We make you feel @home in the world of ICT.

Welcome

 

GDPR (General Data Protection Regulation) treedt in werking op 25 mei 2018.

 

Wat houdt het eigenlijk in?

Er zijn grosso modo 4 Fasen:

  • Ontdek wat GDPR voor uw firma betekent.
  • De data in uw organisatie beheren
  • Beveilig de data in uw organisatie
  • Meld data lekken binnen de 72 uur na de ontdekking ervan.

Ontdek wat GDPR voor uw firma betekent.

Het gaat hier vooral over de kwestie of er in de organisatie een zicht is op waar de data staat en wie er toegang toe heeft. Dit lijkt simpel, maar het is belangrijk om dit even onder de loep te nemen.

Zo komt men tot een goed inzicht of de data wel logisch en centraal wordt beheert, of de data zich overal kan bevinden en dus moeilijker te beveiligen is tegen verlies en/of misbruik.

Bij GDPR gaat het niet enkel om fysieke en softwarematige beveiliging, maar vooral ook over gerechtmatigd gebruik ervan! Wie mag en wie niet, wie kan en wie kan niet. Weet de klant,leverancier,... welke data U over hem heeft?

enkele richtgevende vragen hierbij zijn:

  • Kan de organisatie alle locaties identificeren waar persoonlijke gegevens in de hele onderneming worden opgeslagen, inclusief op interne servers of cloudopslag, en ook die locaties die worden gehost door externe leverancier?
  • Kan de organisatie verschillende types persoonlijke data die zij gebruikt categoriseren?
  • Beschikt de organisatie over een tool om te catalogiseren, hoe en waar persoonlijke gegevens worden gebruikt, en of deze gedeeltelijk of volledig ingevuld is?

Wat kunnen wij hiertoe bijdragen?

  • We kunnen helpen bij het in kaart brengen van de dataflow en van de gespreidheid en verspeiding van de data.
  • We kunnen ook helpen bij het aanpassen van de organisatie van de data en
  • helpen om de gegevens in de toekomst gestructureerd en veilig te bewaren
  • ...

Beheer van data

  • Is er een programma voorhanden waarmee de data beheert wordt?
  • wordt er gewerkt met lossen documenten?
  • Wordt er beschreven hoe de data van externe betrokkenen (klanten, lveranciers,...) behandeld wordt?
  • Is er een scenario dat rekening houdt met de wens van de betrokkene om te stoppen met het verwerken van zijn persoonlijke data?
  • heeft U toestemming gevraagd aan de betrokkenen om zijn persoonlijke data te mogen gebruiken en verwerken?
  • Is er een eenvoudig kanaal waarlangs de betrokkene kan communiceren i.v.m. zijn persoonlijke data?
  • Is er een scenario waarbij foutieve persoonlijke informatie kan worden gewist of aangepast?
  • Ook zo voor de vraag van de betrokkene om zijn persoonlijke data te wissen?
  • Kan de betrokkene op een eenvoudige wijze zijn gebruikte persoonlijke data opvragen?
  • Is er een mogelijkheid om de verwerking van perssonlijke data te beperken indien dat aan de orde is?
  • Is er uitwisseling van persoonlijke data met externe instellingen door automatische systemen (met kredietinstellingen, overheden,...)?
  • Is er een interne toezichthouder op gegevensbescherming?
  • Is er een risicobeheersprogramma om te voorkomen dat onbevoegden toegang hebben tot persoonlijke data?
  • Kan de betrokken correspondent zich uitschrijven bij e-mailings?

Wat kunnen wij hiertoe bijdragen?

  • De nodige structuren helpen opbouwen.
  • softwarematige oplossingen implementeren
  • een databeheerder opleiden om toezicht te houden
  • ...

Beveiliging van hard- en software en data

De beveiliging van de hard- en software impliceert voor een groot stuk ook die van uw data.

Hard- en software

De infrastructuur van uw omgeving moet in eerste plaats uiteraard van de nodige fysieke bescherming voorzien zijn.

Voor wat het IT gedeelte betreft, kan je ervoor zorgen dat de server(s) in een afgeschermde ruimte staan en dat de draagbare toestellen niet ongelimiteerd uit de bedrijfsgebrouwen kunnen verdwijnen.

