AVG: hoe beveilig je persoonsgegevens tegen digitale bedreigingen?

26 augustus 2019

Wat de gevolgen zijn van cybercrime ziet u in onderstaande afbeelding van DNB.

Cybercrime

Klik op de afbeelding voor een vergroting.

Wat zegt de AVG?

Op basis van de Algemene verordening gegevensbescherming (AVG) moeten persoonsgegevens op een juiste en doeltreffende manier beveiligd worden. Op welke wijze geeft u hier als bedrijf invulling aan? Zijn er zaken die minimaal geregeld moeten worden? Wat verwacht u van uw leveranciers en serviceproviders op het gebied van beveiliging? Wat dient u daarvoor ten minste te regelen en hoe kunt u daarbij te werk gaan? Daarbij besteden we extra aandacht aan digitale bedreigingen, zoals ransomware, phishing en cryptominers.

De toezichthouder heeft ruim 20.000 meldingen van datalekken ontvangen in 2018. Een belangrijke oorzaak betrof het verlies van persoonsgegevens door hacking, phishing of ransomware. Extra alertheid op deze bedreigingen, ook in het mkb, is geboden.

Persoonsgegevens goed beveiligen

Hoe moeten volgens de AVG persoonsgegevens beveiligd worden? Hiervoor moet u met de volgende zaken rekening houden:

  • De stand van de techniek – de huidige technische stand van de techniek is wat betreft technische maatregelen bepalend voor wat er minimaal van u verwacht wordt.
  • De aard, de omvang en doeleinden van de verwerkingen – de categorieën van persoonsgegevens in samenhang met de hoeveelheid persoonsgegevens en de verwerkingsdoelen zijn medebepalend voor de te nemen maatregelen.
  • De qua waarschijnlijkheid en ernst uiteenlopende risico’s voor personen – feitelijk dient u een risico-inschatting te maken van uw verwerkingen en op basis hiervan uw maatregelen treffen.
  • Verwerkers – u kunt alleen een beroep doen op verwerkers (bijvoorbeeld SAAS-leveranciers of hostingpartijen) die afdoende garanties met betrekking tot het toepassen van technische en organisatorische maatregelen bieden; deze maatregelen moeten worden opgenomen in een verwerkersovereenkomst; u bent bovendien gerechtigd te (laten) controleren bij uw verwerker(s) of de maatregelen adequaat zijn.
  • De uitvoeringskosten – de AVG biedt tevens ruimte om een kostenafweging te maken; indien de risico’s beperkt zijn, wordt niet van u verwacht dat u grote investeringen doet om een hoog beschermingsniveau te bereiken.
  • Beleid – als u van mening bent dat u, gezien voorgaande zaken, hoge risico’s loopt bij de verwerking van persoonsgegevens, dan dient u een passend gegevensbeschermingsbeleid op te stellen.

Digitale bedreigingen: ransomware, phishing en cryptominers

Ransomware is kwaadaardige software die harde schijven, netwerkopslag of virtuele (cloud)disks blokkeert, met als gevolg dat computersystemen en/of gegevensbestanden niet meer toegankelijk zijn. Meestal wordt daarna betaling geëist (via bijvoorbeeld Bitcoins) om de blokkade op te heffen. De gijzeling verloopt meestal via besmette e-mailbijlagen (waarin bijvoorbeeld wordt gevraagd een link aan te klikken voor het activeren van een gewonnen prijs) of via advertenties op internet die een lek in niet-geüpdatete software misbruiken. Criminelen kunnen ransomware inmiddels voor een geringe prijs inkopen.

Phishing

Phishing is een methode waarbij criminelen via slinkse wijze informatie weten te verkrijgen van individuen of medewerkers van bedrijven. Methodes zijn bijvoorbeeld dat u ongemerkt naar een valse, identieke website van een bank wordt geleid waar u nietsvermoedend uw inlognaam, wachtwoord en bankrekeningnummer gebruikt. Deze zijn dan in handen gevallen van de criminelen. Andere methodes die gebruikt worden, zijn betrouwbaar lijkende e-mails of sms’jes met een link naar een nep-website waarin gevraagd wordt bijvoorbeeld uw wachtwoord opnieuw in te stellen.

Cryptomining

Cryptomining is een bedreiging waarbij kwaadaardige software bij nietsvermoedende gebruikers wordt geïnstalleerd, op vergelijkbare wijze als bij ransomware. Op de achtergrond wordt dan een deel van het rekenvermogen van deze computer ingezet om zogenaamde cryptomunten te delven. Gedupeerden krijgen door het verlies van rekenkracht last van trage computersystemen.

Datalek

Als door ransomware bestanden zijn geblokkeerd die persoonsgegevens bevatten, kwalificeert dit als een datalek. Om de bestanden te kunnen blokkeren, is er ongeoorloofde toegang geweest tot deze gegevens. Ook kan er meer met de gegevens zijn gebeurd dan op het eerste gezicht lijkt. De gegevens kunnen bijvoorbeeld zijn gekopieerd of gemanipuleerd. Ondernemingen dienen op basis van eigen vastgesteld beleid te besluiten of het betreffende datalek wel of niet gemeld wordt aan de Autoriteit Persoonsgegevens en aan betrokkenen.

Voorkomen digitale aanvallen of gevolgen beperken

Hoe kun je een ransomware-aanval, phishing of cryptomining voorkomen dan wel de gevolgen verkleinen?
Als organisatie dient u onder meer de volgende maatregelen te treffen:

  • Open geen onbekende bijlagen of links van een e-mail; wees extra alert bij het downloaden van software, muziek, films, tv-series, pdf’s en andere bestanden.
  • Draag zorg voor een hoog risicobewustzijn bij uw medewerkers ten aanzien van digitale bedreigingen.
  • Gebruik nooit internet zonder antivirusprogramma en firewall.
  • Implementeer direct actuele beveiligingsupdates voor besturingssysteem en programma’s.
  • Zorg altijd voor volledige back-ups van de belangrijkste data.

Andere noodzakelijke maatregelen

Hieronder treft u een overzicht aan van andere noodzakelijke technische en organisatorische maatregelen die u kunt treffen. Uiteindelijk gaat het om het kiezen van een set aan maatregelen die voor uw organisatie effectief en kostenefficiënt is.

  • wachtwoordbeleid, rechten- en autorisatiestructuur inrichten;
  • loggen en controleren (monitoring) van toegang tot de informatiesystemen;
  • monitoren kwetsbaarheden op het interne en externe netwerk;
  • adequate fysieke beschermingsmaatregelen treffen;
  • procedures opstellen voor opslag, onderhoud en vernietiging van data;
  • procedures opstellen voor het behandelen van informatiebeveiligingsincidenten en datalekken;
  • inrichten incidentenregister.

Bron: SRA