Kennisartikel  

Waarom goede informatiebeveiliging zo belangrijk is

Informatiebeveiliging Software

Het is inmiddels alweer een aantal jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Toch zien we nog regelmatig berichten in de media over bedrijven die hun informatiebeveiliging niet voldoende op orde hebben. Phishing, malware, ransomware: datalekken zijn nog steeds aan de orde van de dag. En dat wil je als organisatie die veel vertrouwelijke gegevens verwerkt natuurlijk voorkomen.

Als het nog zo veel voorkomt is er blijkbaar is toch nog veel onwetendheid over het onderwerp informatiebeveiliging. Om twijfel weg te nemen en duidelijker te maken wat het is, en waarom het zo belangrijk is, nemen we je mee in de achtergrond. In dit artikel komen typen datalekken, risicomanagement en het controleren en monitoren aan de orde. Want hoe kun je dat nou het beste aanvliegen?

Wat is informatiebeveiliging?

Informatiebeveiliging gaat over de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.

3 aspecten

1.      Beschikbaar

Op het moment dat data niet meer beschikbaar is, bijvoorbeeld doordat je gehackt wordt of er wordt iets gestolen, is dat een datalek.

2.      Integer

Kun je niet meer garanderen dat data juist, volledig en actueel is? De data is dan niet meer integer en ook dan is er sprake van een datalek.

3.      Vertrouwelijk

Stel, je wordt gehackt of medewerkers hebben te veel of verkeerde rechten in systemen: je weet niet of de data nog vertrouwelijk is. Iemand heeft mogelijk inzage gehad in gegevens terwijl dat niet de bedoeling was – wederom een datalek.

Voldoe je dus niet aan één van deze drie aspecten, dan komt de informatiebeveiliging in het geding en heb je een datalek.

Typen datalekken

Er zijn verschillende typen datalekken. De meest voorkomende is diefstal of verlies van gegevens (gestolen laptop, verlies USB-stick). Ook (kwaadwillende) medewerkers spelen een rol. Als zij slechte intenties hebben kunnen datalekken ontstaan, maar ook onbewust doordat medewerkers teveel informatie in kunnen zien die niet voor hun ogen bedoeld is. Dan heb je natuurlijk nog datalekken door hacks of malware en persoonlijke fouten of systeemfouten.

Informatiebeveiliging is ook risicomanagement

Risicomanagement staat in informatiebeveiliging centraal: inzicht krijgen in risico’s, waar de risico’s betrekking op hebben, wat de waarde van de gegevens is en welke maatregelen je kan instellen om de risico’s te reduceren. Je kunt op verschillende manieren risico’s reduceren. Denk bijvoorbeeld aan het screenen van (nieuwe) medewerkers en het opvragen van een VOG-verklaring. Ook bewustwording, opleiding en training van medewerkers zijn daarin belangrijk – zoals eerder gezegd komt een groot deel van datalekken door (vaak onbewust) verkeerd handelen van medewerkers. Met bewustwordingssessies of periodieke self-assessments kun je kijken hoe medewerkers omgaan met bepaalde situaties en of zij weten hoe ze moeten handelen.

Kijk kritisch naar rechten, rollen en verantwoordelijkheden van medewerkers

Daarbij ligt ook een belangrijke verantwoordelijkheid voor de rollen en verantwoordelijkheden binnen de organisatie. Het moet duidelijk zijn wie bepaalde taken heeft en welke informatie mag inzien, en vooral ook wie niet. Dat moet bewaakt worden en vastgelegd worden in de verschillende systemen die worden gebruikt om bepaalde informatie in te zien. Ook als er een nieuwe medewerker wordt aangenomen, iemand een andere functie krijgt of uit dienst gaat
moeten de rollen, rechten en verantwoordelijkheden aangepast en gecheckt worden. Op ICT-gebied gaat het dan om toegangsautorisaties (wie mag wat zien, zoals cliëntgegevens, personeelsadministratie, financiële gegevens), back-up management (van welke data wordt hoe vaak een back-up gemaakt), en logging en monitoring (welke dossiers heeft deze medewerker ingezien, welke acties zijn uitgevoerd in het dossier van deze patiënt).

Informatiebeveiligingsbeleid controleren, monitoren en evalueren

Als je de informatiebeveiligingsdoelstellingen controleert moet de organisatie vaststellen wat er moet worden gedaan, welke middelen nodig zijn, wie verantwoordelijk is, wanneer het moet zijn voltooid en vooral: voldoet alles aan de norm? Zo niet, dan is er dus een afwijking van de norm of de standaard en heb je niet voldaan aan de gestelde vereisten. Vervolgens dien je deze afwijkingen te registreren en opvolgen, waarbij je de voortgang monitort en managet. Denk aan het toewijzen van een eigenaar en het bepalen van een deadline. Verder kun je een oorzaakanalyse en een correctieve of preventieve actie uitvoeren om het op te lossen. De afwijking is een verbeterpunt waarvan de voortgang moet worden bewaakt en onderdeel is van evaluatie.

Hoe ga je om met een privacy incident of datalek?

