsregister en een datalekregister bij te houden. En als je gebruik maakt van cookies op je website, dan dien je een cookieverklaring te hebben. Er komt dus heel wat bij kijken. Bovendien is voldoen aan de AVG géén eenmalige exercitie. De privacy huishouding binnen jouw onderneming moeten op orde zijn en blijven. De AVG is geen hype die wel weer over waait, privacy zal juist een steeds grotere rol gaan spelen.

In onze checklist kun je zelf al op grote lijnen kijken of jouw organisatie voldoet aan de AVG.

 

Download de checklist

02

De drie belangrijkste zaken die je moet regelen om GDPR-compliant te worden

rick_closeup

Rick Goud

CEO

ZIVVER_safe-mailing_app

 

De General Data Protection Regulation (GDPR) of AVG is een Europese wet die enerzijds de privacy van Europese inwoners beschermt en anderzijds bewustzijn creëert bij het verwerken van persoonsgegevens. Voor jou als CISO levert de wet in eerste instantie veel werk op. 

Het aantal administratieve handelingen dat uit de GDPR voortvloeit is groot, je organisatie geeft nog weerstand en je wil alles zo snel mogelijk in orde maken. Immers, al sinds 25 mei 2018 moet de bedrijfsvoering in overeenstemming zijn met de GDPR.

Dit artikel beschrijft de eerste 3 stappen die elke verstandige CISO of FG nu meteen zet. In onze checklist over GDPR-compliance beschrijven we deze stappen in meer detail en bespreken we ook de noodzakelijke vervolgstappen.

 

GDPR gaat over bewustwording

De wetgever wil dat organisaties nadenken over het verwerken (verzamelen, bewerken en opslaan) van persoonsgegevens. Het maakt hierbij geen verschil of het gaat om gegevens van klanten, leads of medewerkers. In alle gevallen gaat het om persoonsgegevens.

Binnen de GDPR hecht de wetgever dan ook veel waarde aan het beperken van de hoeveelheid persoonsgegevens en het in kaart brengen van risico’s. Ook het nemen van maatregelen om datalekken te voorkomen, het bewijzen van de werking van deze maatregelen en het beperken van schade vormen belangrijke thema’s. Onjuist handelen en het verzwijgen van incidenten kan leiden tot hoge boetes. 

Als gevoelige persoonsgegevens op een plek terechtkomen waar deze niet horen, spreken we van een datalek. In de meeste gevallen zijn datalekken het gevolg van menselijke fouten die medewerkers zonder opzet maken. Denk bijvoorbeeld aan het per ongeluk versturen van een dossier naar een verkeerd e-mailadres of het delen van gevoelige informatie via een publieke dienst. Het ontbreken van een goed privacybeleid werkt deze datalekken in de hand, met alle gevolgen van dien. 

“Het doel van de GDPR is het creëren van bewustwording over hoe op een veilige manier met persoonsgegevens om te gaan. Dit doel blijkt ook uit het feit dat de wetgever een hogere boete geeft voor het niet melden van een datalek, dan voor het datalek zelf.” - Erick van Veghel, CISO.

 

Hoe start je?

Begin met het samenstellen van het juiste team. Organisaties slaan tegenwoordig gegevens voornamelijk digitaal op. Verschillende systemen en applicaties delen deze gegevens onderling. Het team dat de organisatie in lijn gaat brengen met de GDPR-wetgeving moet daarom de juiste disciplines aan boord hebben. Idealiter bestaat het kernteam uit een jurist, een privacydeskundige en een ICT’er. Zij betrekken per afdeling de verantwoordelijke leidinggevenden en inhoudelijke specialisten.

  1. Inzicht verwerven

Advocaat I Chu Chao van HVG Law adviseert om te starten met het in kaart brengen van de huidige datastromen. Omdat dit er zeer veel kunnen zijn, is het verstandig dat je begint bij de belangrijkste of meest gevoelige datastromen. Vragen die je hierbij moet stellen zijn:

  • Welke data verzamelen we op welke plaats?
  • Waar en hoe bewaren we deze data?
  • Wie ontvangt of heeft toegang tot deze data?

Op deze manier krijg je inzicht in de infrastructuur en systemen van je organisatie. 

  1. Impact op de organisatie vaststellen

Zodra je alle datastromen in kaart hebt gebracht, ga je deze spiegelen aan de GDPR door middel van een Gap-analyse. Je kijkt dan naar de huidige situatie en vergelijkt die met de gewenste situatie. Hieruit volgt een reeks maatregelen die noodzakelijk is om de gaten op te vullen. In sommige gevallen zijn hiervoor al bestaande policies beschikbaar die je kunt updaten. In andere gevallen moet je nieuwe regels opstellen. Het is verstandig (maar niet altijd verplicht) om dit te doen op basis van een register.

Verwerkingsregister bijhouden

Werk je binnen een organisatie met 250 of meer medewerkers, dan dien je alle verwerkingen van persoonsgegevens te omschrijven in een intern register. Voor organisaties met minder medewerkers is er enkel een registratieplicht indien:

  • er risicovolle verwerkingen plaatsvinden, bijvoorbeeld automatische profilering voor targeted marketing of een geautomatiseerde afwijzing voor een zorgverzekering.
  • een organisatie gevoelige data verwerkt, denk bijvoorbeeld aan medische gegevens.
  • een organisatie zeer grote hoeveelheden data verwerkt.

