25 mei ligt al een paar maanden achter ons. De tsunami van nieuwe privacy- en verwerkingsovereenkomsten is klaar, de vakantie achter de rug. Tijd om werk te maken van serieuze privacybescherming. Gewoon goede maatregelen treffen dus. Want als vertrouwen de basis vormt voor elke opdracht die u van uw klant krijgt, dan is een datalek wel het laatste wat u nodig hebt. Duur hoeft dat niet te zijn, het is vooral een kwestie van doen.

Tijd voor een top 12 van maatregelen waarmee u de privacy van uw klanten echt serieus vergroot.

1. Train uw medewerkers

Preventie is immers de goedkoopste manier van beveiliging.
Als u ook nog eens weet dat 80% van de datalekken wordt veroorzaak door menselijke fouten, dan is trainen geen luxe maar noodzaak. Zorg wel dat u vooraf de interne procedures klaar hebt en die niet nog ter plaatse moet bedenken.

2. Zorg dat alle mobiele telefoons biometrisch beveiligd zijn en op afstand te wissen bij verlies

Telefoons zijn risicoapparaat nummer 1 als het gaat om datalekken. Een niet beveiligde telefoon geeft een dief een hele simpele manier om toegang te krijgen tot uw bedrijfsdata. Simpelweg door het vinkje ‘wachtwoord vergeten’ aan te zetten, zijn zo ongeveer alle mailboxen en sociale media binnen 5 minuten weer toegankelijk en via de telefoon uit te lezen. Zeker als u weet dat het merendeel van alle gebruikers nog steeds geen dubbele authenticatie gebruikt omdat ze dat lastig vindt. Komt bij dat er vaak gebruik wordt gemaakt van single sign-on voor bijvoorbeeld een Citrixomgeving. Als uw IT-provider daar ook zo vriendelijk is om een wachtwoordreset door de gebruiker toe te staan zonder menselijke controle, is de kans groot dat u in no time zo lek bent als een mandje.

3. Niet meer mailen van bijlagen maar alleen nog delen via een portal of app

De grootste kans op foutieve adressering zit in uw mailverkeer. Zeker met de vermenging van zakelijke en privémail ontstaat al snel het probleem dat u naar de verkeerde persoon een berichtje met vertrouwelijke inhoud stuurt. Dat risico neemt aanzienlijk af door gebruik te maken van een portal of app, zeker als u ook nog eens werkt met een workflow met een vierogenprincipe als extra slot op de deur. Bijkomend voordeel van deze aanpak is dat u ook eindelijk eens een totaalplaatje krijgt van wat er allemaal met de klant wordt gedeeld. Immers veel van de communicatie zit nu in individuele mailboxen, die u op basis van de AVG toch echt niet even mag openen om mee te kijken.

4. Dubbele authenticatie op de beheeraccounts op uw salarisapps en fiscale apps

In het kader van uw risico-inventarisatie vanuit de DPIA(Data Privacy Impact Assessment) bent u er vast en zeker achter gekomen dat de salarisapps en fiscale apps de meeste persoonsgegevens bevatten. Zorg dan ook dat de beheeraccounts van deze applicaties extra goed beveiligd zijn met dubbele authenticatie. Check ook dat voor de beheerders punt 2 is geïmplementeerd en getest.

5. Zet Bitlocker-encryptie aan op de harddisk van uw Windowslaptops

Natuurlijk slaat niemand ooit data lokaal op, dat hebt u immers verboden. Maar ja, die downloads moeten toch ergens worden opgeslagen en soms is er geen internet en moet er even lokaal gewerkt worden. Of nog erger, de verbinding is zo traag bij de klant dat er wel lokaal gewerkt moet worden. Met Bitlocker zorgt u ervoor dat de data op de harde schijf niet simpelweg door het losmaken van 5 schroefjes aan de onderkant van uw laptop toegankelijk zijn. Het werkt goed en is nog gratis ook.

6. Wijzig elke 90 dagen het wachtwoord en gebruik een complex wachtwoord

Zorg in elke geval voor een basisslot op de deur en laat uw gebruikers verplicht elke 90 dagen de wachtwoorden wijzigen. Als er dan een serieus datalek ontstaat, is de kans groter dat u (slechts) maximaal 90 dagen terug moet voor de impactanalyse.

7. Reorganiseer uw verwerkingsprocessen zodanig dat er bij ontvangst direct wordt verwijderd of teruggegeven wat niet nodig is

Wen uzelf aan om overbodige persoonsgegevens vooraan in uw processen te verwijderen of terug te geven. Lastig? Valt mee, kwestie van even goed nadenken wat u minimaal nodig hebt, en niet meer gebruiken dan dat. Wat u niet opslaat, vormt immers ook geen risico.

8. Laat de map Downloads op elk apparaat wissen bij afsluiten

Zorg er op alle devices voor dat de map Downloads standaard wordt gewist bij afsluiten.
Daarmee voorkomt u een soort prullenbak van persoonsgegevens die u vroeg of laat kan opbreken.

9. Beperk de toegang tot dossiers met artikel 9- en 10-gegevens tot een selecte groep

Even opfrissen, artikel 9- en 10-gegevens zijn de bijzondere persoonsgegevens zoals ras, seksuele geaardheid, geloof, vakbondslidmaatschap, gezondheid en strafbare feiten.
Deze gegevens mag u niet verwerken zonder expliciete noodzaak en toestemming van de betrokkene. Als dat toch nodig is, zorg dan dat ze niet voor iedereen toegankelijk zijn maar beperk de toegang tot deze dossiers of secties in dossiers tot een absoluut minimum.

10. Geef vip-dossiers een hoger beveiligingsniveau

Vanuit uw DPIA hebt u vast en zeker ontdekt dat de ene klant de andere niet is.
Dat betekent automatisch dat een gelekte aangifte van een vip voor de buitenwereld veel interessanter is en ook veel meer impact heeft. Zorg er voor dat u regelmatig scant of zich wijzigingen in de persoonlijke situatie van de klant hebben voorgedaan. Een klant in echtscheiding gaat u echt niet in dank afnemen als per ongeluk de aangifte naar zijn ex-partner wordt gestuurd.

11. Zorg dat privacy een proceseigenaar op mt-niveau heeft

Zaken als een actueel verwerkingsregister aangevuld met een goede datalekregistratie en het managen van meldingen vragen om een duidelijke proceseigenaar. Zorg ervoor dat iedereen in de organisatie weet wie dat is. Dat voorkomt de kip-zonder-kopsituatie in geval van een calamiteit.

12. Privacy is een blijvend nieuw proces

Als u privacy als project beschouwt om even snel te voldoen aan de verplichtingen, maakt u een serieuze inschattingsfout. Privacy is een blijvend fenomeen waar u mee zult moeten leren omgaan. Zorg dan ook dat u de stap van project naar proces maakt door adequaat wijzigingsbeheer op uw privacyprocessen in te richten.

Want er komt een dag dat u verantwoording moet afleggen en dan hebt u met deze 12 maatregelen niet alleen een goed verhaal maar ook uw zaken netjes aantoonbaar op orde.

Jack van Crooij MSc

Hulp nodig bij de implementatie, neem gerust contact op met Jack van Crooij of Martijn Kriek voor vragen of ondersteuning.