Organisatorische mogelijkheden

Fysieke maatregelen voor toegangsbeveiliging en logische toegangscontrole

Fysieke beveiliging gaat over de beveiliging van fysieke locaties. Denk hierbij aan de toegang tot het bedrijfspand, de afdeling, de serverruimte, een archiefkast en de kluis. Dat gebeurt vaak met behulp van sleutels, toegangspassen of camerabeveiliging. Niet iedere werknemer heeft dezelfde bevoegdheden, een administratief medewerker hoeft bijv. niet in de serverruimte en een systeembeheerder heeft niks te zoeken in de geldkluis. Vaak wordt een organisatie verdeeld in verschillende toegangsgedeelten: een gedeelte komt overeen met de soort werkzaamheden die door de medewerker worden uitgevoerd. Voor de toegang tot de serverruimte of kluis kan het bijvoorbeeld nodig zijn extra beveiligingsmaatregelen toe te passen, zoals gebruik van een vingerafdrukscanner.

Toegang tot systemen, of dat nou een netwerk, domein of applicatie is, valt onder de logische toegangsbeveiliging. Logische toegangsbeveiliging heeft overeenkomsten met fysieke beveiliging. Een website komt overeen met de receptie; bezoekers hebben toegang tot (oppervlakkige) informatie over het bedrijf. Klanten kunnen inloggen op de site met een gebruikersnaam en wachtwoord en krijgen zo informatie te zien die specifiek voor hun bedoeld is. Medewerkers dienen in te loggen via een VPN-connectie om toegang te krijgen tot het intern beveiligde netwerk.

Risicomanagement

Risicomanagement is het herkennen en berekenen van risico's binnen een organisatie en het opstellen van maatregelen om deze risico's te verkleinen. Goed risicomanagement draagt bij aan het in stand houden van een organisatie.

Screening personeel

Het natrekken van de achtergrond van alle kandidaten voor een dienstverband dient het in verhouding te staan tot de bedrijfseisen, de mate van informatie waartoe toegang wordt verleend en de vastgestelde risico’s. Organisaties moeten op grond van de NEN 7510 de identiteit, het huidige adres en de vorige werkkring van personeel, contractanten en vrijwilligers op het moment van de sollicitatie natrekken.

VOG-verklaring

Soms heb je voor een sollicitatie een VOG-verklaring nodig. Bijvoorbeeld voor een functie waarin je werkt met vertrouwelijke gegevens, kwetsbare personen, geld of goederen. Voor sommige functies is een VOG wettelijk verplicht, bijv. voor onderwijzers, gastouders en taxichauffeurs. De overheid legt in regelgeving vast voor welke beroepen een VOG in ieder geval verplicht is. Als er geen wettelijke verplichting is voor het overleggen van een VOG, mag een werkgever zelf bepalen of hij een VOG verplicht stelt voor een bepaalde functie.

Privacy bewustzijn- en beveiligingstrainingen

Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren te garanderen dat onderwijs en training over informatiebeveiliging worden gegeven bij de introductie van nieuwe medewerkers. Daarnaast moeten er regelmatig updates van beveiligingsbeleid en -procedures van de organisatie worden verstrekt aan betrokken personen die persoonlijke gezondheidsinformatie verwerken.  Het bewustzijnsprogramma behoort een aantal bewustwordingsactiviteiten te bevatten, zoals campagnes en het verspreiden van boekjes of nieuwsbrieven. Het bewustwordingsprogramma moet regelmatig worden geactualiseerd, zodat het in overeenstemming blijft met de beleidsregels en procedures van de organisatie.

Beperken inzageniveau

Op grond van de AVG heeft iedere burger recht op inzage in alle persoonsgegevens die een organisatie over hem of haar heeft opgeslagen. Zo heeft de burger onder andere inzicht in welke gegevens mogelijk vatbaar zijn voor een datalek. Een inzageverzoek kan veel werk opleveren. De aanvrager moet in zijn of haar verzoek zelf zo goed mogelijk aangeven in welke gegevens inzage wordt gewenst. Als dat niet helemaal duidelijk is of wanneer de aanvraag te breed is, kun je in overleg, proberen de omvang van de aanvraag zo goed mogelijk te bepalen en indien mogelijk, te verkleinen.

Periodiek een pentest uitvoeren

Wanneer je als organisatie veel te maken hebt met vertrouwelijke persoonsgegevens of wanneer je organisatie afhankelijk is van de beschikbaarheid van uw IT-omgeving, is het aan te bevelen om periodiek een pentest uit te laten voeren. De pentest is een middel om mogelijke kwetsbaarheden in een organisatie in kaart te brengen. Bij een pentest probeert een ethisch hacker op alle mogelijke manieren het bedrijfsnetwerk, website of applicatie binnen te dringen. Hierbij wordt niet alleen gekeken hoe er kan worden ingebroken, maar ook in hoeverre de systemen kunnen worden gemanipuleerd voor verder misbruik. Een pentest wordt vaak uitgevoerd wanneer er sprake is van een nieuwe website, applicatie of naar aanleiding van een incident.

Responsible-disclosurebeleid

Responsible-disclosurebeleid is het op verantwoorde wijze en in gezamenlijkheid, tussen melder en organisatie, openbaar maken van ICT-kwetsbaarheden. Het doel van het beleid is het verhogen van de veiligheid van ICT-systemen door kennis over ICT-kwetsbaarheden te delen. Iedereen kan een melding met betrekking tot ICT-kwetsbaarheden doen bij een organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.

Hoe nu verder?

Hiervoor hebben we het organisatorisch kader aan maatregelen besproken. De vervolgvraag is nu; wat kun je als organisatie nog meer doen om datalekken te voorkomen? De AVG en de hiervoor beschreven normen bieden hiervoor een aantal handreikingen. In deel 3 van deze serie worden verschillende technische maatregelen besproken die een organisatie kan treffen om datalekken te voorkomen.