Zet je het verwerkingenregister op volgens de richtlijnen, dan voldoe je meteen aan de registratieplicht binnen de GDPR. Het register is vormvrij en kun je bijvoorbeeld bijhouden in een spreadsheet of in een gespecialiseerd softwarepakket. De inhoud van het register is wel gebonden aan regels. Onze checklist over GDPR-compliance geeft hierover meer informatie. Het mag duidelijk zijn dat de informatie in het register up-to-date en volledig moet zijn.

  1. Beleid vormen en in stand houden

Het verwerkingsregister geeft je inzicht in de verwerkte persoonsgegevens en verplicht je om in ieder geval na te denken over welke persoonsgegevens je opslaat, het doel daarvan, de bewaartermijn en de beveiliging ervan. Dit vormt de basis voor het maken van (aanvullend) beleid. Volgens I Chu Chao, advocaat bij HVG Law, wil de wetgever op deze manier er voor zorgen dat we privacy echt serieus nemen en goed nadenken over welke data we waarom willen verzamelen en opslaan. Hierbij geldt het principe van ‘dataminimalisatie’, waarbij we enkel die data opslaan die we echt nodig hebben, met een minimale bewaartermijn. Dit staat haaks op de manier waarop veel organisaties nu werken, in de trant van ‘We slaan alles op en bewaren het zo lang mogelijk, je weet nooit waar het goed voor is’. Als gevolg van deze mindset zien veel bedrijven privacy als een last. Dit illustreert ook dat we misschien wat zijn ‘doorgeschoten’ met het verzamelen van persoonsgegevens. De GDPR corrigeert dit.

Op basis van het register stel je een transparante privacy policy op voor zowel klanten (extern) als voor je werknemers (intern). De policy stel je vervolgens ter beschikking aan alle betrokkenen. Deze policy heeft namelijk als doel de betrokkenen van tevoren te informeren over de door jou verzamelde persoonsgegevens en hen te wijzen op hun rechten. Het document bevat in ieder geval de volgende informatie:

  • De identiteit en contactgegevens van de verantwoordelijke voor de gegevens. In de meeste gevallen is dit jouw bedrijf. Als er een privacy officer is, dan moeten de contactgegevens van de privacy officer ook worden vermeld.
  • Doel van de verwerking van gegevens en de juridische grondslag hiervoor.
  • Ontvangers (derden) van de gegevens. Indien deze gevestigd zijn buiten de Europese Economische Ruimte (EER): welke aanvullende beschermingsmaatregelen zijn er genomen om te zorgen dat doorgifte buiten de EER is toegestaan?
  • De bewaartermijn van de persoonsgegevens.
  • Informatie over de rechten van de betrokkenen, waaronder het recht op beperking, toegang, correctie en verwijdering van de gegevens.
  • Het recht op dataportabiliteit, bijvoorbeeld data kunnen meenemen van de ene organisatie naar de andere.
  • De mogelijkheid tot intrekken van de verwerkingstoestemming, bijvoorbeeld middels de opt-out in een e-mail.
  • Het kunnen indienen van een klacht bij de autoriteiten.
  • Het bezwaar kunnen maken tegen de toepassing van profilering.

Verder bevat een interne privacy policy vaak richtlijnen voor de medewerkers over de omgang met en de beveiliging van (gevoelige) persoonsgegevens binnen de organisatie. Meestal wordt de interne privacy policy opgenomen in het werknemershandboek, wat onderdeel uitmaakt van het arbeidscontract. Daarnaast wordt de interne privacy policy ook vaak beschikbaar gesteld op een intranet of werknemersportaal, zodat hij gemakkelijk is te raadplegen voor medewerkers. 

Om ervoor te zorgen dat alle medewerkers ook daadwerkelijk de regels uit de privacy policy naleven, is het noodzakelijk dat de privacyregels daadwerkelijk gaan ‘leven’ voor de medewerkers. Zij moeten onderdeel uitmaken van hun dagelijkse praktijk. Zo is een herhaalde (praktijkgerichte) training nodig voor álle medewerkers die met persoonsgegevens werken, niet alleen voor de managers. Als je je medewerkers bewust maakt van de mogelijke privacyrisico’s in hun praktijk, en dit combineert met de inzet van laagdrempelige, gebruiksvriendelijke tools waarmee je het risico op incidenten aanzienlijk vermindert, dan heb je al enkele grote stappen gezet richting een GDPR compliant organisatie.

 

Checklist GDPR-Compliance

Deze artikel geeft je een beeld van wat je te wachten staat. Nu is het de hoogste tijd om actie te ondernemen. In onze checklist staan precies die stappen beschreven die je moet nemen naar GDPR-compliance. Het document gaat dieper in op zaken als het opstellen van een verwerkersovereenkomst, het verkrijgen van toestemming voor het verwerken van persoonsgegevens, de te nemen beveiligingsmaatregelen en de meldplicht datalekken.

 

Download de checklist

03

Waarom e-mailen grote risico's met zich meebrengt onder de GDPR

Portret_Rick_2vierkant

Rick Goud

CEO

ZIVVER_safe-mailing_app

 

In 2018 vonden meer dan 22.000 datalekken plaats. Meer dan de helft van deze fouten werd veroorzaakt door menselijk handelen. 

