Een Procedure voor Datalekken

Datalekken. Sinds de inwerkingtreding van de GDPR een woord dat te pas en te onpas valt. Eén ding is zeker, iedereen wil het vermijden. Hoe goed je je GDPR-implementatieplan ook uitrolt, er valt echter niet aan te ontkomen. In plaats van een datalek te proberen vermijden, bereid je je er maar beter zo goed mogelijk op voor. Wacht dus niet tot je er mee geconfronteerd wordt, maar denk op voorhand na hoe ermee om te gaan als er effectief een datalek plaatsvindt. 

Op het moment dat je een datalek vaststelt (en dus niet bij kennisname van een mogelijk datalek), moet je binnen de 72u een melding maken van het datalek bij de bevoegde toezichthoudende autoriteit. In Vlaanderen zijn er twee bevoegde toezichthoudende autoriteiten, met name de federale Gegevensbeschermingsautoriteit en de Vlaamse Toezichtcommissie. Deze laatste instantie is enkel bevoegd voor Vlaamse instanties. Je dient dus eerst uit te zoeken aan welke toezichthoudende autoriteit je moet melden. Je kan hierbij gebruik maken van de beslissingsboom die uitgewerkt werd door de Vlaamse Toezichtcommissie.

72u om een vastgesteld datalek te melden is kort en vraagt dan ook de nodige voorbereiding. Je wilt niet op het moment dat een datalek voorvalt nog moeten nadenken over wat je nu precies allemaal moet doen. Op dat moment moet je je energie immers steken in het oplossen en melden van het datalek. Het op voorhand uitwerken en toepassen van een procedure datalekken is dan ook zinvol zodat je op het moment dat een datalek zich voordoet organsiatorisch alles op punt hebt: de noodzakelijke personen om te betrekken, informatie die verzameld moet worden,  meldingen om te doen, en dergelijke meer. 

Via deze link vind je een eenvoudig stroomschema incl. toelichting voor een procedure datalekken. De inhoud is hieronder eveneens kort samengevat:

  1. Melding inbreuk 
    • Zorg ervoor dat medewerkers weten wat een inbreuk is, zodat ze dit kunnen detecteren en melden
    • Zorg ervoor dat medewerkers en verwerkers weten hoe en waar ze een mogelijke inbreuk moeten melden.  
  2. Doorlichting inbreuk – Betreft het inderdaad een inbreuk? 
  3. Licht DPO in (optioneel: betrekken Incident Response Team)
    • DPO en directie inlichten
    • Inbreuk verder onderzoeken en bepalen wat de ernst, het risiconiveau, … is
  4. Melding aan bevoegde toezichthoudende autoriteit
  5. Vraag de bevoegde toezichthoudende autoriteit om advies rond betrokkene
    • Bij twijfel over de noodzakelijkheid van een melding aan betrokkene kan het advies gevraagd worden van de bevoegde toezichthoudende autoriteit
  6. Melding aan betrokkene
    • Wanneer blijkt dat de betrokkenen ingelicht moeten worden over de inbreuk moet er nagedacht worden over de manier waarop er gecommuniceerd zal worden
  7. Optioneel: intern onderzoek
    • Audit of neutraal onderzoek organiseren om de oorzaak van de inbreuk en de afhandeling er van te evalueren
  8. Slotbespreking – evaluatievergadering organiseren
  9. Formuleren van verbetermaatregelen
    • Denk na over mogelijke maatregelen die genomen kunnen worden zodat gelijkaardige inbreuken in de toekomst kunnen voorkomen worden   
  10. Sluit inbreuk af

Deze post is geschreven door Ellen Demey, data protection consultant bij White Wire.

10 tips om legacy systemen te beveiligen

“Legacy” is een term die binnen IT gebruikt wordt om verouderde software of systemen aan te duiden die vaak ook niet langer ondersteund worden door de maker er van. In tijden waarin steeds nieuwe manieren worden gevonden om binnen te dringen in systemen en netwerken is dit een beveiligingsrisico: de maker zal geen aanpassingen voorzien om de software of systemen te beschermen. Uiteraard is het daarom aan te raden geen verouderde of minder beveiligde software te gebruiken om persoonsgegevens te verwerken: het gebruik van dergelijke systemen botst met het basisprincipe van vertrouwelijkheid en integriteit van persoonsgegevens zoals voorzien in de privacywetgeving, niet in het minst GDPR.

Echter, tal van mogelijke redenen maken het stopzetten van het gebruik van legacy systemen niet altijd evident: het traject voor nieuwe software loopt vertraging op, of er is geen vervanging voor de oude systemen, of het is budgettair (nog) niet mogelijk, of … Hierdoor is de realiteit dat men soms (tijdelijk) met legacy systemen zit opgezadeld.

Deze blogpost wil een aantal nuttige tips aanreiken aan DPO’s die geconfronteerd worden met legacy systemen en samen met de IT afdeling moeten kijken hoe er toch een  minimum niveau aan beveiliging kan worden geborgd.

  1. Waar mogelijk, zorg dat legacy software niet langer in contact staat met het netwerk of internet. Indien die connectie nodig is, zorg er voor dat de software draait op een computer waarbij de toegang tot het netwerk en internet sterk beperkt is: plaats het systeem in een afgescheiden deel van het netwerk, blokkeer toegang tot netwerkschijven, mail, en webbrowsers.
  2. Vermijd het gebruik van onbekende diensten zoals macro’s of browser plugins. Veel mogelijke aanvallen maken gebruik van dergelijke diensten.
  3. Vermijd het gebruik van verwijderbare media zoals USB sticks, deze kunnen namelijk onbetrouwbare inhoud bevatten.
  4. Converteer verouderde systemen naar ‘thin client’-apparaten die alleen worden gebruikt om verbinding te maken met betrouwbare systemen. Op die manier zal het verouderde systeem louter dienen als doorgeefluik naar een sterker, betrouwbaarder systeem.
  5. Verwijder onnodige diensten van verouderde servers. Louter de hoogst noodzakelijke diensten voor de continuïteit van de onderneming zouden geactiveerd mogen zijn.
  6. Verwijder de mogelijkheid tot toegang op afstand (ook wel ‘remote support’, zoals Teamviewer, VNC, e.d.m.) van verouderde systemen, servers en diensten.
  7. Overweeg om een extra ondersteuningscontract af te sluiten bij de fabrikant (zoals Microsoft dat nog een tijd voor Windows XP doet)
  8. Voorzie een uitgebreide monitoring- en antivirussoftware op het legacy systeem zodat eventuele inbreuken sneller opgemerkt worden
  9. Installeer een anti-virus toepassing om inbreuken te detecteren en hopelijk te verwijderen
  10. Stel een incident procedure op: de kans op een inbreuk met een legacy systeem is aanzienlijk groter, dus je kunt maar beter voorbereid zijn!

Mocht dit nog niet duidelijk zijn: deze tips helpen om legacy systemen op een veiligere manier actief te houden. Dit is echter per definitie tijdelijk!