Privacy en Security en de relatie tussen beide

Zie ook de originele publicatie op Legal Business World Magazine

OVER DE RELATIE TUSSEN BEIDE

We willen allemaal dat ons eigendom wordt beschermd. Als we onze woning verlaten sluiten we de deur en doen deze op slot, zoals we dat ook doen met onze vervoersmiddelen. Rolluiken, een alarm, cameratoezicht: allemaal maatregelen die we nemen om ervoor te zorgen dat er geen inbreuk op ons bezit wordt gemaakt. 

Vanaf begin jaren 70 hebben we te maken met de digitale revolutie en nam het gebruik van computers gestaag toe. Wachtwoorden, virusscanners, firewalls en cloudoplossingen deden hun intrede. Waar we voorheen een post-it op de monitor hingen als reminder voor login gegevens, zijn er nu geavanceerde oplossingen beschikbaar voor de opslag van wachtwoorden. Want ook hier is het zo dat we onze bezittingen willen beschermen voor onbevoegden.

Met het oog op de officiële invoering van de AVG van 25 mei jl., is de Algemene Verordening Gegevensbescherming (AVG) van
toepassing en geldt een beveiligingsverplichting voor iedere organisatie. Op grond van artikel 32 dienen zowel de verwerkingsverantwoordelijke als de verwerker passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. 

Maar wat zijn passende maatregelen en wanneer spreek je van een datalek?
Als we dezelfde analogie nemen met de woning, dan gaat het erom waarom we de deur sluiten. Wat je precies wilt beschermen en
welke waarde vertegenwoordigd wordt van hetgeen je wilt beschermen. Dat geldt ook voor digitale gegevens. Voor 800 euro kun je een ‘volledige identiteit-kit’ kopen op internet, bestaande uit een Nederlands paspoort, rijbewijs en ID-kaart. Als er ergens bij een gemiddeld bedrijf van ongeveer 1.000 medewerkers de ID’s op een locatie zijn opgeslagen is het, ongeacht wat je van de prijs vindt, natuurlijk van groot belang dat deze gegevens dusdanig zijn opgeslagen dat het voor een mogelijke aanvaller niet rendabel is om deze gegevens te stelen. Het moet dus minimaal 800.000 euro aan inspanning kosten om bij die gegevens te kunnen om het rendabel te laten zijn om een valse identiteit te bemachtigen.

Kortom: data zijn het nieuwe goud en om die reden erg gewild. Als persoonsinformatie in verkeerde handen valt, kan dit ook ongewenste gevolgen hebben in de vorm van reputatieschade en financiële consequenties voor de organisatie. Omdat de gevaren van falende beveiligingssystemen groot zijn en de gevolgen van cyberincidenten vaak niet te overzien zijn, is nalatigheid op het gebied van informatiebeveiliging tegenwoordig zelfs strafbaar.

Informatiebeveiliging richt zich tevens op het naleven van het beleid met betrekking tot computergebruik, data en elektronische
communicatie:

  • Identiteit en authenticatie: Ben je wie je zegt dat je bent en hoe toon je dat aan?
  • Autorisatie: Wat mag je dan doen?
  • Beschikbaarheid: Kunnen aanvallers diensten en functies beïnvloeden? En zijn data beschikbaar als zij beschikbaar moeten zijn?
  • Vertrouwelijkheid: Kunnen data of communicatie (passief) worden gekopieerd door iemand die daartoe niet geautoriseerd is?
  • Integriteit: Kunnen data of communicatie n(actief) worden gemanipuleerd door iemand die daartoe niet geautoriseerd is?
  • Onweerlegbaarheid, auditbaarheid: Kanworden bewezen dat een bepaalde  actie heeft plaatsgevonden of juist niet heeft plaatsgevonden?

Privacy kan worden geschonden als vertrouwelijkheid van data niet kan worden afgedwongen of gewaarborgd of als het toegangsbeheerproces niet meer werkt of als vertrouwelijke gegevens of persoonsgegevens zijn gecompromitteerd. 

Informatiebeveiliging toen en nu (toegangsbeveiliging, malware)
Vroeger was informatiebeveiliging slechts toebedeeld aan de ICT-afdeling. Vandaag de dag zijn steeds meer afdelingen van de organisatie en zelfs externe bedrijven of landen betrokken bij verschillende clouddiensten. Het risico van het verlies van een
usb-stick of floppydisk in het verleden wordt nu overschaduwd door de invloed van een land op een ander land door middel van bijvoorbeeld de invloed van Google, Microsoft of social media. De risico’s voor bedrijven worden daarbij op een ander niveau bepaald.  

