Passende beveiliging: verschil tussen versies

In de AVG is in artikel 32 opgenomen dat iedere organisatie verplicht is 'passende technische en organisatorische maatregelen' te nemen om de persoonsgegevens te beveiligen. Dit is van belang voor de bescherming van persoonsgegevens. Wanneer een organisatie persoonsgegevens verwerkt is het van belang dat deze gegevens worden beveiligd tegen bijvoorbeeld het hacken van de bestanden. Wat passend is, is afhankelijk van meerdere aspecten: de organisatie, de specifieke verwerking van persoonsgegevens en de kwetsbare onderdelen die zijn geïnventariseerd. Hiervoor is niet een 'one-size-fits-all' plan waarmee iedere organisatie voldoet.

In artikel 32 van de AVG wordt beschreven welke maatregelen dat zijn. Er wordt bijvoorbeeld gesteld dat organisaties een passend beveiligingsniveau moeten hanteren, rekening houdend met:

• de stand van de techniek;
• de kosten;
• de aard, de omvang, de context en het doel van de verwerking.

Eigenlijk is het de bedoeling dat een organisatie de balans vindt tussen enerzijds het risico van de verwerking en anderzijds de maatregelen om voor een goede beveiliging te zorgen. Een organisatie moet niet alleen rekening houden met de technische aspecten van de beveiliging, maar ook met de kosten en de gevoeligheid van de gegevens. Er moet ook kritisch worden nagegaan hoe de organisaties met persoonsgegevens omgaat. De AVG maakt aldus een onderscheid tussen technische en organisatorische maatregelen.

Technische beveiligingsmaatregelen

Voorbeelden van technische beveiligingsmaatregelen:

• 2FA (twee-factor-authenticatie). Dit houdt in dat naast het invoeren van een wachtwoord nog een extra verificatie nodig is om in te loggen op bijvoorbeeld een systeem, zoals een verificatiecode of het tonen van een personeelspas.
• Gegevens versleutelen (encryptie).
• Hashing gebruiken als methode om persoonsgegevens te pseudonimiseren.
• Veilige wachtwoordpraktijken. Dit houdt onder meer in dat er eisen worden gesteld aan de lengte van een wachtwoord, dat de wachtwoorden periodiek gewijzigd dienen te worden en dat er gebruik wordt gemaakt van een veilige password manager.
• Logische en fysieke (toegangs)beveiliging en beveiliging van apparatuur. Denk niet alleen aan kluizen en portiers, maar ook aan firewalls, autorisatie en accounts koppelen aan specifieke personen.
• Technisch beheer van de autorisaties en het bijhouden van logbestanden.
• Beheer van technische kwetsbaarheden ('patch management').
• Software up-to-date houden, zoals browsers, virusscanners en besturingssystemen.
• Back-ups maken waarmee u de beschikbaarheid en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft, zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt.
• Verouderde gegevens automatisch verwijderen.

Encryptie

De AVG benadrukt in artikel 32 het belang van encryptie als potentiële beveiligingsmaatregel. Encryptie, ook wel versleuteling genoemd, is een techniek die geheimhouding van persoonsgegevens garandeert door ze onleesbaar te maken voor onbevoegden. Deze techniek is essentieel voor het waarborgen van de vertrouwelijkheid van gegevens tijdens opslag en verzending. Het hart van encryptie is de sleutel - een unieke code die bepaalt hoe gegevens worden versleuteld en ontsleuteld. Hierbij wordt een onderscheid gemaakt tussen asymmetrische en symmetrische encryptie:

1. Asymmetrische encryptie. Deze vorm van encryptie maakt gebruik van twee verschillende sleutels:
   • Eén openbare sleutel voor versleuteling
   • Eén privé sleutel voor ontsleuteling. Alleen de bezitter van deze privé sleutel kan de informatie ontcijferen.
2. Symmetrische encryptie. Deze vorm van encryptie maakt gebruik van één sleutel voor zowel versleuteling als ontsleuteling. Deze sleutel moet veilig gedeeld worden tussen zender en ontvanger.

In beide gevallen is het van belang een veilige methode te gebruiken voor het uitwisselen van sleutels tussen partijen. Ook is het voor beide methoden van belang dat de sleutel regelmatig wordt bijgewerkt om effectief te blijven. De sleutel dient namelijk de levensduur van de versleutelde gegevens te overleven. Dit betekent dat wat nu als veilig wordt beschouwd, binnen een paar jaar kwetsbaar kan worden. De toenemende rekenkracht van computers vereist steeds sterkere en intelligentere vormen van encryptie. Met goed versleutelde data werken kan in geval van een inbreuk in verband met persoonsgegevens (een datalek) de impact voor de verwerkingsverantwoordelijke en betrokkenen beperken en mogelijke schade minimaliseren.

