Smile
Terug naar hoofdmenu
Terug naar het overzicht

Software voor informatiebeveiligingSinds 1 januari 2016 is de wet meldplicht datalekken van kracht. Dit betekent dat alle organisaties direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen ofwel de mensen van wie de persoonsgegevens zijn gelekt.

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen van gegevens, maar ook onrechtmatige verwerking van gegevens. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Hoe voorkom je datalekken? 

Door de flinke boetes die kunnen worden opgelegd bij het niet-naleven van de meldplicht (tot wel 10% van de netto omzet met een maximum van 820.000 euro per gebeurtenis d.d. 2016), is er behoorlijk wat paniek ontstaan bij bedrijven. Daarmee heeft de meldplicht misschien al wel het belangrijkste doel bereikt: organisaties komen in actie om hun gegevens beter te beveiligen om te voorkomen dat ze door een datalek negatief in het nieuws komen.

Herken je dit in jouw organisatie? Misschien valt dit onderwerp wel binnen jouw verantwoordelijkheden. Of kijk je aan de zijlijn mee hoe anderen er mee worstelen. Op welke manier je er ook bij betrokken bent, de volgende maatregelen voor het voorkomen van datalekken komen vast en zeker van pas.

1 – Zorg voor een actueel beleid

Zorg voor een helder beleid op het gebied van informatiebeveiliging, met onder meer aandacht voor een goede wachtwoorden policy, het beheer van vaste en mobiele devices en andere databronnen en afspraken over fysieke beveiliging. Toets dit beleid minimaal 1x per jaar op actualiteit.

2 – Krijg inzicht in systemen

Maak een lijst van alle systemen die in de organisatie worden gebruikt en registreer of deze systemen persoonsgegevens bevatten. Leg van alle systemen die persoonsgegevens bevatten vast wie er toegang heeft tot deze systemen en op welke niveau deze personen toegang hebben tot de persoonsgegevens in deze systemen. Leg van alle systemen die persoonsgegevens bevatten ook vast welke leveranciers er bij zijn betrokken. Doe ook dit niet eenmalig maar houd de lijst van systemen continu up to date.

3 – Creëer bewustwording

Breng het beleid en de lijst van systemen vervolgens onder de aandacht van alle medewerkers, zorg ervoor dat zij zich bewust zijn van de risico’s en van het belang van veilig omgaan met (systemen met) persoonsgegevens. En maak van informatiebeveiliging een vast topic in bestaande overlegreeksen, zodat de aandacht niet verslapt.

4 – Maak goede afspraken met bewerkers

Controleer de afspraken met leveranciers die als ‘bewerkers’ kunnen worden aangemerkt en scherp deze waar nodig aan. Bewerkers zijn bijvoorbeeld software leveranciers van systemen waarin persoonsgegevens worden gebruikt. Voor klanten van Smile geldt dus ook dat Smile één van de bewerkers is. Smile biedt haar klanten daarom standaard een bewerkersovereenkomst aan. De inhoud van deze overeenkomst vind je hier, gebruik hem gerust als voorbeeld!

5 – Richt een incidentmanagement systeem in

Richt een goed incidenten beheersysteem in om – als dat nodig is – snel een beginnend brandje te kunnen blussen en erger te voorkomen. Combineer dit systeem voor informatiebeveiligingsincidenten bij voorkeur met andere interne meldingen, bijvoorbeeld op het vlak van fysieke beveiliging, arbo- en milieu. Dan is er één meldpunt en dat is wel zo praktisch.

6 – Wijs een verantwoordelijke aan

Maak iemand verantwoordelijk voor informatiebeveiliging in het algemeen en voor het beoordelen van datalekken en het melden bij de Autoriteit Persoonsgegevens in het bijzonder. En zorg ook voor een back-up.

7 – Maak een communicatieplan voor als het toch mis gaat

Denk alvast na over hoe je de betrokkenen gaat informeren bij een datalek en over hoe je wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken. Nu kun je daar in alle rust een plan voor uitwerken, desgewenst met wat hulp van een expert op het gebied van duurzaam communiceren. Als het eenmaal zo ver is sta je flink onder druk en is de kans op onhandigheden in je communicatie veel groter met alle gevolgen van dien.

8 – Zet ISO-27001 in als inspiratiebron

Met de bovenstaande 7 maatregelen is er al een goede basis gelegd. Wil je niets aan het toeval overlaten en nog een stap verder gaan? Zet dan een bewezen systeem voor informatiebeveiliging in en maak gebruik van de ‘BowTie-methode  voor prospectieve risico analyse’ om potentiële risico’s in kaart te brengen.

01_Bowtie_Smile_transDat kan vrij eenvoudig door jezelf te toetsen aan de hand van de ISO-27001 norm om potentiële risico’s te benoemen. Per risico geef je vervolgens aan of het iets is dat je wilt voorkomen (hoge prio) of dat het een aanvaardbaar risico is (lage prio) en tevens leg je mogelijke oorzaken en gevolgen vast met bijbehorende preventieve maatregelen en corrigerende maatregelen.

Daarna ga je de maatregelen implementeren via verbeterplannen en regel je een monitoring-cyclus in via periodieke interne audits. Met de afwijkingen uit deze audits èn de informatie uit je incidentmanagement-systeem houdt je dit systeem continu scherp en actueel.

En mocht je er voor willen gaan: ook ISO-27001 certificering komt zo binnen handbereik.

9 – Opereer niet te krampachtig

Onthoud bij dit alles dat geen enkel risico lopen een utopie is. Een onderneming loopt altijd risico, soms bewust maar vaak ook onbewust. Zonder risico geen onderneming. Het gaat bij informatiebeveiliging dan ook vooral om het vergroten van de bewustwording (welke risico’s lopen we?) en het stap voor stap doorvoeren van maatregelen om zo het volwassenheidsniveau van de organisatie op het gebied van informatiebeveiliging te laten groeien. Grip op risico’s en verbeteren met (een) Smile dus. Niet voor niets ons motto!