Category: Naleving van Regelgeving en de AVG

Een nieuwjaarsvoornemen of evolutie?

Een nieuw jaar, een nieuwe jij?

Hoe vaak hebt u niet besloten dat de eerste dag van januari het moment is om op dieet te gaan, een trainingsschema op te stellen, iets op te geven waarvan u geniet omdat het “slecht” voor u is of een grote verandering in uw leven door te voeren? 

En nog belangrijker, hoe vaak heeft u zich eraan gehouden en uw doelen bereikt? Een nieuw jaar, een nieuwe jij! Klinkt dat bekend?

Maar waarom moet 1 januari anders zijn dan de dag, de maand of het jaar ervoor? Als er iets moet veranderen of verbeteren, wacht dan niet tot die willekeurige datum in de agenda maar stel uzelf realistische en haalbare doelen en ga er meteen mee aan de slag! 

Wat is er voor nodig om de goede voornemens voor het nieuwe jaar na te leven?

Hier is het geheim, door er in de eerste plaats geen te maken!

Bij OASIS Group zit informatiebeveiliging en gegevensbescherming in ons DNA. De datum op de kalender is totaal irrelevant. Het is verankerd in onze strategieën, doelstellingen, plannen, beleidslijnen en procedures en deze worden voortdurend herzien. Wij hebben geen nieuwjaarsvoornemen nodig om ervoor te zorgen dat de gegevens die wij beheren, beschermd en beveiligd zijn en voldoen aan de wetgeving inzake gegevensbescherming en andere relevante regelgeving. 

Wij erkennen dat risico’s en bedreigingen voor gegevensbescherming nooit echt kunnen worden vermeden en wij weten ook dat de regelgeving, de wetgeving, de technologie en de eisen van de klant voortdurend veranderen. Het geheim is dit te erkennen en regelmatig risicobeoordelingen en horizonscans uit te voeren om u te helpen u voor te bereiden op die risico’s, bedreigingen en veranderingen, voor zover dat mogelijk is. Natuurlijk heeft niemand een kristallen bol, en het onverwachte zal soms gebeuren. Waar het op aankomt, is dat u klaar staat en in staat bent om zich snel aan te passen aan eventuele veranderingen en mee te evolueren. 

Evoluties, geen resoluties 

Hier zijn een paar dingen die u kunt doen om uw “gegevensbescherming evolutie” op gang te brengen:

1.            Ken uw gegevens

  • Hebt u een register van verwerkingsactiviteiten?  “Natuurlijk heb ik dat, dat is de wet!” Ok, maar wanneer hebt u het voor het laatst herzien en bijgewerkt? Hebt u eraan gedacht om dat nieuwe systeem dat u net hebt aangeschaft en alle persoonsgegevens die daarmee worden verzameld, erin op te nemen? Of hoe zit het met dat proces dat u net hebt veranderd?
  • Als u niet weet welke gegevens u hebt, waar ze zijn opgeslagen en wie er toegang toe heeft, hoe kunt u er dan er zeker van zijn dat ze volledig veilig en beschermd zijn? Als er een datalek is, hoe weet u dan dat u het volledig hebt ingeperkt en dat u alle gecompromitteerde gegevens hebt geregistreerd?

2.            Maak doelstellingen inzake gegevensbescherming klein en zorg ervoor dat ze haalbaar en duidelijk zijn.

  • Houd de rechten en vrijheden van de betrokkenen voor ogen bij het vaststellen van uw doelstellingen.
  • Hebt u gecontroleerd of uw doelstellingen zijn afgestemd op het beperken van uw grootste risico’s en bedreigingen op het gebied van persoonlijke en vertrouwelijke informatie?

3.            Zorg ervoor dat u de juiste hulpmiddelen in huis hebt

  • Beschikt u over de nodige tools en middelen om uw persoonsgegevens te beheren?
  • Creëren handmatige processen dubbel werk of zijn ze foutgevoelig?
  • Hier bij OASIS hebben we bekroonde oplossingen om u te helpen aan de wetgeving inzake gegevensbescherming te voldoen, uw gegevens veilig te bewaren, bewaartermijnen te beheren en uw gegevens veilig te wissen en te vernietigen. Spreek met één van onze Account Managers of bezoek onze website voor meer details.  

