+31 (0)182 640 690

Online specialist met advies op maat

0 item(s)

Gaan datalekken bij u voor paniek zorgen?!

PrullenbakHet CBP heeft becijferd dat er ca. 60.000 privacy datalekken per jaar plaatsvinden. Experts schatten in dat dit het topje van de ijsberg is. Als u een onderzoek gaat doen binnen uw eigen organisatie, beperkt u zich dan niet tot alleen de ‘online’ lekken. Kijk ook naar data die via andere dragers (papier, harde schijf, CD of USB stick) geruisloos zonder adequate bescherming het pand verlaten.

Met de nieuwe beveiligingsrichtsnoeren van het CBP in de hand is het er niet eenvoudiger op geworden voor een FG of Privacy Officer. Vanachter een bureau een abstract plan schrijven hoe de privacy in uw organisatie beschermd dient te worden, zal nog wel gaan. Als u in een grote organisatie werkzaam bent, heeft u een security officer die voor de beveiliging zorg draagt. Samen met hem een vertaalslag maken lukt over het algemeen wel. Maar wat doet de FG of Privacy Officer in een kleinere organisatie als hij ook met de IT en facilitaire afdeling in gesprek moet over het beveiligen van informatie? Wat voor kennis heeft hij van de benodigde maatregelen en de daarvoor geldende standaarden? Dit artikel is bedoeld om het kennisniveau van de FG en Privacy Officer te verbreden ten aanzien van internationale standaarden. Het geeft houvast op het gebied van het beveiligen van datadragers door middel van vernietiging. Voor niet-experts is dit een handreiking die gebruikt kan worden om de organisatie te behoeden voor fysieke datalekken.

Richtsnoeren
De meningen lopen sterk uiteen als het gaat om de CBP richtsnoeren “Beveiliging van Persoonsgegevens”. Als beveiligingsexpert ben ik tot de conclusie gekomen dat de richtsnoeren op een aantal punten een achteruitgang zijn in vergelijking met zijn voorganger AV23. De klasse-indeling uit AV23 is compleet losgelaten in de nieuwe richtsnoeren. U mag zelf bepalen wat naar de stand van de techniek het beveiligingsniveau dient te zijn binnen uw organisatie. Dat is erg gemakkelijk zult
u denken: minder regels en minder papierwerk. Maar dat ontslaat u niet van de verantwoordelijkheid om het goed te regelen binnen uw organisatie. Wie wordt er aangesproken als er een datalek wordt geconstateerd of een gedupeerde aan de telefoon hangt? Als FG of Privacy Officer wilt u dat niet laten gebeuren en zoekt u naar mogelijkheden om grip op de zaak te houden.
Praktisch en transparant wenst u instructies neer te leggen bij de uitvoerende collega’s. Met duidelijke voorbeelden wilt u het bewustzijn verhogen in uw organisatie, vooral nu datalekken straks gemeld dienen te worden.

Met de wet in de hand
Artikel 13 van de Wet bescherming persoonsgegevens (Wbp) geeft aan dat “de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer [legt] om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen”.

Waar komen datalekken voor?
Datalekken kunnen overal in de organisatie ontstaan wanneer niet duidelijk is wat er beveiligd dient te worden. Het management heeft hier een belangrijke rol in en dient voldoende belangstelling te hebben voor beveiliging. Zolang de redenatie is “hier hebben zich nog geen incidenten plaatsgevonden, dus we hebben alles onder controle”, zit men bij wijze van spreken op een
tijdbom, die een keer af zal gaan. Ook worden beveiligingsmaatregelen vaak niet correct geïmplementeerd of uitgevoerd, waardoor de kans op incidenten sterk wordt
verhoogd. Tot slot geeft een te laag bewustzijn bij de uitvoerende medewerkers ook aanleiding tot datalekken, die vergaande consequenties kunnen hebben.

Externe dienstverleners
Organisaties kiezen massaal voor het binnenhalen van externe dienstverleners. Ook is er een trend dat bedrijven alleen nog maar een sleutel van een pand willen ontvangen en de rest overlaten aan één partij voor de bouw, inrichting, beveiliging, onderhoud, catering, ICT, archivering, vernietiging, inkoop, etc. Een groot deel van het externe personeel heeft nauwelijks of geen binding met de organisatie, wisselt sterk en “doet zijn dingetjes”. De afstemming van interne maatregelen is
vaak zwak en het risico op datalekken is extreem hoog. Papier en ICT inzamelaars Eén van de dienstverleners die bij vele organisaties over de vloer komt, is de inzamelaar van oud papier. Voor
vertrouwelijke documenten plaatsen deze dienstverleners containers in de organisatie waar u deze in kunt werpen. De ICT dienstverlener of inzamelaar haalt regelmatig oude PC’s, serverkasten, printers en multifunctionals op. En als u in de cloud werkt, dan staat de server vol met datadragers op afstand en is goed beveiligd. Niets aan de hand en alles goed geregeld, zult u denken…