Vanaf het moment van lekken of hacken kunnen criminelen aan de gang met de gegevens. Dat doen ze in het geval van grote aantallen bijna nooit in een keer. En zelfs als hackers niets doen met jouw gegevens, is het gevaar altijd aanwezig dat anderen dat wel gaan doen.

Hieronder een voorbeeld van lekken van persoonsgegevens op grote schaal door een externe fout. Een lek kan natuurlijk ook binnen jouw organisatie door een eigen medewerker veroorzaakt worden.

 Voorbeeld:

Thea werkt bij een groot regionaal ziekenhuis. Zij levert maandelijks een database aan zodat een externe partij een managementrapportage kan maken. In deze database zitten allerlei persoonsgegevens en andere privacygevoelige informatie. Denk daarbij aan namen en burgerservicenummers, maar ook aan DBC’s en doorverwijzingen. Om deze omvangrijke en vooral gevoelige data te versturen heeft Thea meerdere opties. Ze kan de data in kleine delen via de ‘normale’ e-mail versturen, een USB-stick per post sturen of gebruikmaken van een publieke online oplossing voor grote bestanden.

En dan gaat het mis. Thea kiest ervoor om de data vanuit Outlook via de e-mail te versturen, zoals ze dit altijd doet. Ze tikt ‘Ro’ in en het e-mailprogramma vult de naam aan. Ze drukt op ‘verzenden’ en de e-mail is de deur uit. De data gaan echter niet naar Robbert van de externe partij, maar naar Roos van de thuiszorgorganisatie waar Thea ook veel mee mailt.

Duizenden gevoelige gegevens liggen op straat. De schade is niet te overzien. Door de onjuiste ontvanger te selecteren gaf Thea ‘onrechtmatig’ toegang. Alle betrokkenen moeten op de hoogte worden gesteld en de CISO van het ziekenhuis moet het datalek melden bij de Autoriteit Persoonsgegevens.

 

Schering en inslag

Dergelijke data-incidenten zijn binnen veel organisaties schering en inslag, maar komen lang niet altijd aan het licht. De oorzaak van deze incidenten is meestal tweeledig. Enerzijds zijn medewerkers zich niet bewust van de gevolgen van hun handelen. Anderzijds beschikken veel organisaties niet over systemen om e-mails en bestanden veilig te versturen.

 

Vijf redenen waarom lekken via e-mail haast onvermijdelijk is

 E-mail is een van de meest gebruikte communicatiemethoden binnen organisaties, en tegelijkertijd ook een van de meest foutgevoelige. Hoe komt het toch dat beveiligingslekken via e-mail zo vaak voorkomen? Lees hieronder meer over de vijf meest voorkomende redenen.

  • E-mail is niet standaard goed beveiligd
    Bij veel organisaties worden e-mails niet standaard beveiligd en gaat alle e-mail onversleuteld rond. Dit betekent dat iedereen die de e-mail krijgt, deze ook kan lezen. Dus ook iemand die de e-mail onterecht binnen heeft gekregen.

    Ook bijlagen zijn vaak niet beveiligd. Terwijl werkmappen in Excel, Word-documenten en PDF-bestanden eenvoudig te vergrendelen zijn met wachtwoorden. Voor de veiligheid zouden de gebruikers de wachtwoorden niet per e-mail, maar op een andere manier (bijvoorbeeld per sms) naar de ontvanger moeten sturen. In de praktijk doet bijna niemand dit, waarschijnlijk omdat dit extra tijd kost.
  • E-mail is niet traceerbaar
    Stel: je wilt een e-mail versturen naar collega Jansen. Nadat je op de verzendknop hebt gedrukt, besef je dat je de e-mail per ongeluk hebt verstuurd naar iemand die wel Jansen heet, maar die bij een andere organisatie werkt. Vanaf dat moment is het hek van de dam. Niemand kan nog achterhalen wat er met de gegevens in de e-mail gebeurt. Wordt de e-mail ongelezen weggegooid of wordt deze doorgestuurd? 

    In de praktijk is dit een groot probleem. Op het moment dat je niet meer kunt achterhalen wie de gegevens allemaal heeft gezien, heb je geen controle over de informatie. De mogelijkheid tot het intrekken van foutief verzonden e-mails is er vaak niet. Laat staan dat er technische mogelijkheden zijn om inzicht te krijgen in de datastroom die op gang is gekomen.
  • Interne e-mail krijgt minder aandacht
    Ook een lek binnen jouw organisatie ontstaat vrij gemakkelijk. Een aantal medewerkers overlegt over een behandelplan voor een patiënt. De hele organisatie wordt meegenomen in de CC en iedereen weet wat de patiënt mankeert.