Omdat de digitalisering steeds verder toeneemt en de markt voor de consument via internet groeit, worden ook steeds meer inloggegevens aangemaakt die ook weer via deze clouddiensten worden gedistribueerd. Tegenwoordig is bijna al deze informatie vercijferd en kan hierna niet meer worden gelezen door een ongeautoriseerde. Men ziet wel dat cryptografische oplossingen, die in het verleden zwakker waren, nu ineens gelezen kunnen worden met behulp van nieuwe technieken. Hoe gaat dat straks met de komst van bijvoorbeeld een kwantumcomputer? En wat als deze computer ook nog eens door criminele organisaties kan worden gebruikt?

Met de komst van de AVG is hier overigens wel rekening mee gehouden, maar het is nog lastig om daar een goed antwoord op te formuleren. Alleen met de juiste monitoring van de effectiviteit van de huidige maatregelen kan tijdig worden ingegrepen.

Menselijke aspecten rond informatiebeveiliging
Een ketting is net zo sterk als de zwakste schakel. Bij informatiebeveiliging is de zwakste schakel vaak de menselijke factor. Een voorbeeld van een ernstig datalek heeft zich in december 2015 voorgedaan bij een bekend Nederlands ziekenhuis. Een onderzoeker bleek de medische gegevens van 780 patiënten onversleuteld te hebben gekopieerd naar een harde schijf. Vervolgens werd deze schijf gestolen uit de kofferbak van zijn auto.

In maart 2016 heeft de onderzoeker het incident pas gemeld. Hierop heeft het ziekenhuis een melding van een datalek bij de Autoriteit Persoonsgegevens (AP) ingediend en heeft de betrokkenen ingelicht en aanvullende maatregelen genomen. Een pijnlijk incident omdat hier bijzondere persoonsgegevens zijn gelekt en de interne procedures niet zijn opgevolgd. Privacy en de beleidsregels voor informatiebeveiliging zijn beide geschonden. Naast het feit dat momenteel hoge boetes door de AP kunnen worden opgelegd is de reputatieschade groot. Als een gedupeerde betrokkene de media benadert en het datalek openbaar maakt, kan het imago van een organisatie flink worden aangetast. Bedrijven zouden zich hiertegen kunnen wapenen en, binnen de grenzen, tijdig openheid van zaken geven omtrent het datalek. De betrokkenen moeten op de hoogte worden gesteld en maatregelen zullen moeten worden genomen of worden bijgesteld om een dergelijk incident te voorkomen in de toekomst.

De meest voorkomende manier van datalekken is het versturen van een e-mail naar de onjuiste persoon. Als deze mail persoonsgegevens bevat, is er sprake van een datalek. Persoonsgegevens zijn terechtgekomen bij een onbevoegde en dat is geen prettig idee. Reputatieschade kan alleen beperkt worden als er snel wordt geacteerd met de juiste boodschap. In het verleden heeft een beursgenoteerd bedrijf als gevolg van een datalek veel schade ondervonden, doordat de beurswaarde was gedaald. Eenzelfde datalek bij een ander beursgenoteerd bedrijf richt geen enkele schade aan doordat er op de juiste wijze wordt gehandeld binnen een acceptabel tijdsbestek. De juiste communicatiemiddelen kunnen hierop een grote invloed hebben.

Organisatorische en technische maatregelen
In een verwerkersovereenkomst wordt van de verwerker verwacht dat deze adequate en technische maatregelen neemt om de persoonsgegevens, die zij verwerkt, te beschermen tegen verlies of enige vorm van onrechtmatige verwerking.

Als de verantwoordelijke de verwerking van persoonsgegevens uitbesteedt aan een (sub-) verwerker, dan dient de verantwoordelijke ervoor in te kunnen staan dat de verwerker een passend beveiligingsniveau kan bieden en zal de verantwoordelijke daar toezicht op moeten houden. Wanneer de verwerking van persoonsgegevens uit handen wordt gegeven zal een passend beveiligingsniveau van kracht moeten blijven. In de verwerkersovereenkomst is op grond van artikel 28 lid 3 onder c AVG opgenomen dat de verwerker verplicht zorg zal moeten dragen voor passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.