Zodra een organisatie eens kritisch naar dit proces kijkt en een risicoinventarisatie uitvoert, komt zij al snel tot de conclusie dat enorme datalekken op de loer liggen. Omdat het geen primair proces is, worden de risico’s te laag ingeschat, verdiept men zich onvoldoende in de toegepaste procedures en techniek van de dienstverlener en is men niet op de hoogte van vernietigingsstandaarden. Hierdoor kan een dienstverlener het vertrouwelijke papier in een perswagen stoppen, zonder toezicht vele honderden kilometers transporteren en in een bedrijfshal storten. In uw contract of aanbesteding
staat over het algemeen niets over de tijdsduur waarbinnen vernietigd moet worden, het toezicht dat plaats dient te vinden of hoe er gehandeld dient te worden  bij incidenten en datalekken. Het vernietigingscertificaat dat de verwerker verstrekt, heeft geen wettelijke grondslag en bevat uiterst summiere informatie. Het vernietigingsproces geschiedt volgens een verouderde standaard waarbij men 50% mag afwijken van de maximaal toegestane snippergrootte. De middelwaarde methode die wordt toegepast, is volstrekt ongeschikt voor vertrouwelijk papier, laat staan voor digitale dragers.

Nieuwe DIN standaard
Het gerenommeerde Duitse Normeringsinstituut, waaraan de DIN-standaard zijn naam ontleent, heeft in samenwerking met veiligheidsexperts, fabrikanten van vernietigingsapparatuur en recyclingorganisaties een nieuwe norm ontwikkeld. Na 35 jaar was de oude DIN 32757-2 aan vervanging toe. Had men 35 jaar geleden alleen nog maar papier als belangrijkste gegevensdrager,
in de afgelopen jaren zijn er vele dragers met grote datadichtheid bijgekomen. Daarom zijn er nu voor zes verschillende typen informatiedragers separate normen opgesteld. Hiermee wordt onderkend dat voor papier en digitale dragers verschillende beveiligingscriteria gehanteerd
dienen te worden. Voor elke norm zijn er zes verschillende klassen, zodat afhankelijk van de vertrouwelijkheid van de informatie het juiste vernietigingsniveau kan worden gekozen. Ook zijn er andere criteria gekomen voor de toegestane afwijking. Dat houdt in dat een recyclingbedrijf slechts een certificaat mag afgeven volgens de DIN 66399 indien is vastgesteld dat het vernietigingsproces met slechts 10% afwijking van de middelwaarde is uitgevoerd.

In drie stappen bepaalt u het juiste beveiligingsniveau

Stap 1
Welk type datadrager dient er vernietigd te worden? Hier kunt u een keuze maken uit zes verschillende typen dragers, zoals: papier, harde schijf, CD, etc.

Stap 2
Bepaal het vereiste beveiligingsniveau. Het beveiligingsniveau heeft sterk te maken met het
afbreukrisico indien de data openbaar worden. Aan de hand van drie beveiligingsniveaus wordt er een keuze gemaakt.

Stap 3
Bepaal de vernietigingsklasse. Uit zeven verschillende vernietigingsklassen kiest u de juiste. Als het bijvoorbeeld gaat om de vernietiging van papieren informatiedragers die voorzien zijn van persoonsnaam, adres en woonplaats, dan kunnen deze in een P-4 vernietigd worden. Is dezelfde drager verder voorzien van een geboortedatum of andere persoonskenmerken dan is P-4 of zelfs P-5 te adviseren.

Door op deze manier de vertrouwelijke papierstroom onder de loep te nemen zult u vrij gemakkelijk tot de conclusie komen dat één generieke vernietigingsklasse niet van toepassing kan zijn voor uw organisatie. De HRM afdeling zal vaak een hoger beveiligingsniveau vragen dan uitvoerende afdelingen. Inzamelaars bieden door hun inzamelsysteem en beschikbare techniek slechts één generieke vernietigingsoplossing.

Daarnaast zijn het transport en de interne verwerking door de inzamelaars een belangrijke risicofactor. De afwijking die gehanteerd wordt, kan om technische redenen niet gereduceerd worden. Hierdoor is hun dienstverlening ongeschikt voor het vernietigen van vertrouwelijke informatie en meer gericht op het recyclen van papier. Met de nieuwe DIN 66399 in de hand bent u in staat heldere keuzes te maken en het securityniveau beter in overeenstemming te brengen met de eisen van een verantwoord beveiligingsbeleid.

