Ga naar Index

In 5 stappen je informatiebeveiligingsplan opstellen


Hangslot
Hangslot

In de vorige blogs heb ik je geholpen om een verwerkingsregister op te stellen, een privacyverklaring op te stellen en verwerkersovereenkomsten te maken met jouw dienstverleners. In deze documenten moet je de genomen beveiligingsmaatregelen noemen. Deze blog legt uit wat dat zijn en hoe je die invoert en benoemt in de documenten. Samen vormen deze beveiligingsmaatregelen dan weer je informatiebeveiligingsplan. En dat kan je aan het eind van deze week nog klaar hebben. Om de risico’s voor datalekken af te laten nemen moet je een paar zaken goed regelen:

  • Zorg dat je email niet meer kan lekken
  • Zorg dat je bestanden goed zijn opgeslagen
  • Zorg dat je de uitwisseling van grote bestanden veilig regelt
  • Leg vast wat je digitaal doet
  • Fysieke informatie beveiliging

Hoe zorg je voor veilig versturen van e-mails?

Om maar met een eerste olifant in de kamer te beginnen: gewone e-mail is niet voldoende om datalekken te voorkomen. Dat is niet alleen onze overtuiging, ook de juridische specialisten vinden dit. Dit betekent dat je geen persoonlijke gegevens van mensen in een e-mail mag zetten volgens de GDPR. Dit los je het simpelst op door een abonnement op Secumail te nemen. Dan kan je gewoon doorgaan, iedereen kan met iedereen blijven mailen en op de achtergrond dwingt Secumail een veilige verbinding af, waardoor je zeker weet dat jouw e-mails veilig, versleuteld, zijn verstuurd.

Hoe zorg je voor veilige opslag van e-mails en agenda’s?

Daarnaast moet je ook zorgen dat je e-mailarchief niet kan lekken. Dit kun je het makkelijkst voor elkaar krijgen met een goede emailprovider. Hierbij is het motto: “Hoe groter, hoe beter” want dan hebben ze én de middelen én de expertise in huis om goede, veilige maildienstverlening op te zetten. Daarnaast helpt het als je betaalt voor je abonnement, want bij gratis diensten wordt er namelijk verdiend aan jouw gegevens, en dat is nou net wat we willen voorkomen met deze beveiligingsmaatregelen. Goede leveranciers zijn:

  • Soverin, mooi veilig Nederlands product
  • Office 365 van Microsoft: zeer betaalbaar en uitgebreid, hiermee regel je meteen al je kantoorautomatisering GDPR-proof
  • Amazon, zeker in de bedrijfswereld een hele grote speler, met als enige Amerikaanse partij een rechtstreekse overeenkomst met de EU over veilige dataopslag.

Al deze partijen hebben ook goede virus en spam maatregelen, dan hoef je dat ook niet meer extra aan te schaffen.

Opslag van al je bestanden en documenten. Hoe regel je dit veilig?

De tijd dat je al je bestanden en je volledige administratie op eigen laptop en harde schijf veilig thuis bewaarde is al lang achter ons. Natuurlijk zijn er nog wel ondernemers die dat doen, maar het is niet heel veilig. Juist onder de nieuwe wetgeving is ook het kwijt raken van gegevens van jouw klanten een datalek dat gemeld moet worden aan de betrokkenen en de Autoriteit Persoonsgegevens.

Een schrijnend voorbeeld : als mediator heb je de laatste 10 jaar behoorlijk veel echtscheidingsconvenanten afgesloten voor jouw cliënten. Na 5 jaar belt een van je cliënten op met de volgende vraag: “Ik wil graag een afschrift van het convenant. Ik ben het zelf kwijt geraakt, want ik ben door de echtscheiding inmiddels wel 3 keer verhuisd en de kids zijn nu toe aan de middelbare school, dus ik wil nog eens nakijken wat we precies hebben afgesproken over de schoolkeuze. Kan jij mij nog even een kopie sturen van de toen gemaakte afspraken?”

Als dit convenant op de oude laptop staat die al 3 jaar buiten dienst is, dan wordt het tijd om je bestandenopslag te vernieuwen.

Dit is wat je kan doen: Zet alles in de cloud. Kies hiervoor een goede dienstverlener. Zorg ook dat al je medewerkers bij de bestandsstructuur kunnen en laat niemand meer iets op zijn eigen computer bewaren. Ook geen USB sticks meer toestaan, Alles via de cloud. Goede externe partijen zijn er legio. In Flevoland bijvoorbeeld FlevoICT of in het zuiden Enter Automatisering. Wil je zelf in controle blijven dan is Office 365 van Microsoft een zeer goede oplossing.

Hoe regel je de gegevens uitwisseling van grote bestanden?

Via de Cloud. Gebruik bijvoorbeeld OneDrive van Microsoft (zit automatisch in je Office 365 pakket) of Dropbox voor bedrijven (de betaalde variant dus) Hier kan je voor een bestand iemand tijdelijk toegang geven. Dit gebeurt via een webbrowser die HTTPS gebruikt, dus veilig versleuteld verbonden.

Hoe toon je aan wat er gebeurd is met gegevens?

Hierover zegt de nieuwe wet dat je zelf als bedrijf moet kunnen aantonen dat het veilig is gegaan met jouw gegevens , bestanden, e-mails en klantdata. Dit komt neer op audit trails of logging van je datastromen. Secumail zorgt dat de meta data over alle verstuurde e-mails worden vastgelegd en je krijgt dagelijks een overzicht van deze gegevens. Hiermee kan je aantonen wanneer naar wie er verstuurd is en alleen over een vooraf gecontroleerde versleutelde verbinding. Met Office 365 kan je een zogenaamd Unified Audit Log aanzetten. Hiermee is precies vastgelegd welke medewerker met welke bestanden wat wanneer heeft gedaan.

Fysieke beveiliging van je gegevens

Ook de papieren dossiers, mobiele apparaten, usb sticks, blauwdrukken, foto’s etc. moeten niet in verkeerde handen vallen. De maatregelen die je hiervoor neemt, moet je ook in het informatiebeveiligingsplan opnemen. Denk hierbij aan clean desk policy, dan kan niemand de dossiers meer op een onbewaakt bureau aantreffen en geef iedereen een code voor het ophalen van een printje bij de centrale printer. Dat is wat je binnenshuis kan doen. Buitenshuis moet je maatregelen nemen om te voorkomen dat laptops, iPads, telefoons en usb sticks geopend en gelezen kunnen worden door anderen. Dus zorg voor wachtwoorden, zet alle data in de cloud en niet op het device, en installeer software waarmee het hele apparaat remote gewist kan worden. Office 365 en Amazon hebben voorzieningen voor Remote Device Management waarmee je dit voor elkaar kunt krijgen.

Met deze gezamenlijke maatregelen ben je weer een grote stap verder voor de invoering van de AVG / GDPR. De keuzes die je hiervoor maakt, beschrijf je en die vormen samen jouw informatiebeveiligingsplan. De maatregelen beschrijf je ook weer in de bijlage van je verwerkersovereenkomst en in je verwerkingsregister.

Volgend blog ga ik je helpen met weggooien. Hoe doe je dit structureel? Waar moet je op letten? Want alles wat je niet meer nodig hebt, moet je vernietigen! Ik hoor graag van je of jou beveiligingsplannen gelukt zijn.

PS: Gebruik Secumail om veilig te e-mailen


Goede informatie? Deel het!