top of page

AVG | Hoe beveilig je persoonsgegevens tegen digitale bedreigingen?


Cybercrime komt inmiddels vaker voor dan fietsendiefstal, zo blijkt uit onderzoek van De Nederlandsche Bank (DNB). Wat moet je doen om ervoor te zorgen dat verlies van persoonsgegevens in jouw bedrijf wordt voorkomen?

Wat de gevolgen zijn van cybercrime zie je in deze afbeelding van DNB.

Wat zegt de AVG?

Op basis van de Algemene verordening gegevensbescherming (AVG) moeten persoonsgegevens op een juiste en doeltreffende manier beveiligd worden. Op welke wijze geef hier je als bedrijf invulling aan? Zijn er zaken die minimaal geregeld moeten worden? Wat verwacht je van leveranciers en serviceproviders op het gebied van beveiliging? Wat moet je daarvoor ten minste regelen en hoe ga je daarbij te werk? Daarbij besteden we extra aandacht aan digitale bedreigingen, zoals ransomware, phishing en cryptominers.

De toezichthouder heeft ruim 20.000 meldingen van datalekken ontvangen in 2018. Een belangrijke oorzaak betrof het verlies van persoonsgegevens door hacking, phishing of ransomware. Extra alertheid op deze bedreigingen, ook in het mkb, is geboden.

Persoonsgegevens goed beveiligen

Hoe moeten volgens de AVG persoonsgegevens beveiligd worden? Houd hiervoor met de volgende zaken rekening:

  • De stand van de techniek – de huidige technische stand van de techniek is wat betreft technische maatregelen bepalend voor wat er minimaal van je verwacht wordt.

  • De aard, de omvang en doeleinden van de verwerkingen – de categorieën van persoonsgegevens in samenhang met de hoeveelheid persoonsgegevens en de verwerkingsdoelen zijn medebepalend voor de te nemen maatregelen.

  • De qua waarschijnlijkheid en ernst uiteenlopende risico’s voor personen – feitelijk moet je een risico-inschatting maken van je verwerkingen en op basis hiervan maatregelen treffen.

  • Verwerkers – je kunt alleen een beroep doen op verwerkers (bijvoorbeeld SAAS-leveranciers of hostingpartijen) die afdoende garanties met betrekking tot het toepassen van technische en organisatorische maatregelen bieden; deze maatregelen moeten worden opgenomen in een verwerkersovereenkomst; je bent bovendien gerechtigd te (laten) controleren bij je verwerker(s) of de maatregelen adequaat zijn.

  • De uitvoeringskosten – de AVG biedt tevens ruimte om een kostenafweging te maken; als de risico’s beperkt zijn, wordt niet van je verwacht dat je grote investeringen doet om een hoog beschermingsniveau te bereiken.

  • Beleid – als je van mening bent dat je, gezien voorgaande zaken, hoge risico’s loopt bij de verwerking van persoonsgegevens, dan moet je een passend gegevensbeschermingsbeleid opstellen.

Digitale bedreigingen: ransomware, phishing en cryptominers

Ransomware is kwaadaardige software die harde schijven, netwerkopslag of virtuele (cloud)disks blokkeert, met als gevolg dat computersystemen en/of gegevensbestanden niet meer toegankelijk zijn. Meestal wordt daarna betaling geëist (via bijvoorbeeld Bitcoins) om de blokkade op te heffen. De gijzeling verloopt meestal via besmette e-mailbijlagen (waarin bijvoorbeeld wordt gevraagd een link aan te klikken voor het activeren van een gewonnen prijs) of via advertenties op internet die een lek in niet-geüpdatete software misbruiken. Criminelen kunnen ransomware inmiddels voor een geringe prijs inkopen.

Phishing

Phishing is een methode waarbij criminelen via slinkse wijze informatie weten te verkrijgen van individuen of medewerkers van bedrijven. Methodes zijn bijvoorbeeld dat je ongemerkt naar een valse, identieke website van een bank wordt geleid waar je nietsvermoedend je inlognaam, wachtwoord en bankrekeningnummer gebruikt. Deze zijn dan in handen gevallen van criminelen. Andere methodes die gebruikt worden, zijn betrouwbaar lijkende e-mails of sms’jes met een link naar een nep-website waarin gevraagd wordt bijvoorbeeld je wachtwoord opnieuw in te stellen.

Cryptomining

Cryptomining is een bedreiging waarbij kwaadaardige software bij nietsvermoedende gebruikers wordt geïnstalleerd, op vergelijkbare wijze als bij ransomware. Op de achtergrond wordt dan een deel van het rekenvermogen van deze computer ingezet om zogenaamde cryptomunten te delven. Gedupeerden krijgen door het verlies van rekenkracht last van trage computersystemen.

Datalek

Als door ransomware bestanden zijn geblokkeerd die persoonsgegevens bevatten, kwalificeert dit als een datalek. Om de bestanden te kunnen blokkeren, is er ongeoorloofde toegang geweest tot deze gegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd. Ondernemingen dienen op basis van eigen vastgesteld beleid te besluiten of het betreffende datalek wel of niet gemeld wordt aan de Autoriteit Persoonsgegevens en aan betrokkenen.

Voorkomen digitale aanvallen of gevolgen beperken

Hoe kun je een ransomware-aanval, phishing of cryptomining voorkomen dan wel de gevolgen verkleinen? Neem onder meer de volgende maatregelen:

  • Open geen onbekende bijlagen of links van een e-mail; wees extra alert bij het downloaden van software, muziek, films, tv-series, pdf’s en andere bestanden.

  • Draag zorg voor een hoog risicobewustzijn bij je medewerkers ten aanzien van digitale bedreigingen.

  • Gebruik nooit internet zonder antivirusprogramma en firewall.

  • Implementeer direct actuele beveiligingsupdates voor besturingssysteem en programma’s.

  • Zorg altijd voor volledige back-ups van de belangrijkste data.

Andere noodzakelijke maatregelen

Hieronder staat een overzicht van andere noodzakelijke technische en organisatorische maatregelen die je kan nemen. Uiteindelijk gaat het om het kiezen van een set aan maatregelen die voor jouw organisatie effectief en kostenefficiënt is.

  • wachtwoordbeleid, rechten- en autorisatiestructuur inrichten;

  • loggen en controleren (monitoring) van toegang tot de informatiesystemen;

  • monitoren kwetsbaarheden op het interne en externe netwerk;

  • adequate fysieke beschermingsmaatregelen treffen;

  • procedures opstellen voor opslag, onderhoud en vernietiging van data;

  • procedures opstellen voor het behandelen van informatiebeveiligingsincidenten en datalekken;

  • inrichten incidentenregister.

bottom of page