    De kans dat gevoelige informatie ‘op straat’ terechtkomt, is bij het gebruik van interne e-mail kleiner. Helaas is dat voor de wet geen criterium: een e-mail met gevoelige informatie moet je altijd veilig versturen, ook als de e-mail binnen eigen muren blijft. 
  • Standaard e-mailboxen zijn eenvoudig te hacken
    Het kan een minister of de Democratische partij in de VS overkomen, dus waarom zou het jou niet gebeuren? Er wordt een mailbox gehackt. Vaak gebeurt dit omdat de beveiligingsmaatregelen niet adequaat zijn. Het e-mailaccount van minister Kamp werd gekraakt door middel van phishing. Soms krijgen computercriminelen toegang tot het e-mailaccount omdat het een zwak wachtwoord heeft of omdat er geen tweede factor authenticatie is gebruikt. Je wilt niet dat iemand die onrechtmatig toegang krijgt tot de inbox ook meteen toegang heeft tot alle informatie die in deze inbox staat. 
  • Medewerkers zijn zich niet bewust van het belang van veilig e-mailen
    De gemiddelde medewerker ontvangt tientallen e-mails per dag. E-mail is een automatisme. Dit betekent dat medewerkers onbenullige zaken (zoals taart omdat Johan jarig is) bijna op dezelfde manier communiceren als cliëntgegevens of een nieuwe inkoopovereenkomst. Medewerkers zijn zich er niet van bewust dat ze gevoelige informatie op een andere manier moeten behandelen dan andere e-mail. Vrijwel alle datalekken met e-mail zijn het gevolg hiervan. Eigenlijk is de mens de zwakste schakel en de oorzaak van bijna alle lekken via e-mail.

Moet je e-mail nog wel een plaats geven binnen jouw organisatie?

Als je dit leest, lijkt het haast alsof e-mail per direct verbannen moet worden uit de organisatie. Dat is zeker niet zo. Met het oog op de GDPR is het wel van groot belang om na te denken over hoe e-mailen binnen en vanuit jouw organisatie veiliger kan.

 

Technische tips om veiliger met e-mail om te gaan:

  • Voorzie e-mails standaard van goede versleuteling. Dit zorgt ervoor dat alleen jij en het contact waarmee je communiceert de e-mails kunnen lezen.
  • Zorg ervoor dat alleen de bedoelde ontvangers toegang hebben tot de informatie.
  • Zet software in die waarschuwt wanneer een e-mail naar een verkeerde ontvanger lijkt te gaan.
  • Bied de mogelijkheid om een bericht in te trekken als het fout is gegaan.

 

Zorg voor bewustwording rondom privacy en de GDPR

 Bewustwording rondom privacy en de GDPR/AVG is een laag die om de noodzakelijke organisatorische en technische maatregelen zit. Dit is zo belangrijk omdat 46% van de datalekken ontstaat doordat medewerkers niet bewust omgaan met gevoelige gegevens. Maar hoe pak je dit aan? In dit e-book geven wij een antwoord op deze vraag en geven je praktische tips.

 

download het e-boek over bewustwording

shutterstock_317833073

The EU General Data Protection Regulation - GDPR

04

Hoe voorkom je snel een GDPR-boete?

rick_closeup

Rick Goud

CEO

ZIVVER_safe-mailing_app

 

De General Data Protection Regulation (GDPR) voorziet in torenhoge boetes voor organisaties die onzorgvuldig met persoonsgegevens omgaan. Welke essentiële maatregelen kun je direct nemen om zo’n boete te voorkomen?

De GDPR (General Data Protection Regulation) is van kracht, in Nederland ook wel AVG (Algemene Verordening Gegevensbescherming) genoemd. Deze wet zorgt bij steeds meer organisaties voor consternatie. Hij brengt immers een groot aantal eisen en verplichtingen met zich mee en voorziet bovendien in hoge boetes voor organisaties die er niet op tijd in slagen daar aan te voldoen.

Onlangs sprak ik hierover met Ans Duthler van Duthler Associates, die bedrijven onder meer op dit gebied adviseert. Een van de eerste adviezen die zij klanten geeft, is de nieuwe wetgeving vooral niet als vervelende verplichting te zien. De GDPR is namelijk vooral een kans om de eigen datahuishouding goed op orde te krijgen. Zo plaats je de belangen en (privacy)rechten van de klant, burger of patiënt nog nadrukkelijker in het centrum van de organisatie.

 

Aanstellen kwartiermaker

Een belangrijke eerste stap in deze benadering is volgens Duthler het aanstellen van een Functionaris Gegevensbescherming (FG), in het Engels een Data Protection Officer (DPO) of Chief Information Security Officer (CISO). Als ‘kwartiermaker’ kan die toezicht houden op naleving van de nieuwe wet. Hij of zij zorgt voor het samenstellen en uitrollen van de benodigde road map. Kleine organisaties kunnen hier zelfstandig of in groepsverband, bijvoorbeeld via een branchevereniging, een externe adviseur voor inhuren.

Belangrijk thema binnen de GDPR is accountability. Organisaties moeten precies kunnen laten zien welke persoonsgegevens zij opslaan, en met welk doel. Dat vereist de opzet van een gedetailleerde privacyboekhouding, waarin alle door de GDPR ingegeven keuzes binnen de organisatie worden vastgelegd. Goed startpunt van deze administratie is een gedetailleerde ‘nulmeting’ van de huidige stand van zaken.

 

Nulmeting als uitgangspunt

Maar weinig organisaties weten namelijk precies welke persoonsgegevens ze precies verzamelen, waar ze die opslaan en met wie ze die delen. Daar komt nog bij dat de organisatie moet aantonen dat het gebruik van deze gegevens echt nodig is. Zeer waarschijnlijk levert deze nulmeting dan ook een flink aantal concrete actiepunten op, waarmee de kwartiermaker direct aan de slag kan. 

