Hoe nu praktisch verder? Door het lezen van deel 1 en deel 2 hebben we context opgebouwd over de impact die de regelgeving heeft op de informatie die we reeds in bezit hebben. De aandacht daarbij heeft gelegen op inventarisatie en het vereiste beheer van deze data. Nu zijn we aangekomen op het punt waar we maatregelen definiëren en deze toepassen om persoonsgegevens te kunnen beschermen en de verwerking in goede banen te leiden.
N.B. De onderstaande voorbeelden geven een richting van de maatregelen en beleidsregels die je zou kunnen toepassen en zijn zeker geen totaaloplossing. Kijk altijd wat voor jouw organisatie de best passende oplossing is!
Stap 3: Beschermen van data
Door met de uitvoering te beginnen kunnen we vooral praktisch aan de slag. Het is misschien tegennatuurlijk om met de uitvoering te beginnen maar het helpt ons om uitvoerbaar beleid te kunnen herleiden. Dat is vele malen beter dan regeltjes opschrijven die niemand kan uitvoeren.
Welke soort maatregelen helpen nu concreet bij het beschermen van de gegevens die we onder handen hebben tijdens het uitvoeren van onze werkzaamheden?
- Restrictie van toegang tot devices
- De meest eenvoudig te realiseren beperking is de afscherming van devices voor gedeeld gebruik. Voor mobiele telefoons en laptops is dit eenvoudig in te regelen. Maak gebruik van de mogelijkheden die standaard geboden worden op de diverse platforms. Op een Windows 10 PC kan dit door te werken met een strikt persoonlijk gebruikersaccount. Hierbij kan je als middelen om een gebruiker te identificeren gebruik maken van gebruikersnaam en wachtwoord maar ook “Windows Hello” waarbij gezichtsherkenning wordt toegepast of, als de laptop daarin voorziet, een vingerafdruk lezer. Voor moderne telefoons geldt min of meer het zelfde. Maak gebruik van pincode en vingerafdruklezers om toegang tot de inhoud van een device te beperken.
- Het beleid dat hieruit af te leiden is, kan als volgt worden geformuleerd:
- Een door onze organisatie ter beschikking gesteld device is voor strikt persoonlijk gebruik
- Gegevens om in te kunnen loggen op een ter beschikking gesteld device zijn strikt persoonlijk en mogen derhalve nooit worden gedeeld
- Als een device in mijn organisatie van gebruiker verandert dient dit een volledig schone installatie te zijn zodat de voorgaande gebruiker geen wachtwoorden hoeft te overleggen.
- Encryptie van bestanden
- Dit klinkt als complexe materie maar met moderne middelen is het prima te doen
- Het instellen van encryptie op bestanden op een Windows laptop wordt mogelijk gemaakt door BitLocker, het disk encryptie programma dat onderdeel is van Windows. Daarmee worden alle bestanden op uw schijf geencrypt (behalve de bestanden die noodzakelijk zijn om op te starten). Om dit mogelijk te maken zal wel uw laptop van een Trusted Platform Module (TPM) voorzien moeten zijn, iets waarmee u bij de aanschaf van hardware rekening zult moeten houden. Door het gebruik van de TPM kan de encryptiesleutel voor uw disk veilig worden opgeslagen en hoeft u niet handmatig de sleutel in te voeren bij het opstarten. BitLocker kan ook worden ingeschakeld voor uitwisselbare stations zoals USB-sticks. Daarbij kun je kiezen voor het gebruik van een wachtwoord om de encryptie en ook decryptie te activeren of een smart card. Een wachtwoord maakt het mogelijk om op ieder systeem waar BitLocker ondersteuning is de USB-key te gebruiken maar introduceert anderzijds een wachtwoord dat eenvoudig gedeeld kan worden met anderen waardoor het juist weer minder veilig is. Belangrijke noot bij het gebruik van BitLocker is het opslaan van recovery keys. Zorg er voor dat deze veilig worden opgeborgen, het gebeurt nog wel eens dat een TPM niet helemaal lekker werkt en de enig optie om dan een schijfstation te unlocken is met behulp van de recovery key. Als de laptop onderdeel is van een Windows domein of kunnen deze sleutels automatisch worden opgeslagen. Een andere manier van veilig bewaren is uitprinten en in een verzegelde envelop in de kluis bewaren.