4.            Gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen

  • Is gegevensbescherming verankerd in nieuwe projecten, producten, processen? Zijn alle belanghebbenden erbij betrokken?
  • Voert u gegevensbeschermingseffectbeoordelingen (DPIA’s) uit en overweegt u de behoeften van de betrokkenen voordat u een nieuw project start?

5.            Uit het oog, maar niet uit het hart

  • Herzie regelmatig het beleid en de procedures inzake informatiebeveiliging en apparatuur voor thuiswerkers. Zorg ervoor dat zij hierin worden getraind en dat alle apparaten de laatste beveiligingsupdates krijgen.
  • Controleer of uw thuiswerkers vertrouwelijk materiaal veilig kunnen vernietigen. Hier bij OASIS kunnen we deur tot deur diensten aanbieden voor het versnipperen en vernietigen van vertrouwelijk papier en media.

6.            Wees voorbereid op incidenten

  • Hebt u incident response en cyber response plannen opgesteld en up-to-date gehouden? 
  • Beschikt u over voldoende middelen om een incident aan te pakken en beschikt u over een toegewijd incident response team?
  • Wanneer hebt u ze voor het laatst gecontroleerd?

7.            Gegevensbewaring

  • Beschikt u over een beleid voor het bewaren van gegevens dat in de hele organisatie wordt gecommuniceerd?
  • Controleert u of gegevens worden verwijderd wanneer de bewaartermijn is verstreken?

8.            Opleiding en bewustwording

  • Krijgen uw teammembers regelmatig training over alle relevante beleidslijnen en procedures inzake gegevensbescherming en informatiebeveiliging?
  • Legt u dit vast en controleert u of zij dit begrijpen?

9.            Covid-19 gegevens 

  • Vermijd het verzamelen en registreren van deze gegevens.
  • Als dat niet mogelijk is, verzamel en registreer dan alleen gegevens die absoluut noodzakelijk zijn en waarvoor u een specifiek, rechtmatig doel hebt.
  • Geef alleen personen toegang tot deze gegevens wanneer dat absoluut noodzakelijk is en zorg ervoor dat de bewaartermijnen strikt worden nageleefd.
  • Controleer of uw privacyverklaringen actueel zijn en voor alle betrokkenen toegankelijk.

Hoewel het vandaag in heel Europa Data Protection Day is, is het hier bij OASIS elke dag Data Protection Day! Voor ons is dit geen nieuwjaarsvoornemen dat misschien geen lang leven beschoren is of iets waar we eens per jaar naar kijken, maar eerder een evolutie waarbij we voortdurend evalueren, innoveren en aanpassen hoe we werken en persoonsgegevens beschermen om ervoor te zorgen dat ze veilig en conform blijven in een steeds veranderend wettelijk, regelgevend, politiek en technologisch landschap. 

Wat zijn uw ‘evoluties’ op het gebied van gegevensbescherming?

We horen graag van u.

Meer informatie: Autoriteit Persoonsgegevens

De AVG en veilig thuiswerken

Onze leef- en werkomgeving is enorm veranderd sinds de intreding van de AVG wetgeving, inmiddels al twee jaar geleden. Vooral nu de coronacrisis aanhoudt en we niet weten hoelang het duurt voordat we in de ‘normaalstand’ komen, als we daar ooit terugkeren. Het werk is voor velen plotseling volledig veranderd en er werken nu meer mensen vanuit thuis dan ooit tevoren*.

