Cybercriminaliteit en AVG: is het MKB wel alert genoeg?.
In dit blog nemen wij u mee in het traject op weg naar de meest optimale beveiliging van al uw data. Want, cybercriminaliteit in het MKB is elke dag een probleem. De AVG biedt handvatten voor een stukje regie! Als eerste: wát is de AVG eigenlijk? Velen hebben daar vast al eens van gehoord, maar […]
In dit blog nemen wij u mee in het traject op weg naar de meest optimale beveiliging van al uw data. Want, cybercriminaliteit in het MKB is elke dag een probleem. De AVG biedt handvatten voor een stukje regie!
Als eerste: wát is de AVG eigenlijk?
Velen hebben daar vast al eens van gehoord, maar het is goed om aan het begin van dit blog nog eens helder het begrip te definiëren.
De AVG is de Nederlandse benaming van de in de EU geldende privacywetgeving GDPR. Het doel is om persoonsgegevens, die u verwerkt (zoals bijvoorbeeld klantengegevens), optimaal te beschermen! Dat betekent ook dat het uitwisselen van die gegevens – bijvoorbeeld tussen uw bedrijf en andere bedrijven – op veiligheid wordt gewaarborgd.
Nogmaals, ter verduidelijking: dit alles is in de wet geregeld.
Zo staat in de AVG welke acties een organisatie precies moet ondernemen als zij persoonsgegevens verwerken. Ook staat (dwingend) omschreven wat een bedrijf moet doen om het recht op privacy van die personen te waarborgen. Daarbij gaat het dus om het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending (naar derden), verspreiden of op een andere wijze ter beschikking stellen, aligneren, combineren, afschermen, wissen of vernietigen van gegevens.
Een hele lange lijst dus aan verplichtingen!
Het gaat daarbij om alle soorten informatie. Dus niet alleen zogenoemde ‘gevoelige’ informatie. De ‘simpele’ informatie dat bedrijf X klant bij u is, en dat persoon Y uw contactpersoon is, dient volledig beveiligd te worden. Die gegevens mogen namelijk niet uitlekken!
En toen was er plots een datalek!
Of, cybercriminelen slaan toe!
Dit meteen doen als u merkt dat cybercriminelen in uw bedrijf hebben toegeslagen!
Zorg er echter in eerste instantie voor dat u zich ALTIJD aan de volgende officiële spelregels van de AVG houdt:
- Een organisatie mag persoonsgegevens alleen verwerken wanneer hier een duidelijk doel voor is.
Zo is het vragen naar een geboortedatum – als meneer Z klant bij u wil worden – niet zomaar meer vanzelfsprekend. Het is uw plicht om dan aan te geven waarom u die geboortedatum wilt weten. Dus, waarom is dat relevant voor u om de dienst te kunnen leveren? - Voor de verwerking van persoonsgegevens is het noodzakelijk dat hier een geldige (wettelijke) grondslag voor is.
Zo is een werkgever verplicht om te beschikken over een kopie van het identiteitsbewijs van de werknemer. - Persoonsgegevens mogen niet langer bewaard worden dan strikt noodzakelijk.
Denk hierbij bijvoorbeeld aan sollicitanten die bij u op bezoek kwamen. U mag die gegevens bewaren maar niet langer dan 4 weken tot na de sluitingsdatum van de vacature. Tenzij u specifiek vraagt of u de gegevens in portfolio mag houden én de (afgewezen) sollicitant daar toestemming voor geeft. - Betrokkenen hebben het recht om vergeten te worden.
- Persoonsgegevens moeten worden beveiligd door middel van passende technische en organisatorische maatregelen.
U – als werkgever – bent daarvoor verantwoordelijk. Het is (wettelijk!) uw taak om het beleid van uw organisatie na te leven. Dit is bijvoorbeeld één van de redenen waarom zakelijke mail – met bijlagen en documenten – niet via bijvoorbeeld hotmail of Gmail mag worden gecommuniceerd, maar alleen via de officiële communicatiekanalen van het bedrijf. (het mailadres van het bedrijf dus!)
U moet als bedrijf vastleggen hoe u dit alles hebt georganiseerd en welke functionaris binnen de organisatie verantwoordelijk is voor de gegevensbescherming. Dit doet u in een verwerkingsregister.
Is dat datalek er dan toch?
Dan moet dit meteen worden gemeld (binnen 72 uur na ontdekking van het datalek) én er moet ook meteen actie worden ondernomen om dat datalek te dichten.
Voorkom cybercriminaliteit!
Het gaat er natuurlijk om dat een organisatie te allen tijde voorkomt dat er een datalek ontstaat! Precies op dat punt is er een taak weggelegd voor de ISO-gecertificeerde ICT-dienstverlener van uw bedrijf.
Die zorgt er voor dat de systemen 24/7 worden gemonitord, dat cyberaanvallen worden afgeslagen én dat er continu updates worden geïnstalleerd in uw netwerk en in uw software waardoor cybercriminelen geen kans krijgen. En zelfs als cybercriminelen toch ergens een mogelijkheid zien om binnen te dringen, dan is bijvoorbeeld de Honeypot een effectief bestrijdingsmiddel.
Daarnaast is het van belang dat medewerkers (en u zelf ook!) zich continu bewust zijn van de gevaren van cybercriminaliteit. Zo is Social Engineering een fenomeen dat voor heel veel digitale ellende zorgt.
Daarom tot slot…
- Vraag eens aan uw ICT-leverancier of deze ISO-gecertificeerd is? (*)
- Bedenk eens hoe u uw medewerkers kunt trainen ten aanzien van het bewustzijn over cybercriminaliteit.
(Wij hebben daar overigens wel een idee over) - En, lees onze blogs over cybercriminaliteit en de gevaren die daaruit ontstaan!
(*) Bij een ISO-gecertificeerd ICT-bedrijf zijn de eigen procedures ten aanzien van databeveiliging op orde. Dit is door middel van een onafhankelijke audit vastgesteld.
Edwin Mackaay / directeur Mackaay ICT Services
Connect met mij op Linkedin!
LEUKE (en nuttige) LEESTIP:
En, de verrassende zwakke schakel in uw ICT-security is……
Ontvang onze maandelijkse MKB-tips!
Wij vinden het leuk om iedere belangstellende in het MKB maandelijks op de hoogte te houden van alle ontwikkelingen op het gebied van ICT. Er is vaak meer mogelijk dan u denkt. Meldt u zich daarom heel eenvoudig aan voor onze goed gewaardeerde nieuwsbrief. We versturen deze één keer per maand. En… mochten we u niet inspireren? Dan meldt u zichzelf ook weer door één klikje af! Zo simpel is het.