Waarom dataveiligheid vaak niet moeilijk hoeft te zijn

SL0119Eind  januari was het de Europese Dag van de Privacy. Dataprotectiedag, zoals deze dag ook weleens genoemd wordt, viert elk jaar de verjaardag van de ondertekening van het internationale Databeschermingsverdrag op 28 januari 1981. Begin februari werd deze Europese bewustmakingsdag dan nog eens gevolgd door Safer Internet Day. Voor ons bij Sirius Legal twee momenten om even stil te staan bij dataveiligheid en om eens intern lessen te trekken uit de ervaringen bij ons eigen cliënteel de voorbije jaren.

Een van de vaststellingen, zeker sinds mei 2018, is dat het aantal aangemelde datalekken bij bedrijven en organisaties in steeds stijgende lijn zit (waarbij in Nederland en Frankrijk vreemd genoeg tot 30 keer meer datalekken gemeld worden dan in België, een verschil waar niemand een redelijke verklaring heeft op heden…).

Een tweede, daaraan gekoppelde vaststelling is dat de overgrote meerderheid van de datalekken of vastgestelde datarisico’s eigenlijk, in hun essentie terug te brengen zijn tot één eenvoudig kernprobleem, dat bovendien vrij eenvoudig op te vangen is, met name menselijke slordigheid. Heel wat gevallen van dataverlies, hacking, of diefstal blijken immers te wijten aan paswoordveiligheid, slordig omgaan met afstandswerk, antivirusprogramma’s niet up to date houden, slordig omgaan met waar gegevens opgeslagen worden of hoe ze intern verzonden worden, …

Dat brengt ons bij een derde bedenking en die is dat het verzekering van dataveiligheid en van ‘GDPR compliance’ (wat een lelijke term blijft dat toch) helemaal niet duur of technisch ingewikkeld hoeft te zijn. Het dataveiligheidsniveau in uw onderneming kan reuzensprongen vooruit nemen door een reeks eenvoudige, goedkope en pragmatische maatregelen te nemen.  We hebben er hieronder een vijftal op een rijtje gezet.

 1/ Voer een goede paswoord-policy in

Paswoorden tot online tools circuleren vaak overal binnen een bedrijf: in mailboxen, notities, opgeslagen in niet-beveiligde files op netwerken, als post-it op het scherm gekleefd, etc. Bovendien wordt vaak vergeten om de paswoorden van werknemers die de onderneming verlaten onmiddellijk te blokkeren of te deactiveren.

 Tip van Sirius Legal: Investeer even tijd in een goede paswoord-policy waarin duidelijk wordt omschreven wat je verwacht van je medewerkers op vlak van paswoorden (bv. geen twee keer hetzelfde paswoord gebruiken, een bepaalde moeilijkheid van paswoord, het paswoord niet noteren op een post-it en op de pc kleven, paswoorden steeds in beveiligde files opslaan op het netwerk,…) en werk een procedure uit bij vertrek of ontslag van medewerkers. Zo weet iedereen tijdig wat te doen en verminder je het risico op datalekken.

2/ Investeer en onderhoud je anti-virus systemen

Het zal je maar overkomen: je anti-virus software is vervallen en vrijwel meteen wordt je onderneming aangevallen door een cryptolocker virus. Cryptolocker-virussen zijn virussen die de documenten en bestanden op een pc onbruikbaar maken (door de bestanden te encrypteren) en die losgeld eisen om de bestanden opnieuw leesbaar te maken (te de-encrypteren).

 Tip van Sirius Legal: Investeer in een degelijk back-up systeem waarbij minstens dagelijks een back-up wordt gemaakt die vervolgens op een externe locatie wordt opgeslagen en werk steeds je anti-virus bij met de nieuwste updates.

3/ Laat laptops van het bedrijf niet gebruiken voor privédoeleinden

Heel vaak krijgen medewerkers een laptop ter beschikking gesteld van de onderneming, die vervolgens privé wordt gebruikt om bijvoorbeeld de vakantiefoto’s te bewaren of om te gamen. Het gebruik van een professionele laptop voor privédoeleinden houdt ernstige risico’s in op vlak van schending van de confidentialiteit van de bedrijfsgegevens maar ook risico op datalekken. Achter die games die soms achteloos worden gedownload, kan bv. keylogger software zitten die malafide personen toelaat om op een makkelijke manier al je paswoorden te achterhalen.

 Tip van Sirius Legal: Maak met je medewerkers afspraken over het privégebruik van de professionele laptop en creëer bewustzijn (en eventueel beleid) rond het downloaden van apps, tools, games… zeker wanneer deze gratis zijn.

4/ Laat computers en dossiers nooit onbewaakt achter

Meer en meer bedrijven werken in een ‘open office’ waardoor het praktisch gezien zeer moeilijk is om van iedereen te verlangen dat laptop en dossiers terug worden opgeborgen tijdens bv. de lunchpauze of een interne/externe afspraak. Nochtans houdt een laptop die onbewaakt achterblijft wel degelijk risico’s in, risico’s die mogelijks zelfs groter zijn in ‘open offices’.

 Tip van Sirius Legal: Maak met je medewerkers afspraken over schermbeveiliging (vb. te activeren na 1 minuut van inactiviteit) en over het creëren van ‘clean desks’, minstens aan het einde van de werkdag (bv. aan de hand van een clean desk policy).

5/ Dossierkasten achter slot en grendel

Bedrijven investeren vaak tienduizenden euro’s in beveiliging van hun IT-systemen, hetgeen uiteraard een goeie zaak is. Jammer genoeg vergeet men daarbij vaak dat beveiliging niet enkel een kwestie van IT is, maar even goed van organisatie. Zo bleek uit de audits die we afgelopen maanden deden bij een groot aantal bedrijven in verschillende sectoren: personeelsdossiers worden vaak in fysieke kasten bewaard en deze dossiers bevatten vaak gevoelige gegevens zoals bijvoorbeeld arbeidsongeschiktheidsattesten.

 Tip van Sirius Legal: Reden te meer om je medewerkers aan te moedigen om de kasten waarin personeels- en andere dossiers worden bewaard af te sluiten met een sleutel. Indien dit niet mogelijk is, zorg er dan voor dat de lokalen waarin deze kasten zich bevinden minstens ‘s avonds afgesloten worden.

Bovenstaande tips garanderen u zeker geen 100% veiligheid. Ze zijn ook niet wetenschappelijk of statistisch onderbouwd en zijn enkel gebaseerd op onze eigen vaststellingen en ervaringen. Maar wie zonder gekke kosten of zware technische ingrepen als (kleine) webshop toch een aanzienlijke sprong vooruit wil maken, kan wellicht eerst met deze praktische huis-tuin-en-keuken maatregelen zijn voordeel doen alvorens dure consultants in te schakelen en grote investeringen te maken.  GDPR en dataveiligheid blijkt immers in veel gevallen vooral gewoon gezond verstand te vereisen

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.


*