Bescherm je privacy ook online
Geplaatst op 18-02-2021 in Kennisbank
We weten allemaal dat veel online diensten onze gegevens gebruiken. Maar weet jij waar precies? Hoe? En met welk doeleinde? Weinig mensen zijn echt op de hoogte van hoe hun informatie online wordt verzameld, gebruikt en gedeeld. Daarom vonden we het tijd om hier in een artikel aandacht aan te besteden.
Gegevensbescherming, of data protection in het Engels, is een onderwerp om serieus mee bezig te zijn. Mensen vergeten hun privacy nog wel eens als het om de online wereld gaat. Je persoonlijke data zoals leeftijd, geslacht of locatie, zijn van enorme waarde. En toch delen veel mensen deze informatie vrij gemakkelijk op bijvoorbeeld social media.
Hetzelfde geldt voor het downloaden van apps. Apps vragen toegang tot bepaalde data, omdat ze deze soms nodig hebben om te functioneren. Het is logisch dat je navigatie toegang wil tot je locatiegegevens, maar je vergrootglas-app hoeft niet bij je contacten te kunnen. Met andere woorden: wees alert op wat je met wie deelt.
Wie mag waarbij?
Dit speelt natuurlijk niet alleen voor gebruikers. Ook als bedrijf heb je verantwoordelijkheden op gebied van gegevensbescherming. Bedrijven zijn verplicht om de gegevens van hun klanten te allen tijde te beschermen, overeenkomend met de huidige regelgeving. Doe je dit niet en je krijgt te maken met een datalek, dan kunnen de financiële verliezen snel oplopen. Om nog maar te zwijgen over reputatieschade. Verlies van de goede naam kan minstens zo rampzalig zijn voor een organisatie.
We nemen je graag mee in hoe PinkWeb omgaat met gegevensbescherming. Een erg belangrijk onderwerp voor ons, want in ons portaal wordt veel gevoelige informatie verwerkt. We besteden onder meer veel aandacht aan ‘role based access control’. ‘Of makkelijker gezegd: wie kan bij welke data’, verduidelijkt Information Security Officer Harmen Thiewes.
‘We bepalen op basis van een rol wie bij bepaalde gegevens mag. Zo moet een supportmedewerker toegang hebben tot klantdata om die klant te kunnen helpen, maar een developer heeft die toegang niet nodig. We hebben een systeem om dit in de praktijk automatisch te regelen. Dat wordt ieder jaar tijdens ISO 27001 audits gecontroleerd. Onze gebruikers kunnen er dus op vertrouwen dat dit goed gaat.’
Draaien op vertrouwen
Dat vertrouwen moet er ook zijn, vindt Harmen. ‘Anders kun je geen dienst leveren als die van ons. Je moet je beseffen dat het gegevens zijn van een persoon. Het voelt niet goed als iedereen daar zomaar bij kan. En toch gaat dat nog vaak mis. Denk aan het datalek bij de GGD dat recent in het nieuws was, of toen allerlei mensen in het medische dossier van realityster Barbie hadden zitten gluren.’
100% dichttimmeren is volgens Harmen niet mogelijk. ‘Je kunt technisch veel doen om onbevoegden niet bij data te laten, maar sommige mensen moeten vanuit hun rol wel bij gegevens. En dan blijft het mensenwerk, dus komt kennis en awareness om de hoek kijken. We steken daarom ook veel energie in het opleiden van onze werknemers. Wat kan wel en niet, waar moet je op letten en wat zijn de risico’s?’
De verwerkersovereenkomst
Een ander belangrijk onderdeel in gegevensbescherming is de verwerkersovereenkomst. ‘Als je met leveranciers werkt dan is het verstandig om met iedere leverancier zo’n overeenkomst af te sluiten. Dat kunnen klanten dus ook met ons doen, iets dat we proactief aanraden. In zo’n overeenkomst staat wat we met gegevens doen en hoe we hier goed en vertrouwd mee omgaan. Onder andere dus wie er bij kan en hoe we dat controleren.’
Hebben wij dan ook zo’n overeenkomst met ónze leveranciers? ‘Jazeker’, zegt Harmen. ‘Die afspraken nemen we ook mee in de overeenkomsten met onze klanten. We hebben bijvoorbeeld een partij die onze servers host, daar worden gegevens van onze klanten opgeslagen. Wij maken afspraken met deze partij over wie bij hen toegang heeft tot deze data. Ook spreken we ze ieder jaar over hun ISO-certificering. Is die weer behaald? Waren er afwijkingen en zo ja, wat doen ze om die op te lossen? En we controleren of zij dit vervolgens ook doen met hun leveranciers. Denk aan het datacenter waar de server staat.’
Die keten kan best lang worden. ‘Tot aan de schoonmaakbedrijven die in het datacenter de servers afstoffen. Het belangrijkste om te onthouden is dat uitbesteden niet betekent dat je de verantwoordelijkheid ook uitbesteedt. Wij kunnen niet zeggen: het ligt nu bij de hostingpartij, ze zien maar hoe zij het oplossen. Wíj zijn verantwoordelijk voor veilige gegevensverwerking.’
Veilig bij Visma
PinkWeb is onderdeel van Visma. Vanuit deze internationale organisatie is er veel aandacht voor informatiebeveiliging. Als dochterbedrijf profiteren we hiervan.
Zo is er een vastgestelde privacy- en security incident procedure en rapporteert er vanuit iedere organisatie (ook die van ons) een Data Protection Manager aan een onafhankelijke ‘privacy council’. Deze zorgt ervoor dat alle bedrijven in de organisatie compliant zijn met wetgeving voor gegevensbescherming.
Maar het allerbelangrijkst blijft een sterke privacycultuur en kennis van het onderwerp. Daarom investeren zowel Visma als PinkWeb in het vergroten van security awareness. Of zoals Harmen zegt: ‘Alle systemen kunnen geweldig zijn ingericht, als je mensen de risico’s niet kennen dan loop je nog net zoveel gevaar.’