- Het instellen van encryptie op een telefoon is iets eenvoudiger. Bij de installatie van bijvoorbeeld het Android besturingssysteem wordt er al een vraag gesteld of je encryptie wilt inschakelen. Kies “ja” en let even goed op met welke pincode of wachtwoord je dit activeert. Als je dit vergeet is je telefoon onbruikbaar als deze opnieuw wordt opgestart! Ook hier geldt dat deze sleutel voor het ontgrendelen van de encryptie eigenlijk het beste uitgeprint in een verzegelde envelop in de kluis kan worden gelegd. Dat kan mooi gecombineerd worden met puk-code van de sim kaart.
- Het beleid dat hieruit af te leiden is kan als volgt worden uitgedrukt:
- Alle devices die onze organisatie in gebruik heeft zijn voorzien van ingeschakelde disk encryptie
- Alle verwijderbare USB media die worden toegepast om persoonsgegevens te transporteren zijn voorzien van disk encryptie
- Alle benodigde recovery sleutels en pincodes voor het unlocken van een device zijn in een verzegelde envelop in de kluis aanwezig
- Dit klinkt als complexe materie maar met moderne middelen is het prima te doen
- Centrale data opslag
- Het zijn maar drie woorden maar deze hebben een enorme impact. Door data centraal op te slaan betekent dit dat we altijd over actuele gegevens beschikken, geen documenten hoeven te e-mailen naar medewerkers maar alleen een referentie naar een bestand hoeven te delen. Gegevens zijn eenvoudiger te back up-en doordat ze niet overal en nergens op systemen rondslingeren. En door centralisatie is het eenvoudiger te monitoren wie toegang heeft gehad tot welke bestanden. Dat is een heel stapel voordelen maar de uitvoering van deze maatregel vereist goede kennis van de besturingssystemen die worden gebruikt op de devices die in gebruik zijn. Laten we even een aantal opties doorlopen
- Als je organisatie met Office 365, DropBox of Google Docs werkt dan kun je er voor kiezen om al je documenten op de “Cloud Drive” te plaatsen. Het is dan een kwestie van de juiste applicatie installeren en je hebt toegang tot alle bestanden. Daarbij wordt over het algemeen een kopie van alle documenten op het lokale device bijgehouden en bij wijziging worden deze gesynchroniseerd naar de cloud, lekker gemakkelijk en ook toegankelijk voor telefoons/tablets etc.
- Als je voor een oplossing met een NAS/File share kiest op je bedrijfsnetwerk zal je iets meer zaken moeten regelen. Je kunt bijvoorbeeld gebruik maken van een roaming profiles op de laptops en er voor zorgen dat daarmee de bestanden van de laptops ook op een centrale locatie worden opgeslagen. Wel zo handig als je er voor kiest om medewerkers gebruik te laten maken van de “normale” documenten directory in het gebruikersprofiel. Daarnaast kun je een file shares toepassen en een netwerk drive mounten. Deze kan je natuurlijk zo instellen dat deze voor offline werken kunt gebruiken zodat je niet continu met de fileshare in verbinding hoeft te staan om documenten te openen/bewerken. Let op, dit kan wel synchronisatieconflicten met zich meebrengen als andere gebruikers gelijktijdig bestanden bewerken.