Een nulmeting is ook een prima startpunt voor het noodzakelijke bewustwordingsproces onder de eigen medewerkers (en dus ook de directie!). Met elke nieuwe actie waarbij persoonsgegevens betrokken zijn, moeten zij zichzelf automatisch een aantal kritische vragen gaan stellen. Om dat bewustzijn binnen de organisatie te stimuleren, kan een kwartiermaker workshops of online seminars organiseren. Of bijvoorbeeld ondersteunende privacytools inzetten.

 

Nooit 100% GDPR-proof

Ook deze maatregelen komen uiteraard terecht in de nieuwe privacyboekhouding. Gezien de brede scope van de nieuwe GDPR-wetgeving, en de betrokkenheid van de mens als onvoorspelbare factor, is de ‘100% GDPR-proof’-organisatie een utopie. Maar de organisatie die kan laten zien dat er serieus werk is gemaakt van de wettelijke verplichtingen, kan er volgens Duthler van uitgaan dat een datalek niet direct leidt tot een hoge boete.

De angst voor een boete is dus niet de belangrijkste reden waarom je de nieuwe wet zou moeten omarmen. Privacy is een steeds belangrijker issue voor de klant, burger of patiënt. Organisaties die hen het gevoel geven dat hun gevoelige persoonlijke gegevens in goede handen zijn, hebben straks een streepje voor op de concurrentie. Zo biedt de nieuwe wet dus een mooie kans voor organisaties om zichzelf als betrouwbaar en klantgericht te onderscheiden.   

Begin daarom zo snel mogelijk met de nulmeting, bepaal je actiepunten en ga op zoek naar ondersteunende software die je helpt die zo effectief mogelijk aan te pakken. Als er onverhoopt toch iets fout gaat, kun je direct aantonen dat je degelijke maatregelen hebt getroffen om een datalek te voorkomen en om de eventuele gevolgen zoveel mogelijk te beperken.

De GDPR-checklist van ZIVVER is een perfect compliance startpunt. Download het hieronder.

 

Download our GDPR checklist

 

 

05

Welke vorm van 2FA moet ik gebruiken onder de GDPR?

rick_closeup

Rick Goud

CEO

ZIVVER_safe-mailing_app

 

Het gebeurt dagelijks: een cliënt is klaar met de behandeling en de data moet overgedragen worden. Dit moet wel veilig. Hoe doe je dat? Om gegevens van een cliënt goed over te dragen, moet de verpleegster het dossier van de cliënt naar een andere organisatie sturen. Het dossier bevat onder andere het burgerservicenummer van de cliënt en is dus gevoelige informatie. Volgens de Algemene Verordening Gegevensbescherming (ook wel General Data Protection Regulation) is het verplicht om gegevens passend te beveiligen. Als de verpleegster het dossier als bijlage van een e-mail verstuurt, is dit niet veilig. Naast dat zij het bericht per ongeluk naar de verkeerde ontvanger kan versturen, kan de ontvanger het bericht eenvoudig doorsturen, of zijn laptop niet vergrendeld achterlaten. Daardoor hebben onbevoegden toegang tot het dossier. Als dit gebeurt, is er sprake van een datalek.

Maar wat is dan wel een veilige manier om gevoelige gegevens te delen? In de praktijk is hier veel onduidelijkheid over. Wanneer kun je spreken van passende beveiliging? Zijn de te nemen veiligheidsmaatregelen afhankelijk van de gegevens die je beveiligt? Misschien geven rechtszaken hier straks duidelijkheid over, maar daar wil je liever niet op wachten.

 

Twee factor authenticatie

Hoe verstuur je de gevoelige informatie op een veilige manier? Hiervoor moet de organisatie werken met TLS, encryptie en twee factor authenticatie. In dit blog gaan we in op de verschillende vormen van twee factor authenticatie. Twee factor authenticatie, ook wel 2FA, is een beveiligingstechniek die twee factoren gebruikt om een computersysteem te beveiligen of om de identiteit van een persoon te controleren. Uitgangspunt hierbij is dat één factor niet genoeg is.

Bij 2FA is de beveiliging beter gewaarborgd door een combinatie van meerdere factoren, zoals:

  • Iets dat de gebruiker weet. Dit is meestal een combinatie van een gebruikersnaam en een wachtwoord of pincode.
  • Iets dat de gebruiker heeft. Bijvoorbeeld het sturen van een sms-bericht met een verificatiecode naar de telefoon van de gebruiker, apps die eenmalige codes of wachtwoorden genereren, hardwaretokens of passen.
  • Iets dat de gebruiker is. Dit betreft de beveiliging door biometrische kenmerken van de gebruiker. Hierbij kun je denken aan een gezichtsfoto (zoals op de iPhone X), een vingerafdruk of een irisscan.

Er zijn dus meerdere vormen van 2FA mogelijk om gegevens te beveiligen. Bijvoorbeeld een wachtwoord en een verificatiecode per sms, een wachtwoord en een vingerafdruk, of een pincode en een pasje. Welke combinatie gebruik je voor welke informatie?

 

Wat zeggen overheidsorganen over 2FA?

Naast de wetgeving is er veel andere documentatie van overheidsorganen over de beveiliging van persoonsgegevens. In deze publicaties geeft de overheid meer richting over het gebruik van 2FA.

