AVG - 15.05.2018

Toegang tot dossiers door onbevoegden, wat nu met de AVG?

U heeft natuurlijk in uw dossiers veel privacygevoelige informatie die direct voor de AVG als persoonsgegevens te kwalificeren is of toch tenminste tot personen herleidbare informatie te bestempelen is. Hoe bent u ingedekt voor de nieuwe AVG per 25 mei 2018?

Voorkomen van hacken

AVG. Wat moet u nu met de nieuwe AVG-eisen per 25 mei 2018 absoluut op orde hebben, zodat u met de genomen maatregelen juridisch sterk staat? Neem de volgende maatregelen om het hackers zo moeilijk mogelijk te maken en de gevolgen van een hack te minimaliseren. Houd ook een logboek bij.

  1. Gebruik complexe wachtwoorden die frequent gewijzigd moeten worden. Wachtwoorden van acht karakters met minimaal een hoofdletter, cijfer en een vreemd teken zijn wel het minimale wat vereist moet worden en een maximale geldigheid van 60 dagen is raadzaam.
  2. Pas Multi-factor Authentication (MFA) toe, dus werk met meervoudige verificatie.
  3. Zorg voor een goed onderhouden en kwalitatief goede firewall en virusscanner.
  4. Zorg dat de poorten die openstaan voorzien zijn van afzendercontrole. Limiteer het verkeer over die poorten tot een absoluut minimum (bijv. een mailserver die een poort-forward heeft die mail hoort te ontvangen van een externe spamfilter, behoeft uitsluitend de poort-forward die van die externe spamfilter mail ontvangt en geen enkele andere.)
  5. Implementeer nieuwe software- en beveiligingsupdates van betrouwbare softwarepartners direct, omdat daarin nieuwe beveiligingsmaatregelen zijn opgenomen ter voorkoming van het ongewenst verkrijgen van toegang.
  6. Breng waar mogelijk scheiding aan in de infrastructuur, zodat een beveiligingsprobleem niet de hele IT-infrastructuur kan besmetten.
  7. Stel vast dat technische opzet en beveiliging van de website, het portaal en de e-mailserver effectieve waarborgen bevatten om inbreuken door derden te detecteren, af te handelen en te registreren.
  8. Ga na (in samenwerking met derde partijen) welke IoT (Internet of Things)-apparatuur aan uw netwerk is gekoppeld, of dit noodzakelijk is en zo ja, of deze apparatuur toereikend is beveiligd voor inbreuken.
  9. Zorg voor maatregelen om bij calamiteiten de continuïteit (op korte en op langere termijn) te kunnen waarborgen en een back-up en recovery van te gebruiken/gebruikte gegevens.

Aanpakken van het datalek

Hack. Bij een hack is er sprake van een inbreuk op de beveiliging. U moet vaststellen of u kunt uitsluiten dat de hackers bij dossiers gekomen kunnen zijn of bij andere plaatsen waar persoonsgegevens of tot personen herleidbare gegevens opgeslagen zijn.

Datalek. Kunt u dat niet uitsluiten, dan is er een datalek. Als de hacker tot bij dossiers is kunnen komen, zal er snel sprake zijn van een hoog risico ‘voor de rechten en vrijheden van natuurlijke personen’. Dossiers bevatten doorgaans de basis persoonsgegevens, maar ook vaak financiële, juridische en andere persoonlijke gegevens.

Hoe melden? Doe uw melding via het ‘Meldloket datalekken’ van de Autoriteit Persoonsgegevens. https://autoriteitpersoonsgegevens.nl Vaak zal dan geconcludeerd moeten worden dat u ook de bij de dossiers betrokken personen moet informeren.

Bij een hack is het niet aannemelijk dat het achteraf nemen van maatregelen ervoor zou kunnen zorgen dat er geen melding hoeft te worden gedaan bij de betrokkene. De persoonsgegevens waren immers al toegankelijk voor de hacker (tenzij vooraf passende maatregelen zijn genomen, zoals bijv. versleuteling).

Werk volgens onze lijst met negen maatregelen. Gebruik dus complexe wachtwoorden die ook frequent gewijzigd worden. Werk met meervoudige verificatie, enz. Houd een logboek bij van de maatregelen die u heeft genomen. Zo staat u juridisch sterk.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01