En dat brengt nieuwe uitdagingen met zich mee. Bedrijven zijn nu kwetsbaarder dan voorheen als we denken aan de beveiliging van persoonsgegevens. Deze gegevens bevatten gevoelige en vertrouwelijke informatie die vanwege het thuiswerken op meer plekken terechtkomen. Internetcriminelen maken gebruik van de huidige situatie om deze gevoelige gegevens te vergaren. Hierdoor is het noodzakelijk om informatiebeveiliging topprioriteit te geven.

Toegang geven tot data om thuiswerken mogelijk te maken, brengt een verhoogd risico op datalekken met zich mee. Daarnaast verlaten papieren documenten en digitale data ongemerkt het pand. Denk bijvoorbeeld aan een ordnermap die meegaat in de auto of een usb stick die niet versleuteld is met een wachtwoord.

Het is daarom goed te begrijpen dat veel bedrijven worstelen met de bescherming van gevoelige bedrijfsgegevens vanwege gebrek aan controle. Daarom is het belangrijk om vast te stellen welke risico’s om de hoek komen kijken met thuiswerken.    

Persoonlijke apparaten

Tijdens de invoer van de lockdown hadden veel organisaties niet de tijd of capaciteit om Teammembers te voorzien van apparaten die eigendom zijn van het bedrijf. Velen werken daarom met persoonlijke laptops en tablets.

Persoonlijke apparaten zijn vaak niet goed beveiligd en gegevens zijn vaak niet versleuteld opgeslagen. Vraag uzelf eens af:

  • Wie heeft toegang tot onze apparaten?
  • Is er bescherming tegen malware?
  • Wanneer is de laatste Windows-update uitgevoerd?
  • Wat zijn de niveaus van wachtwoordbeveiliging?
  • Worden gegevens versleuteld of gepseudonimiseerd voordat ze worden overgedragen?

Werkuren

Door op afstand in te kunnen loggen, is het makkelijker om buiten de reguliere werktijden te werken. Maar ook tijdens deze werkuren is ondersteuning nodig. Vraag uzelf eens af:

  • Is er een datalekkenprocedure waardoor er snel wordt gehandeld bij een datalek?
  • Hoe wordt uw organisatie op de hoogte gesteld van een datalek dat plaatsvindt om 23.00 uur of om 02.00 uur ‘s nachts?
  • Hoe sluit u een computernetwerk af met zoveel thuiswerkers?

Gegevensbeschermingsbeleid en training

Het is aan te raden om te achterhalen of het gegevensbeschermingsbeleid aangepast dient te worden aan de nieuwe werkomstandigheden. Vraag uzelf eens af:

  • Hoe geeft u wijzigingen door aan Teammembers en krijgt iedere Teammember training met betrekking tot nieuwe wijzigingen in het gegevensbeschermingsbeleid?
  • Is uw thuiswerkbeleid in overeenstemming met uw gegevensbeschermingsbeleid?
  • Investeert u in AVG-training?
  • Investeert u in IT-beveiligingstraining?

Graag komen we met u in contact en geven we u advies over de AVG en veilig thuiswerken.

Bron*:
https://www.arbo-online.nl/gezond-werken/nieuws/2018/04/steeds-meer-mensen-gaan-thuiswerken-10116402?_ga=2.188108333.402262157.1591083495-2059160128.1591083495
https://www.cbs.nl/nl-nl/nieuws/2020/15/bijna-4-op-de-10-werkenden-werkten-vorig-jaar-thuis
https://nos.nl/collectie/13824/artikel/2331051-coronacrisis-verandert-reisgedrag-mogelijk-blijvend

De Ultieme Rampherstel Checklist

Als het gaat om gegevensback-up voor noodherstel, dan is voorbereiding van het grootste belang. Uw organisatie voorbereiden voordat een ramp toeslaat, is essentieel om de bedrijfscontinuïteit te handhaven en de uitvaltijd te beperken.

Met de Checklist Rampherstel van OASIS die gemakkelijk te volgen is, kan uw organisatie zich voorbereiden op onvoorziene gebeurtenissen.

