GDPR/AVG Portaal

GDPR Assessment voor WebwinkelKeur keurmerkhouders

Techniek en privacybescherming


Inleiding

Dit hoofdstuk laat zien welke technieken u kunt inzetten om ervoor te zorgen dat de persoonsgegevens die u verwerkt veilig worden verzonden en opgeslagen. Er wordt ook kort aandacht besteed aan technieken die helpen bij het afhandelen van inzage-, wijzigings- , portatie- en vergeetverzoeken van betrokkenen.

Privacyrisico’s kunnen voor een groot deel worden ondervangen met beveiligingstechnieken en maatregelen, mits ze goed worden toegepast en niet anders dan in samenhang met een gedegen beveiligingsbeleid. De ketting is immers zo sterk als de zwakste schakel: een databestand met een hoog encryptieniveau is immers niet veilig als het wachtwoord gemakkelijk te raden is of als het wachtwoord via een makkelijk af te luisteren verbinding aan de databaseserver wordt verzonden. De hieronder genoemde technieken kunnen dan ook het beste als een hulpmiddel worden beschouwd. Maak uzelf bekend met onderstaande technieken en vraag uzelf af of en zo ja, op welke wijze, u deze in uw organisatie kunt toepassen. Als u sommige technieken al heeft toegepast, vraag u dan af of de gehele keten van maatregelen op orde is.

Encryptie van dataverbindingen

Encryptie is de versleuteling van gegevens. Bestanden worden onleesbaar gemaakt door een algoritme. Er is een wachtwoord nodig om de versleuteling terug te draaien en de gegevens weer leesbaar te maken. Hoe sterker het wachtwoord, hoe lastiger het is om de versleuteling te breken. Een versleutelde verbinding kan nog steeds worden onderschept, de data zelf is dan echter vrijwel waardeloos voor kwaadwillenden.

Dataverbindingen kunnen eenvoudig worden versleuteld middels de van het ‘groene slotje’ bekende Secure Socket Layer (SSL) technologie. Het is aan te raden om de gehele website enkel via een beveiligde verbinding te ontsluiten, tegenwoordig heeft de beveiliging van de verbinding nauwelijks nog een negatief effect op de snelheid. Kan of wil u niet de gehele website beveiligd ontsluiten, zorg er dan in ieder geval voor dat de pagina’s die persoonsgegevens vragen of juist laten zien beveiligd zijn. Doet u dit niet, dan is er een significant op datalekken – zonder dat u hier weet van heeft. U bent verplicht persoonsgegevens zorgvuldig te behandelen!

Encryptie van databestanden

Net zoals verbindingen kunnen ook databestanden worden versleuteld. Versleutelde databestanden zijn nog steeds door ongeautoriseerde derden te downloaden, zij kunnen de gegevens echter niet eenvoudig inzien. Het is in beginsel een goed idee om archieven en andere databases te versleutelen. Houd er wel rekening mee dat omdat de gegevens ook voor gebruikers die wél geautoriseerd zijn bruikbaar moeten blijven, u dient na te denken over de veiligheid van de dataverbinding, de gebruikte software en het gedrag van de gebruiker.

Wachtwoordgebruik

Vrijwel alle software die u gebruikt (met name software in de cloud) is met een wachtwoord beveiligd. Denk aan uw boekhoudsoftware, uw webwinkelsoftware, het account bij uw payment processor. Op deze systemen slaat u allerhande gevoelige gegevens op. Hoewel u er waarschijnlijk op kunt vertrouwen dat deze cloud-based software de juiste beveiligingstechnieken in de praktijk heeft gebracht, kan een ongeautoriseerde derde met uw inloggegevens zich eenvoudig toegang verschaffen. Zorg er daarom voor dat u een sterk wachtwoord gebruikt (afwisselend hoofd- en kleine letters, leestekens en cijfers, vermijd uw naam en andere makkelijk te raden woorden of cijferreeksen) of kies voor ‘Two Factor Authentication’ als de software dit ondersteunt. ‘Two Factor Authentication houdt in dat er na het ingeven van een juist wachtwoord nog een tweede (op dat moment gegenereerde) code moet worden ingevoerd. Deze code wordt dan per sms of e-mail aan de gebruiker toegezonden. Hackers moeten dan niet alleen uw gebruikersnaam en wachtwoord weten, maar ook toegang hebben tot uw telefoon of inbox om toegang te krijgen. Deze techniek wordt door steeds meer aanbieders ondersteund.

Software en updates

Even belangrijk als vertrouwde en veilige software aanschaffen, is deze software betrouwbaar en veilig houden. Ontwikkelaars werken hard om veiligheidsrisico’s op te sporen en uit te bannen. Illegale software, sommige open-source software en verouderde software wordt echter vaak niet meer ondersteund door de ontwikkelaar. Vervang deze software en maak er een gewoonte van dat u de updates tijdig installeert. Kies ervoor updates automatisch te downloaden en te installeren als dit mogelijk is.

Inzien, wijzigen, vergeten en porteren

U moet op grond van de huidige en toekomstige regels voorbereid zijn op het verwerken van inzage-, wijzigings-, vergeet- en portatieverzoeken. Het is daarvoor van belang dat u weet welke gegevens u verzamelt, met wie u die gegevens deelt en waar de gegevens worden opgeslagen. Als u niet weet wat u heeft, of als u het niet kunt vinden is gehoor geven aan een verwijderverzoek immers onmogelijk. Er zijn softwarepakketten beschikbaar die alle gegevens die u verwerkt op één plek bewaren. Het kan echter problematisch zijn om afscheid te moeten nemen van de systemen die u nu gebruikt. Gebruikt u meerdere systemen zorg er dan voor dat u in kaart brengt wat u waar opslaat (en met welke meta-gegevens) en zorg ervoor dat u met verwerkers die in opdracht van u gegevens verwerken hun systemen zo inrichten dat zij de verzoeken voor u kunnen afhandelen. U regelt dit in de verwerkersovereenkomst.

Hulp nodig?

Wij zitten tussen 10.00 en 18.00 uur voor u klaar om uw vragen te beantwoorden!

Neem contact met ons op

contactgegevens


Postadres
Henri Dunantlaan 2
9723 AD Groningen

Bezoekadres (op afspraak)
Henri Dunantlaan 2
9728 HD Groningen

  • 050 785 22 82
  • 050 711 93 80
  • 06 482 66 566
  • www.bergmanjuridisch.nl
  • info@bergmanjuridisch.nl

wij zijn partner van


Image
Image
Image
Image
Image