AVG: hoe beveilig je persoonsgegevens tegen digitale bedreigingen?

Cybercrime komt inmiddels vaker voor dan fietsendiefstal, zo blijkt uit onderzoek van De Nederlandsche Bank (DNB). Wat moet je doen om ervoor te zorgen dat verlies van persoonsgegevens in jouw bedrijf wordt voorkomen?

Wat de gevolgen zijn van cybercrime zie je in onderstaande afbeelding van DNB.

Cybercrime

Klik op de afbeelding voor een vergroting.

Wat zegt de AVG?

Op basis van de Algemene verordening gegevensbescherming (AVG) moeten persoonsgegevens op een juiste en doeltreffende manier beveiligd worden. Op welke wijze geef je hier als bedrijf invulling aan? Zijn er zaken die minimaal geregeld moeten worden? Wat verwacht je van jouw leveranciers en serviceproviders op het gebied van beveiliging? Wat dien je daarvoor ten minste te regelen en hoe kun je daarbij te werk gaan? Daarbij besteden we extra aandacht aan digitale bedreigingen, zoals ransomware, phishing en cryptominers.

De toezichthouder heeft ruim 20.000 meldingen van datalekken ontvangen in 2018. Een belangrijke oorzaak betrof het verlies van persoonsgegevens door hacking, phishing of ransomware. Extra alertheid op deze bedreigingen, ook in het mkb, is geboden.

Persoonsgegevens goed beveiligen

Hoe moeten volgens de AVG persoonsgegevens beveiligd worden? Hiervoor moet je met de volgende zaken rekening houden:

  • De stand van de techniek – de huidige technische stand van de techniek is wat betreft technische maatregelen bepalend voor wat er minimaal van jou verwacht wordt.
  • De aard, de omvang en doeleinden van de verwerkingen – de categorieën van persoonsgegevens in samenhang met de hoeveelheid persoonsgegevens en de verwerkingsdoelen zijn medebepalend voor de te nemen maatregelen.
  • De qua waarschijnlijkheid en ernst uiteenlopende risico’s voor personen – feitelijk dien je een risico-inschatting te maken van jou verwerkingen en op basis hiervan je maatregelen treffen.
  • Verwerkers – je kunt alleen een beroep doen op verwerkers (bijvoorbeeld SAAS-leveranciers of hostingpartijen) die afdoende garanties met betrekking tot het toepassen van technische en organisatorische maatregelen bieden; deze maatregelen moeten worden opgenomen in een verwerkersovereenkomst; je bent bovendien gerechtigd te (laten) controleren bij jouw verwerker(s) of de maatregelen adequaat zijn.
  • De uitvoeringskosten – de AVG biedt tevens ruimte om een kostenafweging te maken; indien de risico’s beperkt zijn, wordt niet van je verwacht dat jij grote investeringen doet om een hoog beschermingsniveau te bereiken.
  • Beleid – als je van mening bent dat jij, gezien voorgaande zaken, hoge risico’s loopt bij de verwerking van persoonsgegevens, dan dien je een passend gegevensbeschermingsbeleid op te stellen.

Digitale bedreigingen: ransomware, phishing en cryptominers

Ransomware is kwaadaardige software die harde schijven, netwerkopslag of virtuele (cloud)disks blokkeert, met als gevolg dat computersystemen en/of gegevensbestanden niet meer toegankelijk zijn. Meestal wordt daarna betaling geëist (via bijvoorbeeld Bitcoins) om de blokkade op te heffen. De gijzeling verloopt meestal via besmette e-mailbijlagen (waarin bijvoorbeeld wordt gevraagd een link aan te klikken voor het activeren van een gewonnen prijs) of via advertenties op internet die een lek in niet-geüpdatete software misbruiken. Criminelen kunnen ransomware inmiddels voor een geringe prijs inkopen.

Phishing

Phishing is een methode waarbij criminelen via slinkse wijze informatie weten te verkrijgen van individuen of medewerkers van bedrijven. Methodes zijn bijvoorbeeld dat je ongemerkt naar een valse, identieke website van een bank wordt geleid waar je nietsvermoedend jou inlognaam, wachtwoord en bankrekeningnummer gebruikt. Deze zijn dan in handen gevallen van de criminelen. Andere methodes die gebruikt worden, zijn betrouwbaar lijkende e-mails of sms’jes met een link naar een nep-website waarin gevraagd wordt bijvoorbeeld jouw wachtwoord opnieuw in te stellen.

Cryptomining

Cryptomining is een bedreiging waarbij kwaadaardige software bij nietsvermoedende gebruikers wordt geïnstalleerd, op vergelijkbare wijze als bij ransomware. Op de achtergrond wordt dan een deel van het rekenvermogen van deze computer ingezet om zogenaamde cryptomunten te delven. Gedupeerden krijgen door het verlies van rekenkracht last van trage computersystemen.

Datalek

Als door ransomware bestanden zijn geblokkeerd die persoonsgegevens bevatten, kwalificeert dit als een datalek. Om de bestanden te kunnen blokkeren, is er ongeoorloofde toegang geweest tot deze gegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd. Ondernemingen dienen op basis van eigen vastgesteld beleid te besluiten of het betreffende datalek wel of niet gemeld wordt aan de Autoriteit Persoonsgegevens en aan betrokkenen.

Voorkomen digitale aanvallen of gevolgen beperken

Hoe kun je een ransomware-aanval, phishing of cryptomining voorkomen dan wel de gevolgen verkleinen?
Als organisatie dien je onder meer de volgende maatregelen te treffen:

  • Open geen onbekende bijlagen of links van een e-mail; wees extra alert bij het downloaden van software, muziek, films, tv-series, pdf’s en andere bestanden.
  • Draag zorg voor een hoog risicobewustzijn bij jouw medewerkers ten aanzien van digitale bedreigingen.
  • Gebruik nooit internet zonder antivirusprogramma en firewall.
  • Implementeer direct actuele beveiligingsupdates voor besturingssysteem en programma’s.
  • Zorg altijd voor volledige back-ups van de belangrijkste data.

Andere noodzakelijke maatregelen

Hieronder tref je een overzicht aan van andere noodzakelijke technische en organisatorische maatregelen die je kunt treffen. Uiteindelijk gaat het om het kiezen van een set aan maatregelen die voor jouw organisatie effectief en kostenefficiënt is.

  • wachtwoordbeleid, rechten- en autorisatiestructuur inrichten;
  • loggen en controleren (monitoring) van toegang tot de informatiesystemen;
  • monitoren kwetsbaarheden op het interne en externe netwerk;
  • adequate fysieke beschermingsmaatregelen treffen;
  • procedures opstellen voor opslag, onderhoud en vernietiging van data;
  • procedures opstellen voor het behandelen van informatiebeveiligingsincidenten en datalekken;
  • inrichten incidentenregister.

Mocht je nog vragen hebben neem dan gerust even contact op,

olaf@uwaccountant.nl