Stap 1: Voer een Audit uit van uw bestaande Back-up Oplossing(en) en Herstelplan

Breng in kaart wat u momenteel al heeft geregeld. Wanneer u uw bestaande bedrijfscontinuïteitsoplossing analyseert, overweeg dan:

  • Of u beschikt over een oplossing voor noodherstel.
  • Hoe vaak het noodherstelproces is getest.
  • Hoeveel uitvaltijd de huidige back-up oplossing heeft.
  • Welke gegevens en de omvang ervan risico lopen.
  • Welke financiële kosten brengt uitvaltijd met zich mee voor uw bedrijf?

Stap 2: Stresstest

Identificeer potentiële gevaren en de meest voor de hand liggende bronnen van gegevensverlies/inbreuk of een storing. Zullen de bedreigingen beperkt blijven tot één systeem, of is de kans groot dat meerdere systemen worden getroffen? Door uw risico’s te kennen, kunt u de belangrijkste systemen en de kwetsbaarheden in de onderliggende hardware en software evalueren.

Stap 3: Voer een Effectbeoordeling uit

Bepaal de waarschijnlijkheid van een ramp en de gevolgen hiervan voor uw organisatie door de meest onvoorziene incidenten of calamiteiten te identificeren. En documenteer de mogelijke financiële, operationele en reputatieschade die dergelijke gebeurtenissen met zich mee zullen brengen.

Stap 4: Stel hersteldoelstellingen vast

Identificeer bedrijfskritische systemen en geef prioriteit aan hersteltaken. Bepaal welke data hersteld dient te worden en vanaf welk herstelpunt de verloren data hersteld dient te worden. Bepaal daarnaast hoe lang het noodherstelproces mag duren – rekening houdend met de kosten van downtime voor uw organisatie. Met onze bedrijfscontinuïteitsservice kunt u uw gegevens binnen 6 seconden herstellen en onze service maakt het mogelijk om back-ups regelmatig (om elke 5 minuten) te laten plaatsvinden, waardoor het verlies van actuele data tot een minimum wordt beperkt).

Stap 5: Ontwikkel een actieplan voor noodherstel

Ontwikkel een noodherstelprocedure die aansluit bij uw einddoel – of dat nu bestandsherstel of virtualisatie is. Een standaardaanpak is niet altijd de oplossing, identificeer duidelijk bij welke incidenten een noodherstelplan zal worden gebruikt en onder welke omstandigheden herstelmaatregelen nodig zijn. Zorg ervoor dat elk plan resulteert in het hervatten van de diensten, met prioriteit voor de bedrijfseenheden of functies naar gelang van hun behoeften.

Stap 6: Ontwikkel een Incident Response Team

Dit team is verantwoordelijk voor de implementatie van een operationeel noodplan als het noodlot toeslaat. De bedrijfscontinuïteitsdienst van OASIS vermindert de noodzaak hiervoor door te voorzien in een extern bedrijfscontinuïteitsteam dat proactief uw back-ups en herstelplannen beheert vanaf een externe locatie, wanneer dat nodig is.

Stap 7: Stel een Incidentrapport op

Het incidentrapport dient de volgende zaken te vermelden:

  • Identificeren wat de storing heeft veroorzaakt, welke lopende problemen aangepakt dienen te worden, wat verbeterd kan worden in toekomstige noodherstelscenario’s en hoe de standaarden en protocollen zijn veranderd na de storing.
  • Controleer het herstel en verifieer de functionaliteit van de gebruikers zodra de back-up is voltooid (d.w.z. nagaan of alle gebruikers toegang hebben tot bronnen en applicaties).

Stap 8: Testen en Bijwerken

Uw bedrijfscontinuïteitsplan dient voortdurend getest en bijgewerkt te worden, waarbij eventuele tekortkomingen worden geïdentificeerd en de toekomstige uitvoerbaarheid wordt gewaarborgd. Met de bedrijfscontinuïteitsdienst van OASIS bent u hiervan verzekerd, via een jaarlijkse “proof of concept” oefening voor volledig herstel, compleet met rapportage na afloop van de calamiteit.