Alternatieven voor papier
Steeds meer organisaties die kennis nemen van deze nieuwe inzichten veranderen hun beleid. Met de afname van de hoeveelheid papier wordt het zelf vernietigen een goed alternatief. De moderne medewerker, die zich bewust is van de noodzaak om informatie te beveiligen, maakt zelf de afweging om een document te vernietigen. Een regelmatige bewustwordingscampagne
houdt hem scherp en de audits helpen de organisatie om de kans op lekken te reduceren.
De FG of Privacy Officer werkt nauw samen met de facilitaire manager en securitymanager als het aankomt op technische bruikbare oplossingen. De praktijk toont aan dat er per afdeling met verschillende veiligheidsklassen kan worden vernietigd. Door gebruik te maken van moderne oplossingen, die wel 1.000 vellen per minuut aankunnen, is het geen extra belasting voor de organisatie. In de tijd dat de koffiemachine een kop koffie maakt heeft de medewerker duizenden
documenten vernietigd zonder lawaai, stof of andere rommel.

Digitale bestanden
Zodra een FG of Privacy Officer eisen stelt aan de wijze van opslag, verwerking en beveiliging van persoonsgegevens is de ICT-manager zijn gesprekspartner. Op de ICT-afdeling wordt een afweging gemaakt hoe en op welke wijze databestanden met persoonsgegevens kunnen worden vernietigd. Hier wordt beslist op wat voor een wijze harde schijven uit servers (extern en intern) periodiek worden verwijderd, afgevoerd en/of doorverkocht. PC’s uit de organisatie krijgen over het algemeen een tweede leven als ze zijn afgedankt. Vanuit het oogpunt van duurzaamheid is dit prima,
maar vanuit de Wbp is het onacceptabel als de gegevensdragers worden verhandeld zonder dat de gegevens worden verwijderd.

_DSC2546Uit onderzoek blijkt dat zes van de tien gebruikte PC’s die worden doorverkocht oude data bevat die met een eenvoudig programma is terug te halen. IT-managers denken dat zij met software data kunnen wissen van harde schijven. Dit is echter een misvatting waar men pas achter komt als het te laat is. Harde schijven behoren tot het grootste “zwarte gat" in de IT wereld, waar weinig kennis is op het gebied van beschrijvingstechnologie en de mogelijkheden om informatie terug te halen.

EA DMS 2008 standaard
Naast DIN 66399 is ook EA DMS 2008 een steeds belangrijker wordende standaard. Deze norm voorhet gecontroleerd vernietigen van digitale datadragers is in 2008 uitgebracht door de European Associationfor Data Media Security. Er is aan gewerkt door vele internationale experts en verschillende instituten voor wetenschappelijk onderzoek. Deze norm kent zes veiligheidsklassen. De afwijking in partikelgrootte is sterk begrensd. Alle dienstverleners die willen voldoen aan de DMS 2008 standaard moeten jaarlijks een strenge audit ondergaan om hun certificering te hernieuwen. Deze vernietigingsstandaard is vele malen strenger dan de DIN norm en geeft de opdrachtgever een grotere zekerheid omtrent het proces en het afgegeven vernietigingscertificaat. De Nederlandse overheid en vele internationale organisaties maken inmiddels al gebruik van de EA DMS standaard. Voor meer informatie kunt u terecht op: www.eadms.org

Conclusie
De FG of Privacy Officer mag, kan en moet aan artikel 13 Wbp inhoud en vorm geven in zijn organisatie. Het is zijn taak om toezicht te houden op de wijze waarom oude persoonsgegevens worden vernietigd. Beter beleid naar de huidige stand van de techniek hoeft niet veel meer te kosten dan vaak toch al wordt uitgegeven. Indien men datalekken wenst te reduceren, is kennis omtrent standaarden en de praktische toepassing noodzakelijk. Dit ligt mede op het terrein van de FG of Privacy Officer.

Digitale datadragers vormen een specifiek aandachtsgebied, omdat hier vaak verkeerde keuzes worden gemaakt ten aanzien van de techniek die gebruikt wordt om data te verwijderen. Een eenduidige keuze voor een fysieke, transparante en controleerbare methode van verwijdering zal het risico van datalekken aanzienlijk reduceren.

Dit artikel is tevens gepubliceerd in het tijdschrift: Privancy & Compliance tijdschrift voor de praktijk 2013 en geschreven door Paul Korremans directeur van Van Randwijk