Zo heeft de Autoriteit Persoonsgegevens (AP) in 2016 specifiek aangegeven dat ziekenhuizen in patiëntenportalen gebruik moeten maken van 2FA:

‘Ziekenhuizen moeten daarom gebruikmaken van zogeheten tweefactorauthenticatie. Dat betekent dat het niet betrouwbaar genoeg is als patiënten inloggen met alleen een gebruikersnaam en een wachtwoord, maar dat er nog een verificatiemiddel nodig is. Bijvoorbeeld een token of een sms-code.’

Hieruit kun je concluderen dat de AP vindt dat medische gegevens, gevoelige persoonsgegevens volgens de AVG, met 2FA beveiligd moeten zijn. De AP geeft voorbeelden, maar de omschrijft niet duidelijk welke vorm 2FA moet hebben. Het Nationale Cyber Security Centrum (NCSC) verschaft hier meer duidelijkheid over. In een factsheet uit 2015 geeft het NCSC het volgende aan:

‘Het NCSC adviseert om waar mogelijk gebruik te maken van tweefactorauthenticatie. Een andere naam hiervoor is tweestapsverificatie. Dit bestaat uit authenticatie door middel van twee factoren uit verschillende categorieën. Een voorbeeld hiervan is het gebruik van een wachtwoord en een eenmalig te gebruiken authenticatiecode per sms. Een andere mogelijkheid is de combinatie van een vingerafdruk en een wachtwoord. In een enkel geval wordt daar een derde factor aan toegevoegd.’

Op basis van het advies van het NCSC kun je stellen dat het gebruik van bijvoorbeeld twee wachtwoorden niet voldoende is. De tweede beveiligingsfactor behoort dus echt van een andere categorie te zijn dan de eerste.

Nergens in de wet is vastgelegd dat 2FA een verplichting is. Ook is er geen wetgeving of jurisprudentie over hoe 2FA eruit moet zien. Theoretisch mag je 2FA dus op verschillende manieren inrichten. Gezien het duidelijke advies van zowel de AP als de NCSC lijkt het er echter wel op dat je als organisatie een groot risico neemt wanneer je je gevoelige gegevens níet met 2FA beveiligt. Ook loop je risico als je een vorm van 2FA hebt die gebruikmaakt van twee verschillende factoren uit dezelfde categorie (bijvoorbeeld twee wachtwoorden).

 

Conclusie

Concreter dan bovenstaande zijn de Autoriteit Persoonsgegevens en het Nationale Cyber Security Centrum niet. Zij adviseren twee factor authenticatie, maar geven geen duidelijkheid over welke vorm van 2FA je het best kunt gebruiken en in welke situaties je deze het beste kan toepassen. Het is dus van belang om intern beleid te voeren over welke vormen van 2FA het meest passend zijn. Niet alle gegevens zijn even gevoelig, maar in het geval van medische dossiers is het duidelijk dat je ‘passende maatregelen’ moet nemen. Iemands urenregistratie bijvoorbeeld zal een stuk minder gevoelig liggen. Beoordeel de gevoeligheid van de diverse soorten gegevens, en probeer ze te categoriseren. Bepaal welke soort gegevens je 2FA verplicht stelt. Het toepassen van 2FA op jouw eigen account is makkelijk uit te voeren, maar hoe ga je als organisatie om met het communiceren van gevoelige gegevens naar externe partijen? Om terug te komen op het voorbeeld aan het begin van dit blog: wat is het beleid omtrent het versturen van medische dossiers naar andere organisaties? Hoe zorg je ervoor dat de 2FA-methode past bij de ontvanger? Als je gebruikmaakt van ZIVVER stel je dit gemakkelijk in vanuit Outlook. Bekijk deze video of lees er meer over in dit artikel.  

Vergeet ook niet om de medewerkers op de hoogte te stellen van het beleid, zodat zij weten wanneer ze welke vorm van 2FA moeten gebruiken. Aangezien 2FA inmiddels gemeengoed is geworden (bijvoorbeeld de randomreader of een authenticator app), kun je er gelukkig vanuit gaan dat je medewerkers 2FA zonder veel problemen zullen accepteren.

Let op: om je gegevens passend te beveiligen volgens de AVG is er meer nodig dan alleen twee factor authenticatie. Denk bijvoorbeeld aan TLS en encryptie.

 

Zorg voor bewustzijn rondom privacy en de GDPR

Om ervoor te zorgen dat werknemers op de juiste manier met gevoelige gegevens omgaan, is het belangrijk dat zij zich bewust zijn van het belang van veilige informatieverwerking. Dit is zo belangrijk omdat 46% van de datalekken ontstaat doordat medewerkers niet bewust omgaan met gevoelige gegevens. Maar hoe pak je dit aan? In dit e-book geven wij een antwoord op deze vraag en geven we je praktische tips.

 

download het e-boek over bewustwording

06

Het melden van een datalek: welke stappen doorloop je?

rick_closeup

Rick Goud

CEO

ZIVVER_safe-mailing_app

 

Je hoopt de informatie in dit artikel nooit nodig te hebben, want als dat wel het geval is heeft er waarschijnlijk een datalek plaatsgevonden. Helaas is het niet de vraag óf, maar wanneer er een datalek plaatsvindt bij jouw organisatie. Het is dus goed om je hierop voor te bereiden. Met deze stappen weet je zeker dat je niks mist als je een datalek meldt.