Organisatorische beveiligingsmaatregelen

Voorbeelden van organisatorische beveiligingsmaatregelen:

• Mensen verantwoordelijkheden toewijzen voor informatiebeveiliging.
• Beveiligingsbewustzijn vergroten bij bestaande en nieuwe medewerkers.
• Procedures opstellen om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen, te evalueren eventueel aan te scherpen.
• Regelmatig de logbestanden controleren.
• Een protocol opstellen voor de afhandeling van datalekken en beveiligingsincidenten.
• Geheimhoudingsovereenkomsten en verwerkersovereenkomsten afsluiten.
• Regelmatig beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
• Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
• Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.

Fysieke beveiligingsmaatregelen

Fysieke beveiligingsmaatregelen zijn alle maatregelen die je neemt om te voorkomen dat onbevoegden fysieke toegang krijgen tot ruimtes waar persoonsgegevens worden verwerkt of bewaard. Net zoals je je huis beschermt met sloten en een alarm, moet je ook werkplekken waar met privacygevoelige informatie wordt gewerkt goed beveiligen. In de praktijk worden deze verschillende beveiligingsmethoden vaak gecombineerd. Dit wordt meerfactorauthenticatie genoemd. Je kunt bijvoorbeeld een toegangspas combineren met een code, of een vingerafdruk met een toegangspas. Deze aanpak zorgt ervoor dat zelfs als één vorm van beveiliging wordt omzeild, de ruimte nog steeds beveiligd blijft door de tweede verificatiemethode.

Toegangspassen

Toegangspassen zijn een van de meest gebruikte methoden om toegang tot gebouwen en ruimtes te controleren. Ze werken met speciale technologie die het mogelijk maakt om bij te houden wie wanneer waar naar binnen gaat. Met een toegangspassysteem kunnen organisaties verschillende toegangsniveaus instellen voor verschillende medewerkers. Zo krijgt niet iedereen toegang tot dezelfde ruimtes, maar alleen tot die ruimtes die nodig zijn voor het werk.

Een groot voordeel van toegangspassen is de flexibiliteit in beheer. Als een pas kwijtraakt of wordt gestolen, kan deze direct worden geblokkeerd. Ook is het mogelijk om de toegangsrechten aan te passen als iemand van functie verandert. Het systeem houdt bovendien automatisch bij wie wanneer welke ruimtes heeft bezocht, wat handig is voor beveiligingscontroles en in het geval van incidenten.

Biometrische toegangscontrole

Vingerafdrukherkenning is een vorm van biometrische toegangscontrole die steeds vaker wordt toegepast. Deze technologie gebruikt unieke kenmerken van iemands vingerafdruk om toegang te verlenen. Het grote voordeel hiervan is dat een vingerafdruk niet kan worden uitgeleend of doorgegeven aan anderen, zoals dat wel kan met een toegangspas of code.

Het gebruik van vingerafdrukken brengt echter ook uitdagingen met zich mee. Omdat een vingerafdruk een bijzonder persoonsgegeven is, moet de opslag en verwerking ervan extra goed worden beveiligd. Ook is het belangrijk om te bedenken dat als een vingerafdruk wordt gekopieerd, deze niet kan worden veranderd zoals een wachtwoord. Bovendien werkt het systeem niet altijd even goed bij mensen met verwonde of versleten vingers, bijvoorbeeld bij mensen die veel handwerk doen.

Toegangscode

Een toegangscode is een van de oudste maar nog steeds veel gebruikte beveiligingsmethoden. Het werkt met een combinatie van cijfers of letters die toegang geeft tot beveiligde ruimtes. Voor een effectieve beveiliging met toegangscodes is het belangrijk dat deze regelmatig worden veranderd en dat ze lang genoeg zijn - minimaal zes cijfers is tegenwoordig de standaard.

Bij het gebruik van toegangscodes is het belangrijk dat medewerkers begrijpen dat ze de codes niet mogen delen met anderen en dat ze geen voor de hand liggende combinaties mogen gebruiken. Ook moet er een duidelijk proces zijn voor het wijzigen van codes, vooral als er personeelswisselingen zijn.

Beheer van beveiligingsincidenten

Het beheer van beveiligingsincidenten is het geheel van processen en maatregelen dat ervoor zorgt dat een organisatie beveiligingsproblemen kan voorkomen, ontdekken en oplossen. Het is te vergelijken met een beveiligingssysteem in een gebouw: je wilt inbraak voorkomen, maar als er toch iets gebeurt, wil je het snel ontdekken en kunnen ingrijpen.

Monitoring

Monitoring is het continue proces van het in de gaten houden van systemen en netwerken om afwijkingen en mogelijke beveiligingsincidenten te ontdekken. Het is als een bewakingscamera die voortdurend kijkt of er iets ongewoons gebeurt.

Bij monitoring kun je kijken naar verschillende aspecten:

• Netwerkverkeer: wie maakt verbinding met welke systemen?
• Systeemgebruik: welke programma's worden gebruikt en door wie?
• Toegangspogingen: wie probeert in te loggen en waar?
• Dataverkeer: welke gegevens worden verplaatst of gekopieerd?