- Het beleid dat hieruit af te leiden is, is als volgt te verwoorden:
- Alle bestanden waarin zich persoonsgegevens bevinden worden altijd op de afgesproken centrale opslaglocatie opgeslagen
- Het is niet toegestaan buiten de centrale opslaglocatie te werken met bestanden waarin persoonsgegevens zijn opgeslagen
- Het is niet toegestaan bestanden met persoonsgegevens te emaillen
- Het kopiëren van gegevens uit deze centrale locatie naar alternatieve locaties en transporteren van gegevens naar andere organisaties dient onder voorwaarde van toestemming van de gegevensbescherming functionaris plaats te vinden
- Bestanden die nieuwe informatie elementen bevatten ten aanzien van persoonsgegevens en privacy gevoelige informatie dienen geregistreerd te worden in het register van gevoelige data (zie kruistabel blog deel 2)
- Het zijn maar drie woorden maar deze hebben een enorme impact. Door data centraal op te slaan betekent dit dat we altijd over actuele gegevens beschikken, geen documenten hoeven te e-mailen naar medewerkers maar alleen een referentie naar een bestand hoeven te delen. Gegevens zijn eenvoudiger te back up-en doordat ze niet overal en nergens op systemen rondslingeren. En door centralisatie is het eenvoudiger te monitoren wie toegang heeft gehad tot welke bestanden. Dat is een heel stapel voordelen maar de uitvoering van deze maatregel vereist goede kennis van de besturingssystemen die worden gebruikt op de devices die in gebruik zijn. Laten we even een aantal opties doorlopen
Stap 4:Beleid
Naast de reeds afgeleide beleidsregels kunnen we nog een paar bredere beleidsregels definiëren die helpen met het creëren van samenhang tussen de eerder gedefinieerde regels.
Waar het gaat om algemeen aanvaardbaar gebruik van de informatie en systemen:
- Een medewerker kan alleen een device ter beschikking krijgen als deze schriftelijk akkoord gaat met de bruikleenovereenkomst voor dit device
- Dit heeft twee duidelijke bedoelingen. Ten eerste dat er een formele overhandiging is waarbij de gebruiker akkoord gaat met de voorwaarden die gesteld zijn aan het gebruik van een device. Ten tweede het creëert de gelegenheid om de voorwaarden te communiceren en er zeker van te zijn dat de medewerker volledig geïnformeerd is in zake de verwachtingen en verplichtingen die hij/zij aangaat door het accepteren van de voorwaarden voor het gebruik van een device
- Afwijken van de beleidsregels kan resulteren in het schorsen of beëindigen van de bruikleenovereenkomst of potentieel invloed hebben op de arbeidsovereenkomst
-
- In deze ligt nadruk op de naleving, aangezien compliance valt en staat met de discipline van de (device) gebruiker
Waar het gaat om educatie en voorlichting:
- Als goed werkgever draag ik de zorg dat ik de medewerkers in mijn organisatie 2 keer per jaar een briefing of training geef waarin de privacybescherming het primaire onderwerp is
- Als goed werkgever draag ik de zorg dat nieuw aangestelde medewerkers worden voorgelicht over de privacyaspecten en maatregelen die wij nemen om compliant te zijn met de regelgeving bij de uitvoering van de werkzaamheden
Waar het gaat om toewijzen van verantwoordelijkheid voor gegevensbescherming:
- Als organisatie stellen wij een verantwoordelijke functionaris gegevensbescherming aan (voor sommige organisaties is dit wettelijk verplicht, zie de site van het College bescherming persoonsgegevens)
- Deze zal 4 keer per jaar steekproven nemen om te verifiëren dat geldende beleid wordt nageleefd
- Deze heeft de autoriteit om namens directie inspectie te doen in alle IT systemen die de organisatie toepast voor gegevensverwerking
- Deze zal rapporteren over bevindingen aan directie
- Deze is aanspreekpunt voor alle zaken met betrekking tot bescherming van gegevens
- Deze zal het beleid actualiseren en communiceren aan medewerkers
- Dit is noodzakelijk vanwege continue veranderingen in technologische ontwikkelingen en wijzigingen uit wettelijke kaders
Het moge duidelijk zijn, dit is niet een set van uitputtende maatregelen of standaard lijstje wat “even” overgenomen kan worden. Als ondernemer heb je de verplichting om voor jouw bedrijf de juiste invulling te geven aan de regelgeving. Neem er dus de tijd voor om dat naar jouw eigen inzicht te doen en toets je ideeën en oplossingen bij de experts.
#AanDeSlag