 

Datalekken, je kunt ze (haast) niet voorkomen

Laten we vooropstellen dat een datalek onvermijdelijk is. Veel van jouw medewerkers zijn de hele dag met informatie bezig. Ze bellen, sturen faxen, maken printjes en sturen tientallen e-mails. Een datalek is zo veroorzaakt. Een medewerker laat een printje liggen, vergrendelt zijn scherm niet of verstuurt informatie naar de verkeerde ontvanger, en vertrouwelijke informatie is beschikbaar voor onbevoegden.

Als dat gebeurt, moet je het datalek dan melden? Zo ja, welke informatie heb je nodig om dit te doen en wie moet je informeren? Lees meer over de vijf zaken die spelen bij het melden van een datalek onder de AVG.

 

Het melden van datalekken

Wanneer er persoonsgegevens lekken, moet de organisatie dit melden bij de Autoriteit Persoonsgegevens (AP). Maar voordat je dit kunt doen, loop je een aantal stappen door.

 

1.      Zorg ervoor dat je medewerkers weten dat ze een datalek moeten melden

Als het misgaat, moet je het datalek melden. De eerste stap is dat iemand het lek meldt bij de Chief Information Security Officer (of functionaris gegevensbescherming, data protection officer) van de eigen organisatie.

In de praktijk gebeurt dit niet met alle datalekken. Dit kan verschillende redenen hebben. Wellicht zijn de betrokkenen zich er niet van bewust dat zij een datalek hebben veroorzaakt. Een andere reden om een datalek niet te melden heeft te maken met angst voor de eigen positie. Sommige medewerkers gokken er misschien op dat hun fout niet ontdekt wordt.

Dit is misschien wel de moeilijkste stap van het hele meldproces. Medewerkers moeten zich bewust zijn van het belang van een goede bescherming van persoonsgegevens. De cultuur binnen de organisatie kan ervoor zorgen dat medewerkers datalekken durven te melden, ook als ze nalatig zijn geweest. Het melden van een datalek moet makkelijk zijn, bijvoorbeeld via een formulier op intranet.

 

2.      Verzamel informatie over het datalek

Alleen als je weet wat er is gebeurd, kan de CISO bepalen of hij het datalek moet melden bij de AP (Autoriteit Persoonsgegevens). Je hebt in ieder geval de volgende informatie nodig:

Wat is er precies gebeurd?

Om te bepalen of er een beveiligingsincident of een datalek heeft plaatsgevonden, moet je weten wat er precies is gebeurd, en wanneer. Weet je of er een onrechtmatige verwerking van de data heeft plaatsgevonden? Dan is het een datalek. Zo niet, dan is het een beveiligingsincident.

Bijvoorbeeld:

Een van je medewerkers stuurt per ongeluk een e-mail met cijfers van een klant naar de journalist met wie hij wel eens samenwerkt. De journalist heeft direct door dat dit niet de bedoeling is en verwijdert de e-mail zonder er verder iets mee te doen. In dit geval is er een beveiligingsincident geweest, maar kun je aantonen dat er geen onrechtmatige verwerking heeft plaatsgevonden.

Om wat voor soort gegevens gaat het?

Het is van belang om te weten om wat voor informatie het gaat bij dit datalek. Gaat het om gevoelige persoonsgegevens of om data die op andere wijze nadelige gevolgen heeft voor de bescherming van de persoonsgegevens? Het vrijkomen van een BSN kan nadelige gevolgen hebben voor een klant (denk aan identiteitsfraude). Deze informatie heb je nodig om een inschatting te maken van de gevolgen van het verlies van bepaalde gegevens. Denk daarom goed na hoe je erachter gaat komen welke gegevens het datalek betreft.

 

3.      Beoordeel of het datalek moet worden gemeld en beperk de schade

Aan de hand van bovenstaande informatie kun je oordelen of het lek moet worden gemeld. Hiervoor beantwoord je de volgende vraag:

Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan of is niet uit te sluiten dat gegevens onrechtmatig verwerkt zijn?

Ja > Er is sprake van een datalek.  Melding is noodzakelijk.

Nee >Er is geen sprake van een datalek. Melding is niet noodzakelijk

Als je weet dat het een datalek is: beperk de schade dan zo veel mogelijk. Vernietig het verkeerde printje, trek autorisatie in of haal verkeerd verzonden e-mails terug.

 

4.      Meld het datalek bij de AP (indien nodig)

Als je het datalek moet melden, dan kan dit via het formulier bij het meldloket op de website van de AP. Hiervoor heb je de informatie die je bij stap twee verzameld hebt nodig. Daarnaast moet je aan kunnen geven wat de impact van het lek is, of je de betrokkenen al op de hoogte hebt gesteld en welke maatregelen je gaat nemen om een lek in het vervolg te voorkomen.

 

5.      Meld het datalek bij betrokkenen (indien nodig)

Wanneer het noodzakelijk is om het datalek bij betrokkenen te vermelden, dan moet dit volgens de AP ‘onverwijld’ gebeuren. Er zijn geen verder geen aanwijzingen over hoe dit moet gebeuren. Het is belangrijk om goed na te denken over hoe je de betrokkenen, bijvoorbeeld jouw klanten, gaat inlichten. De reputatie van je organisatie loopt immers behoorlijke schade op. Een goede manier is je klanten tips te geven hoe om te gaan met de gevolgen van het datalek. Zorg ervoor dat je communicatieformats hebt klaarliggen die de organisatie snel kan versturen in het geval van een datalek. Denk er ook aan dat als je een overzicht moet geven van de gelekte data, je dit ook op een veilige manier doet.