 

Meer specifiek IT beveiligingen die ons allen aanbelangen zijn:

  • In het geval van een server is een afgeschermde toegang tot de nodgie data via GPO's en andere standaard configuratie mogelijkheden een onmiskenbaar begin.
  • Een wachtwoord beleid uitrollen voor alle gebruikers en alle toestellen voorzien van een wachtwoord, eventueel pincode, vingerprint-, gezichts- of handpalmregistratie.
  • gebruik encryptie op de harde schijven van de servers en pc's.
  • de aanwezigheid van een goed geconfigureerde Router/Firewall.
  • de toegang tot de data van buiten de bedrijgsgebouwen dient te gebeuren op vertrouwde toestellen en op een beveiligde manier (VPN).
  • Hebben alle gebruikers onbeperkte mogelijkheden om software op hun toestellen te installeren?
  • Mogen medewerkers onbeperkt surfen?
  • Surf op het internet via Proxy's die aanvallen via web afweren en blokkeren.
  • Alle toestellen dienen voorzien te zijn van een beveiligingssoftware (meer dan enkel een virusscanner).
    • in het geval van draagbare toestellen de mogelijkheid voorzien om de date te wissen vanop afstand om zo data lekken (diefstal) te voorkomen.
  • e-mail verkeer beveiligen om te voorkomen dat email adressen misbruikt worden om aanvallen op uw data te voorkomen (Ransomeware Encryption,...) door het configuraren van DMARC, SPF, Sandboxing,...
  • Gebruik afgeschermde omgevingen om data te delen (minder bijlage per mail, meer met OneDrive of Sharepoint).
  • Voorzie de nodige backups van server(s) en pc's zodat je, ondanks alle maatregelen, toch binnen de kortste keren terug aan het werk kan met je toestellen en data. Specialisten beweren immers dat de vraag niet is of je gehackt wordt of niet, maar wel wanneer je gehackt wordt. Dus kan ja maar beter voorbereid zijn.
    • Snapshot backups kunnen per bestand teruggezet worden, maar de hele image kan ook op een ander toestel terugezet worden, zo bent U binnen de korste keren terug aan het werk zonder installatie van software en data.
      • Backup hebben de nodige encryptye en worden offline bewaard zodat ze niet te lijden hebben van eventuele cyber aanvallen
      • kopiën en externe (Cloud) opslag zijn geen backups - alles wat verbonden is met een pc kan geïnfecteerd worden, ook online links.
      • Kopiën en externe (Cloud) opslag hebben geen retentie. Er kan dus niet naar een vorige versie teruggekoppeld worden.

Gedragscode voor de medewerkers

Je kan als verantwoordelijke alle mogelijke maatregelen nemen.

De medewerkers moeten wel bewust gemaakt worden van wat kan en niet kan met de IT infrastructuur.

Vergelijk het met een arbeider op een bouwwerf; hij is verplicht een helm te dragen, draagt hij die niet en er valt iets op zijn hoofd, dan is hij zelf verantwoordelijk.

Afspraken zijn er om nageleefd te worden, gebeurt dat niet dan kan je als verantwoordelijke wel bewijzen dat er een best practice bestaat en dat er afspraken gemaakt werden, maar dat ze niet nageleefd werden.

Een goede teamspirit en een goede sfeer zijn belangrijk,  niet alleen om IT veilig te gebruiken, maar om de efficientie van het bedrijf te optimaliseren alle medewerkers op hun gemak te stellen.

Wat kunnen wij hiertoe bijdragen?

  • We hebben alle kenis in huis om uw hardware optimaal te beveiligen.
    • alle standaardbeveiligingen voor server en pc's
    • Virus, malware, phising, Ransomware,... beveiliging
    • Proxy setup
    • Firewall
  • Maar ook Best Practices voor de gebruikers, do's en don'ts
  • Backup and recovery
  • ...

DATA LEAKS

Als er zicht dan toch een data leak voordoet, hetzij door hacking, of door toedoen van een (ex)medewerker, moet die binnen 72 uur gemeld worden bij de GDPR instantie.

 

Het is duidelijk de bedoeling van de Privacy commissie om voorzichtig om te gaan met persoonlijke gegevens van betrokken partijen.

Respect voor eenieders privacy.

Vandaar dat er algemene regels worden uitgevaardigd waaraan elke onderneming zich dient te houden.

Om dit hard te maken, worden er ook geldboetes en gevangenisstraffen uitgesproken tegen de overtreders.

 

Een vraag

Een vraag?
Stel gerust uw vraag.
Hola, uw naam graag.
Aiai, zo kunnen we U niet antwoorden.
Bericht vergeten?