Door goede monitoring kun je:

• Verdachte activiteiten vroeg ontdekken
• Patronen herkennen die op problemen kunnen wijzen
• Snel ingrijpen bij beveiligingsincidenten
• Bewijs verzamelen als er iets is misgegaan

Logging

Logging is het vastleggen van gebeurtenissen in systemen en netwerken. Het is als een logboek waarin wordt bijgehouden wat er gebeurt. Deze informatie is essentieel om later te kunnen achterhalen wat er precies is voorgevallen.

Een goede logging legt vast:

• Wie heeft ingelogd en wanneer
• Welke acties zijn uitgevoerd
• Welke systemen zijn gebruikt
• Welke bestanden zijn geopend of gewijzigd
• Wanneer er foutmeldingen of waarschuwingen waren

Om logging effectief te maken moet deze:

• Voldoende detail bevatten om gebeurtenissen te kunnen reconstrueren
• Veilig worden opgeslagen zodat logs niet kunnen worden aangepast
• Lang genoeg worden bewaard om onderzoek mogelijk te maken
• Regelmatig worden gecontroleerd op afwijkingen

Incidentbeheer

Incidentbeheer beschrijft hoe je omgaat met beveiligingsincidenten als ze zich voordoen. Het is een gestructureerd proces dat ervoor zorgt dat incidenten snel en effectief worden aangepakt.

Een voorbeeld van het proces van incidentbeheer ziet er als volgt uit:

1. Voorbereiding

• Maak een plan voor verschillende soorten incidenten
• Stel een incidentresponsteam samen
• Zorg dat iedereen weet wat te doen
• Test regelmatig de procedures

2. Detectie en analyse

• Ontdek het incident via monitoring of meldingen
• Bepaal wat er aan de hand is
• Schat de ernst en impact in
• Verzamel bewijs via logs

3. Beperking en bestrijding

• Neem maatregelen om schade te beperken
• Isoleer getroffen systemen indien nodig
• Voorkom verdere verspreiding
• Documenteer alle acties

4. Herstel

• Breng systemen terug naar normale werking
• Controleer of alles weer veilig is
• Herstel eventueel verloren gegevens
• Test of alles weer goed werkt

5. Evaluatie en verbetering

• Analyseer wat er is gebeurd
• Leer van het incident
• Pas procedures aan waar nodig
• Deel leerpunten binnen de organisatie

Tips voor effectief incidentbeheer

Voor een effectief beheer van beveiligingsincidenten is het essentieel om een aantal basisprincipes te volgen. Allereerst moet je zorgen voor duidelijke procedures die voor iedereen in de organisatie bekend en begrijpelijk zijn. Het is daarbij belangrijk om één persoon of team eindverantwoordelijk te maken voor het afhandelen van incidenten. Deze duidelijke toewijzing van verantwoordelijkheid voorkomt verwarring en zorgt voor snelle besluitvorming als er iets misgaat. Tijdens een incident is het cruciaal om alle genomen stappen zorgvuldig te documenteren. Deze documentatie is niet alleen belangrijk voor het incident zelf, maar helpt ook bij toekomstige incidenten en bij het verbeteren van je procedures. Ook is het verstandig om je incidentresponsprocedures regelmatig te testen. Net zoals je bij een brandoefening test of iedereen weet wat te doen, moet je ook regelmatig oefenen met het afhandelen van beveiligingsincidenten. Door elk incident grondig te evalueren, kun je belangrijke lessen trekken en je procedures steeds verder verbeteren.

Let op!

Bij het inrichten van je incidentbeheer zijn er enkele cruciale aandachtspunten die je niet mag vergeten. Het is belangrijk dat je monitoring- en loggingactiviteiten volledig voldoen aan de privacywetgeving. Je mag niet meer gegevens verzamelen of langer bewaren dan strikt noodzakelijk is voor het beveiligingsdoel.

De logs die je verzamelt moeten op een veilige manier worden opgeslagen en lang genoeg worden bewaard om hun doel te kunnen dienen. Het heeft weinig zin om logs maar een week te bewaren als je pas na een maand ontdekt dat er iets mis is gegaan.

Het regelmatig testen van je procedures is geen luxe maar een noodzaak. Alleen door regelmatig te oefenen, ontdek je of je procedures werkbaar zijn en of iedereen weet wat er van hen wordt verwacht. Zorg er daarom voor dat al je medewerkers goed zijn geïnstrueerd over wat ze moeten doen als ze een beveiligingsincident ontdekken.

Tot slot is het van groot belang om alle aspecten van incidentbeheer goed te documenteren voor latere analyse. Deze documentatie helpt niet alleen bij het verbeteren van je procedures, maar kan ook cruciaal zijn als je moet aantonen dat je zorgvuldig met beveiligingsincidenten omgaat.