De AVG – in het Engels GDPR – blijkt een goede stok achter de deur te zijn om bedrijven beter over security te laten nadenken. Niet alleen om nú de omgang met gevoelige data en de beveiliging ervan op orde te krijgen en als het dat is dat ook zo te houden. Maar ondanks de gigantische publiciteit rond de AVG is bij de meeste organisaties hun security nog niet op orde. Soms zijn organisaties zelfs nog niet eens op het punt dat zij zich realiseren dat er vanwege de AVG iets aan security moet gebeuren.

Geen checklist
De maatregelen die de AVG vereist gelden voor alle organisaties, ongeacht hun formaat.
Maar die maatregelen mogen proportioneel zijn, dat wil onder meer zeggen dat ze binnen de financiële mogelijkheden haalbaar moeten zijn. Een organisatie kan dus zelf bepalen hoe ver de securitymaatregelen moeten gaan in het licht van de beperkingen die er nu eenmaal zijn – financieel, organisatorisch, technische kennis, beschikbaarheid van securityexperts, etc. Dat wil niet zeggen dat de AVG een checklist is, waar je vinkjes bij maatregelen zet en klaar is Kees. De AVG vraagt vanaf 25 mei voortdurend aandacht om de omgang met data veilig te houden.

Eenvoudig en betaalbaar
Nu zijn er twee relatief eenvoudige en betaalbare technische maatregelen die elke organisatie in betrekkelijk korte tijd kan nemen om de meeste ellende buiten de digitale deur te houden: encryptie en two-factor authenticatie (vooral voor mail!). Versleuteling van alle data (niet alleen persoonsgegevens!) bemoeilijkt ongeoorloofde toegang tot deze data aanzienlijk. En beschermt daarmee tegen ongeoorloofde of onrechtmatige verwerking zoals de AVG eist. Two-factor authenticatie beschermt toegang tot systemen en gegevens met iets dat je weet (een wachtwoord), en met iets wat je hebt. Bijvoorbeeld een smart card of een smartphone. Daar kan een SMS met een verificatiecode naartoe worden gestuurd of een speciale app laat een verificatiecode zien. Deze twee stappen maken het veel moeilijker voor cybercriminelen en –spionnen om binnen te komen.

Vervolgstappen
Een belangrijke vervolgstap is het op orde brengen van de detectie. Als er iemand binnendringt moet dat zo snel mogelijk gezien worden. Alleen dan kan je tijdig in actie komen om de schade binnen de perken te houden. Ook op dit gebied kan een organisatie al direct stappen ondernemen door log-bestanden bij te houden én die ook te checken. Dat laatste wordt nog te vaak vergeten! In het kader van de AVG, is wat wij noemen, ‘forensic readiness’ nodig. Dat wil zeggen dat de organisatie voorbereidingen heeft getroffen om voortdurend zicht te hebben op wat gebeurt, kan terughalen wat er gebeurd is. Daarbij gaat het om maatregelen op vier essentiële gebieden: technisch, organisatorisch, processen en mensen. Voorbeelden van organisatorische maatregelen zijn het opstellen van een securitystrategie en –beleid en de screening van medewerkers op sleutelposities, zoals systeembeheerders. Op procesgebied kan het gaan om het intrekken van rechten na uit dienst treden, het aanpassen van rechten na en functiewisseling en het invoeren van het vier-ogen-principe voor zeer gevoelige werkzaamheden. Securitytraining en –voorlichting zijn maatregelen die mensen betreffen.

Technisch-economische barrière
We zien nu in de praktijk dat op deze drie gebieden de zaken meestal al beter geregeld zijn. Dat is zeker bemoedigend. Daarentegen zijn de maatregelen op technisch gebied vaak nog zwak. Soms is zelfs niet eens duidelijk waar welke informatie staat. In die gevallen is er nog erg veel werk aan de winkel voordat aan de AVG-eisen wordt voldaan.
Maar we zien bij bedrijven geregeld ook een technisch-economische barrière die het nemen van adequate technische maatregelen in de weg staat. Dat zijn oude IT-infrastructuren die niet zo eenvoudig zijn te vervangen voor iets wat veiliger is. Dat kan een zuiver technische reden hebben of het kan gewoonweg te duur zijn. Bij een eventuele beoordeling of de genomen securitymaatregelen ‘passend’ zijn zal dit ongetwijfeld meewegen. Overigens kom je in deze situatie met two-factor authenticatie en data-encryptie een heel eind. En dat er – aantoonbaar! – wordt nagedacht over beveiligingsmaatregelen is al een pré.

Als het warm is…
Een andere barrière waar organisaties tegenaan lopen is het gebrek aan bereidwilligheid van werknemers om security serieus te nemen. Two-factor authenticatie is hoe dan ook extra gedoe. Hetzelfde geldt voor wachtwoorden. Als je die om de haverklap moet wijzigen en dan ook volgens bepaalde regels (hoofdletters, bijzondere tekens, meer dan 12 karakters, enz.) dan neem je voor het gemak gewoon weer hetzelfde password. Alles versleutelen? Laat maar, allemaal extra gedoe. Toch is hier maar één oplossing: hier zal iedereen mee moeten leren leven. Ook als het warm is moet je op de motor een helm dragen en in de auto is een veiligheidsgordel verplicht. En dat is niet voor niets!


Bron: https://www.fox-it.com/nl/insights/blogs/blog/avg