Vijf datasecurity tips voor GDPR compliancy

Bij de start van de nieuwe General Data Protection Regulation (GDPR) in mei vorig jaar stond het privacy-aspect (opt-in, privacy policies,…) centraal. Sindsdien heerst er nog opmerkelijk veel onduidelijkheid over de manier waarop nu op een correcte en veilige manier met data moet worden omgegaan.

Wij overlopen vijf concrete datasecurity maatregelen die uw IT-departement  kunnen helpen om niet alleen de omgang met persoonsgegevens, maar ook de hele bedrijfsvoering te ondersteunen en GDPR compliant te maken.

gdpr_it_artikel-1_780x520

1. Een intern privacy & security beleid

Hoe reageer ik op verzoeken tot toegang van gegevens door klanten, medewerkers, ed.? Welke stappen moet ik ondernemen bij een datalek? Welke data mogen al dan niet verwerkt en bewaard worden? Het zijn allemaal vragen waar uw collega’s bij u voor komen aankloppen. Bovendien komen vaak dezelfde vragen terug. Ontlast u van al die vragen en stel daarom een toegankelijk privacy & securitybeleid op. In zo’n beleid beantwoordt u de meest prominente vragen in de vorm van een concreet stappenplan. Zo geeft u uw collega’s de tools in handen om ten allentijde op een correcte en veilige manier met data om te gaan.

Tip! Zorg dat iedereen weet wat hij of zij moet doen als het toch misgaat. Een jaarlijkse ‘disaster’ oefening kan hierbij helpen.

2. Administrator rechten en beheerdersaccounts onder controle houden

Kunnen uw collega’s om het even welk programma zomaar op hun computer installeren? Heeft iedereen toegang tot alle folders en subfolders op de server? Dit houdt een serieus veiligheidsrisico in! Het is belangrijk de toegangsrechten en beheerdersaccounts van uw collega’s op regelmatige tijdstippen te herbekijken. De reden is simpel: door het controleren en beperken van het aantal administrators binnen een omgeving, verlaagt u de risico’s op datalekken en -misbruiken. Wees dus niet te kwistig met het toekennen van admin- en toegangsrechten. Maar geef ook niet alle rechten aan een enkele persoon, want dergelijke personen zijn een geliefkoosd doelwit voor hackers.

3. Tijdig, maar vooral slim back-ups nemen

Het klinkt logisch, maar het wordt zeker bij uw collega’s het wel eens vergeten of uitgesteld. In het kader van disaster recovery en cryptolockers is het geen overbodige luxe om op dagelijkse basis back-ups te nemen. Idealiter worden deze ook afgezonderd van uw netwerk bewaard. Kies bovendien ook voor een robuust back-up systeem dat ook een vlotte restore mogelijk maakt. Een goed beveiligde cloud oplossing dient hier perfect voor.

Tip! Bekijk intern hoe lang het nodig is om back-ups bij te houden. Volgens de GDPR moet er een grondige reden opgegeven worden die de bewaringstermijn kan staven. Denk hier dus goed over na!

4. Two-Factor Authentication

Door een stevige toename van phishing , kraken en andere wachtwoordomzeilingen wenden heel wat bedrijven zich tot de Two-Factor Authentication (2FA). 2FA is een authenticatie methode waarbij de gebruiker twee stappen succesvol moet doorlopen om ergens toegang tot te krijgen. Het gebruikelijke wachtwoord en gebruikersnaam wordt behouden, maar daar komt nog een extra authenticatie bij via een pushbericht op uw mobiele telefoon, een irisscanner,...

Door het gebruik van een 2FA kan er bij verlies van het wachtwoord of door hacking geen toegang verkregen worden, net omdat de hacker dan naast de gebruikersnaam en wachtwoord ook andere middelen nodig heeft om toegang te krijgen tot data.

5. Data versleutelen

Encryptie is een belangrijke methode voor het beveiligen van gegevens. Versleutelde data zijn geheel onleesbaar zonder de juiste sleutel. Zo voorkomt u dat onbevoegden (persoons-) gegevens bekijken, gebruiken of verzenden. Met bepaalde software, zoals Microsoft Bitlocker kan u makkelijk gegevens versleutelen en opnieuw decoderen.

Tip! Documenteer de stappen die u onderneemt om uw data te versleutelen of te beveiligen. Volgens de GDPR moet u bij incidenten kunnen aantonen dat u de nodige maatregelen hebt genomen.

Welke toepassingen gebruikt u?

Uw IT-departement is ongetwijfeld bekend met enkele van deze toepassingen. Maar worden ze ook gebruikt? De Europese privacywetgeving – waaronder GDPR behoort – zal de komende maanden en jaren nog meer verstrengen. Zorg dat uw departement goed voorbereid is en neem dus zeker op tijd de nodige maatregelen.

 

 

  18702