 

Hoe ga je om met datalekken?

Het zwaartepunt bij het omgaan met de meldplicht datalekken zit vroeg in het proces. Er is namelijk veel bewustzijn in de organisatie nodig. Wil je weten hoe je het bewustzijn van privacy en de AVG in de organisatie vergroot? Download gratis ons e-book.

download het e-boek over bewustwording

07

Secure email solution by ZIVVER

ZIVVER can provide you with a secure email solution, regardless of the size of your business!

rick_closeup

Rick Goud

CEO

ZIVVER_safe-mailing_app

 

ZIVVER is een platform voor veilig mailen met de focus op het voorkomen van datalekken als gevolg van menselijke fouten. ZIVVER beschermt bedrijven tegen de gevolgen van datalekken zoals reputatieschade en AVG-boetes. Ook beschermt het gebruikers tegen ongewenste toegang tot hun berichten.

De voordelen van het invoeren van ZIVVER in jouw onderneming:

  • Live monitoring van ontvangers, e-mail en bijlagen
  • E-mails kunnen intrekken
  • Asymmetrische encryptie
  • 2FA voor het openen van e-mails
  • Outlook plug-in
  • Te gebruiken in je browser en op je mobiele apparaat
  • Ondersteuning voor gastgebruikers
  • Veilige conversatiestarters
  • Corporate guest branding

De beveiligde e-mailoplossing van ZIVVER is de meest uitgebreide en toekomstbestendige dienst op de markt. Implementatie is eenvoudig en de leercurve is minimaal, omdat ZIVVER naadloos met Outlook integreert en de web- en mobiele apps op populaire e-mailprogramma’s lijken. Om het maximale niveau van datalekpreventie te kunnen bereiken, maakt ZIVVER gebruik van asymmetrische encryptie, realtime monitoring van berichtinhoud en de ontvanger(s). Het biedt ook het intrekken van e-mails en de toegang. Bovendien biedt het je de mogelijkheid om de beveiligde emailomgeving aan te passen in de stijl van je bedrijf. Conversatiestarters zijn nog een opt-in-functie waarmee gastgebruikers uitwisseling via e-mail kunnen beginnen in de beveiligde omgeving die je organisatie gebruikt.

 

ZIVVER helpt je organisatie AVG-proof te worden.

Door ZIVVER te implementeren in je organisatie, pak je een van de belangrijkste AVG-vereisten aan; privé-/gevoelige gegevensbescherming. Bovendien is ZIVVER een Nederlands bedrijf. Nederland staat bekend als pionier op het gebied van privacywetgeving. De individuele privacy zit in het Nederlandse DNA en dus ook in ZIVVER. Bovendien is ZIVVER altijd een stap voor door diensten aan te passen voordat er nieuwe wetten worden ingevoerd.

 

Bestanden delen tot 5TB

Een unieke functie van ZIVVER is dat je er tot 5TB aan gegevens mee kunt verzenden. Geen enkele andere dienst ter wereld biedt de mogelijkheid om zulke grote bestanden te delen via een e-mailbijlage. De kans is groot dat je helemaal nooit gebruik hoeft te maken van deze grote capaciteit. Maar het oude gezegde "zeg nooit nooit" is hier belangrijk, omdat bestanden steeds groter worden en opslagoplossingen worden ook steeds groter. Deze optie heb je in ieder geval en je hoeft je nooit zorgen te maken over de grootte van de bestanden die je wil delen via e-mail. Als het in de toekomst zo is dat het delen van bestanden van 5TB dagelijks gebeurt, dan zal ZIVVER je daarbij helpen.

 

De veiligste methode voor emailencryptie

ZIVVER maakt gebruik van symmetrische e-mailencryptie die uit twee sleutels bestaat om een bericht te coderen. Geheime sleutels worden via internet of een uitgebreid netwerk uitgewisseld. Het zorgt ervoor dat mensen die kwaad willen geen toegang krijgen tot het bericht. Het is belangrijk erbij te vermelden dat iedereen met een geheime sleutel het bericht kan ontsleutelen, en dit is de reden waarom asymmetrische codering twee sleutels die bij elkaar horen gebruikt om de beveiliging te verbeteren. Een openbare sleutel is gratis beschikbaar voor iedereen die je een e-mail wil sturen. De tweede persoonlijke sleutel blijft geheim, zodat alleen jij en de ontvanger(s) de e-mail kunnen lezen.

 

Twee-factor-authenticatie (2FA) voor ontvangers

Voor iedere e-mail die via ZIVVER wordt verzonden, moet de ontvanger zich identificeren via twee-factor-authenticatie (2FA). Op deze manier hoef je nooit te twijfelen of het bericht de juiste persoon (of personen) wel bereikt. ZIVVER maakt gebruik van 2FA met een code die wordt verzonden naar mobiele telefoon van de ontvanger, via e-mail of 2FA-apps (zoals Google-authenticator).

Ben je benieuwd naar de positieve impact die de ZIVVER-service op je eigen organisatie kan hebben? Boek een demo en ervaar het zelf.

 

Bekijk de demo video's