Stel, het risico voor een bedrijf is het buit maken van gevoelige bedrijfsinformatie door het stelen van laptops van medewerkers. Dan zou een technische maatregel kunnen zijn het invoeren van harddiskencryptie op iedere werkplek. Een organisatorische maatregel zou kunnen zijn dat het beleid van de organisatie erop is ingericht dat het niet is toegestaan dat medewerkers hun laptop onbeheerd achterlaten. Het bewustzijn binnen de organisatie is enorm belangrijk en zal in alle bedrijfsafdelingen aanwezig moeten zijn om de genomen maatregelen succesvol na te kunnen streven.

Een aantal organisatorische maatregelen is:

  • Het naleven van een gedragscode (code of conduct)
  • De mogelijkheid om beveiligingslekken te kunnen melden en daar opvolging aan te geven
  • Een sanctiebeleid bij het niet naleven van het beveiligingsbeleid
  • Periodieke controles van toegangsrechten

Technische maatregelen kunnen (o.a.) bestaan uit:

  • Het afdwingen van een sterk wachtwoord bij inloggen
  • Encryptie van persoonsgegevens
  • Two-factor authentication bij toegang tot gegevens
  • Een Sms-alert naar de beheerder van de firewall bij een mogelijke aanval of dreiging

Ondanks de implementatie van de juiste maatregelen is het onmogelijk om 100% garantie te geven op de beveiliging. Een deel van de maatregelen kan ook correctief worden behandeld. Hierbij kan worden gedacht aan een overvaller die zijn buit alsnog verkrijgt doordat hij iemand bedreigt. In die gevallen kan een verzekeraar de schade vergoeden. Dat is dan de correctieve maatregel. Uiteraard is de emotionele schade niet zo eenvoudig te compenseren.

De AVG & Meldplicht datalekken
In de AVG is een datalek omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Kern daarbij is dat het moet gaan om een beveiligingsincident dat betrekking heeft op persoonsgegevens. Zijn er geen persoonsgegevens in het spel, dan is er geen sprake van een datalek als bedoeld in de AVG.

Veel datalekken worden veroorzaakt door menselijke fouten. Een aantal oorzaken is bijvoorbeeld het kwijtraken van een usb-stick of een laptop die niet voldoende beschermd is tegen de toegang van onbevoegden of het doorsturen van een vertrouwelijke e-mail, die naar een onjuist e-mailadres wordt verstuurd. Denk ook aan lekken die minder voor de hand liggen, zoals een nieuwe in productie genomen webserver waarop in een directory per ongeluk klantgegevens in een Excelbestand zijn achtergebleven.

Zoals bekend is er ook veel criminaliteit mee gemoeid. Denk aan phishing van inloggegevens voor internetbankieren, waar velen van ons regelmatig mee te maken krijgen of nieuwe, door virusscanners nog onbekende malware die is achtergelaten op je computer, waarmee allerlei informatie wordt buitgemaakt of waarmee zelfs je pc of telefoon kan worden overgenomen zonder dat je daar als eindgebruiker iets van merkt.

Natuurlijk zijn er oplossingen die het bovenstaande kunnen voorkomen, detecteren of achteraf kunnen oplossen. Dat zijn dan de eerder genoemde organisatorische en technische maatregelen, die in een verwerkersovereenkomst worden genoemd.

Eerder hebben we het gehad over passende maatregelen in termen van kosten, maar wat als je ook de tijd meeneemt? Bij een preventieve maatregel zorg je ervoor dat de dreiging zich niet kan voordoen en de hacker buiten de deur blijft. Maar als hij onverhoopt toch binnen is, dan is het handig als je dat kunt detecteren om vervolgens acties te kunnen ondernemen om de schade te beperken. Als de hacker dan uiteindelijk toch nog in staat is zijn doel te bereiken, hoe krijg je die dan voor het gerecht? Welke correctieve maatregelen kun je nog nemen om uiteindelijk jouw recht te krijgen? Hoe sneller je bent, hoe goedkoper het is. Daarom begint het met je identiteit en je bezit. Als niemand weet wat je bezit en niemand je gegevens kan achterhalen, dan is dat de beste te realiseren maatregel.

Daarom is en blijft het beschermen van je privacy de hoogste prioriteit en daarmee de meest effectieve kostenbesparing voor personen en bedrijven.

Wil je meer weten over hoe je kosteneffectief en pragmatisch de beste oplossing voor jou kunt kiezen?