Blijf wekelijks op de hoogte van het steeds veranderende security landschap

Welke beveiligingsoplossingen helpen mij te voldoen aan de GDPR?

-

De beveiliging van data speelt een prominente rol in de nieuwe privacywetgeving General Data Protection Regulation (GDPR). In verhouding tot de huidige Wet Bescherming Persoonsgegevens introduceert GDPR aangescherpte regels die verwerkers en verantwoordelijken van persoonsgegevens dwingen om organisatorische en technische maatregelen te nemen ten behoeve van de bescherming van persoonsgegevens. De GDPR omschrijft waarom je persoonsgegevens moet beschermen, maar vervolgens zul je zelf de puzzel moeten gaan leggen welke beveiligingsoplossingen je helpen te voldoen aan de GDPR. Dat is gemakkelijker gezegd dan gedaan. Wij helpen je in dit blog op weg.

Wat zegt de wet over het beschermen van persoonsgegevens?

Omdat de wet onderscheid maakt tussen soorten persoonsgegevens, kan het zijn dat bepaalde gevoelige persoonsgegevens (denk aan BSN, seksuele voorkeur, ras, politieke voorkeur, et cetera) die je als organisatie in het bezit hebt, extra goed beschermd moeten worden.

Naast de bescherming van persoonsgegevens met gedegen beveiligingsmaatregelen wordt ook documentatieplicht en het kunnen voeren van voldoende bewijslast geïntroduceerd voor verwerkers van persoonsgegevens. Als een datalek zich voordoet, moet je als organisatie kunnen aantonen dat je er alles aan hebt gedaan om het lek te voorkomen. Het helpt ook als je kunt aantonen waar het lek is ontstaan. Dat vraagt van de aanwezige IT-oplossingen dat ze je aan die informatie kunnen helpen – en dat jouw IT-specialisten deze informatie binnen no-time in goed leesbare rapporten kunnen aanleveren.

In het kort zegt de GDPR het volgende over welke beveiligingsmaatregelen een organisatie kan nemen:

  • Het pseudonimiseren en encrypten van persoonsgegevens;

    Dit zijn sterke maatregelen om de risico's van datalekken en ook de risico's van bijvoorbeeld 'profiling' te beperken. (Profiling is het verzamelen, analyseren en combineren van gegevens met als doel iemand in te delen in een bepaalde categorie).

    In het bijzonder wordt gewezen op de risico's van het opslaan en verwerken van digitale identifiers en wachtwoorden. Hiervoor zijn aanvullende maatregelen nodig zoals versleuteling en segmentering van systemen of het offline opslaan van gegevens.
  • De mogelijkheid om permanent de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te kunnen garanderen;

    Dit maakt ook duidelijk dat er zowel preventieve, als detectieve maatregelen nodig zijn. Het gebruik van 'security logging' en het periodiek analyseren van logging zijn belangrijke randvoorwaarden om de werking van beveiligingsmaatregelen aan te kunnen tonen.

    Afhankelijk van de gevoeligheid van de verwerking zullen ook technologieën als 'intrusion detection en prevention' en monitoringsystemen overwogen moeten worden. Dit soort systemen zijn in staat hackpogingen te detecteren en ongeautoriseerde toegang tot een informatiesysteem of netwerk te voorkomen.
  • In staat zijn om bij een fysiek of technisch incident, zoals een datalek, de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te kunnen herstellen;

    Periodiek data backups laten draaien is één handige oplossing waar je op kunt terugvallen. Je wilt ten alle tijden logging van wie er wanneer inlogt vanaf welke locatie op jouw systemen.
  • Zorg voor een procedure voor het op gezette tijden testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen die je hebt genomen ten behoeve van de beveiliging van de verwerkingen die je doet.

    Een PIA (Privacy Impact Assessment) geeft inzicht in processen waar persoonsgegevens worden verwerkt. Daarnaast kan periodieke kwetsbaarheden scanning en penetratietesten meer inzicht geven in de staat van de beveiliging.
  • En zorg er bij alle technische maatregelen voor dat deze naar de laatste stand van de techniek zijn ingericht.

    Dit is nogal breed interpreteerbaar. Zorg er in ieder geval dat je een standpunt inneemt over de mate van beveiliging die je toepast op persoonsgegevens. Documenteer je standpunt en mate van beveiliging grondig zodat je ten alle tijden kunt aantonen dat er een plan ten grondslag ligt aan de gekozen beveiligingsmaatregelen.

Welke beveiligingsoplossingen helpen je te voldoen aan de GDPR?

Onderstaande matrix is opgesteld door ESET en laat zien welke beveiligingsoplossingen volgens onze Security specialisten het beste passen bij veelvoorkomende scenario's.

Risico-beveiligingsmatrix

Klik op onderstaande afbeelding om deze te vergroten.

Risico-beveiligingsmatrix

2FA: 2FA staat voor tweefactorauthenticatie en is een extra beveiligingslaag bij het inloggen op portalen.

Encryptie: het versleutelen van volledige harde schijven en USB-sticks, maar ook verbindingen en bestanden en mappen.

Anti-malware (Ransomware, phishing): Endpoint Security beschermt tegen kwaadaardige software, activiteiten en verbindingen op het systeem.

Endpoint firewall: een firewall op een endpoint (cliënt of server) helpt tegen kwaadaardige verbindingen, die bijvoorbeeld voor het downloaden van ransomware worden ingezet.

Data Loss Prevention: data loss prevention geeft inzicht in het datagebruik op systemen en kan datalekken helpen voorkomen.

Kwetsbaarhedenscan: het scannen van kwetsbaarheden vanaf het internet of op de interne netwerkomgeving helpt snel inzicht te geven in waar de grootste beveiligingsrisico's zitten.

Software updates beheren (Patch management): patch management geeft inzicht in waar kwetsbaarheden in aanwezige software zitten. Daarnaast laat het weten wanneer er een update of een patch beschikbaar is.

VPN: VPN staat voor Virtual Private Network. Een VPN verbinding verzorgt een beveiligde tunnel over het internet tussen bijvoorbeeld een laptop en het interne netwerk van de bedrijfsomgeving. Het is ook raadzaam hier 2FA op toe te passen.

MDM: mobile device management geeft centraal beheer over het gebruik van bijvoorbeeld smartphones en tablets voor bedrijfsdoeleinden.

Aan de slag met de IT-uitdagingen van jouw organisatie

Encryptie is een door de wet aanbevolen technische oplossing die bijdraagt aan 'compliancy'. Wil je weten welke essentiële stappen je nog meer kunt zetten in de verdere voorbereiding op de wetgeving? Meld je dan nu aan voor de podcast waarin GDPR IT-uitdagingen worden aangegaan.

GDPR podcast: concrete manieren om GDPR IT-uitdagingen te overwinnen