Wat doe je als er toch een datalek ontstaat? Gedurende het jaar kunnen zich informatiebeveiligingsincidenten en datalekken voordoen. De beschikbaarheid, integriteit of vertrouwelijkheid van informatie loopt dan potentieel gevaar. Het is van belang dat deze incidenten worden geregistreerd, geanalyseerd en opgelost. Hoe goed de maatregelen ook zijn die je hebt genomen, een beveiligingsincident kan alsnog voorkomen.
Het gaat er dan om hoe je er vervolgens mee omgaat. Stel, je komt er bij een controle achter dat een medewerker zijn computerscherm niet vergrendelt als hij zijn werkplek verlaat, of er worden gegevens naar de verkeerde persoon gestuurd. Dan moet je een onderzoek daarnaar uitvoeren, acties ondernemen en vooral zorgen dat je er van leert. Je wilt immers dergelijke incidenten in de toekomst voorkomen.

Meldplicht datalekken bij Autoriteit Persoonsgegevens

Ook moet je onderzoeken of je het incident of datalek moet melden bij de Autoriteit Persoonsgegevens (AP) inzake de meldplicht datalekken. Dat hangt af van de waarschijnlijkheid van verlies of onrechtmatige verwerking van de gegevens en mogelijke ernst van het datalek voor de betrokkenen. Meld je een datalek ten onrechte niet bij de AP? Dan kun je mogelijk een boete krijgen. Dit geldt ook als je betrokkenen niet informeert over een hoog risico datalek.

De negatieve gevolgen van slechte informatiebeveiliging

De gevolgen van het niet naleven van de AVG en dus ook slechte informatiebeveiliging zijn flink: boetes kunnen oplopen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Ook dien je mogelijk (im)materiële schade van betrokkenen te compenseren. Naast financiële consequenties loop je ook het risico op imagoschade, misschien wel het belangrijkste gevolg. Als een gerenommeerd bedrijf een datalek veroorzaakt of meemaakt, en daar niet adequaat op reageert is een boete je minste probleem. De media kunnen hier over berichten. Je klanten gaan zich afvragen hoe om wordt gegaan met hun gegevens, en of die nog wel veilig zijn bij de organisatie als je op slechte wijze met een datalek omgaat. Met als gevolg dat je klanten een partij gaan zoeken die wél goed voor hun waardevolle gegevens zorgt.

Krijg inzicht in persoonsgegevens

Om inzicht te verkrijgen in de persoonsgegevens die je organisatie verwerkt, helpt het om een verwerkingsregister op te stellen. Je geeft daarbij ook de bewaartermijn aan en let op dat je gegevens niet langer bewaart dan nodig. Ook stel je verwerkersovereenkomsten op met relevante leveranciers.

Het belang van een verwerkersovereenkomst

Als je data deelt met een andere partij, leg je de gegevens van jouw cliënten in handen van dat bedrijf. Omdat je zelf geen invloed hebt op dat bedrijf, is het belangrijk om afspraken te maken over hoe zij omgaan met jouw data. Je kunt op die manier vastleggen en borgen dat deze organisatie net zo goed met persoonsgegevens omgaat als je zelf zou doen.
Dit heeft ook te maken met aansprakelijkheid. Als deze derde partij een datalek veroorzaakt waarbij gegevens van jouw cliënten zijn gelekt, maar je hebt geen verwerkersovereenkomst met deze partij of andere afspraken, is je eigen organisatie alsnog zelf verantwoordelijk omdat jij de eigenaar bent van de gegevens. Het wordt dan lastig om schade te verhalen op de derde partij.

Conclusie: informatiebeveiliging is cruciaal voor iedere organisatie

De gevolgen van gebrekkige informatiebeveiliging zijn fors, van boetes tot onherstelbare reputatieschade. Om de kans op datalekken zo veel mogelijk te voorkomen, helpt het om een verwerkingsregister aan te leggen om inzicht te krijgen in welke persoonsgegevens je gebruikt. Het is belangrijk om inzicht te krijgen in waar de risico’s liggen en welke maatregelen je kan nemen om deze risico’s zo veel mogelijk te beperken. Daarbij kun je denken aan het screenen van medewerkers
tot het goed inrichten van autorisaties in systemen die gegevens verwerken. Als zich onverhoopt toch een datalek voordoet, is hoe je hier mee omgaat bijna net zo belangrijk als het oplossen er van. Zorg dat je tijdig het lek meldt aan de AP en dat je betrokkenen informeert. Onderzoek vervolgens hoe het datalek kon ontstaan en wat je kan doen om dit in de toekomst te voorkomen. Met een continue verbetercyclus krijg je grip op risico’s rondom informatiebeveiliging en privacy.

 

Hulp nodig bij informatiebeveiliging in je organisatie?

Kun je wel wat ondersteuning bij informatiebeveiliging gebruiken? Smile biedt met de Informatiebeveiliging & Privacy Suite een compleet ISMS aan om organisaties te ondersteunen bij AVG-compliance en het voldoen aan afgesproken normen en richtlijnen m.b.t. informatiebeveiliging. Structurele verbetering staat hierin centraal.

Omdat wij onderdeel zijn van Kader, hét bureau voor Kwaliteitszorg, en samenwerken met partners als Securely, Privacy op School, SURF en saMBO-ICT kunnen we je op alle vlakken ontzorgen: van advisering en opleiding tot een handige add-on voor onze software om databreaches tijdig op te sporen.

Meer weten?

Vraag een online demo aan!