5 BEVEILIGINGS MAATREGELEN VAN HET COLLEGE BESCHERMING PERSOONSGEGEVENS (cbp) DIE VERPLICHT ZIJN!

OMERTA INFORMATION SECURITY – Rotterdam 11 September 2014

cropped-logo.png

Als je een bedrijf bent dat persoonsgegevens verwerkt heb je je te houden aan de wettelijke regels die het CBP aan bedrijven en personen heeft opgelegd. Hieronder de 5 regels die in acht genomen moeten worden. Als bedrijf moet je kunnen overleggen dat je aan actieve bescherming doet! Doe je dat niet dan zijn vorse boetes een gevolg.

header_logo

1. Versleutelde communicatie. Het CBP richtte samen met de Canadese privacytoezichthouder haar pijlen op WhatsApp. De toezichthouders startten een onderzoek, onder meer omdat WhatsApp de communicatie tussen de app en de server niet versleutelde. Het bedrijf heeft naar aanleiding hiervan haar software aangepast, zodat die communicatie nu wel versleuteld is. Maar denk ook aan email, chatdiensten en allle andere communicatie vormen

2. Goede wachtwoorden. WhatsApp was al eerder in het nieuws gekomen omdat zij de wachtwoorden van gebruikers genereerde aan de hand van het MAC-adres of het IMEI-nummer van het apparaat van de gebruiker. Dat was makkelijk te achterhalen voor een aanvaller, en maakte dat een account dus makkelijk kon worden overgenomen. Ook dit heeft WhatsApp tijdens het onderzoek aangepast.

3. Two factor-authenticatie. In een ander onderzoek heeft het CBP huisartsenposten op de vingers getikt omdat toegang tot medische dossiers zonder two factor-authenticatie was geïmplementeerd. Dit is op basis van de toepasselijke informatiebeveiligingsstandaard voor de medische sector wel verplicht.

4. Maatregelen tegen SQL-injecties en XSS-aanvallen. Dat je verplicht bent maatregelen te nemen tegen dit soort veel voorkomende aanvallen, blijkt uit een onderzoek van het CBP naar een aantal hogescholen. Daarin stelde het vast dat de hogescholen geen maatregelen hadden genomen tegen deze aanvallen en daarom in strijd handelden met hun beveiligingsplicht.

5. Maar misschien nog wel het belangrijkste: je bent verplicht een informatiebeveiligingsbeleid op te stellen. Daarin beschrijf je aan de hand van de gegevens die je verwerkt en de risico’s die je identificeert de maatregelen die je moet nemen (zoals de hierboven besproken maatregelen). En ook die verplichting dwingt het CBP af, zoals blijkt uit dit voorbeeld van een handhavingsactie bij een ziekenhuis. Bij zo’n informatiebeveiligingsbeleid bieden de Richtsnoeren beveiliging persoonsgegevens van het CBP belangrijke handvatten.

Het is dus sterk aan te raden om als je persoonsgegevens verwerkt zo’n informatiebeveiligingsbeleid op te stellen en te implementeren. En dat geldt voor een groot gedeelte van de hedendaagse bedrijven!

Omerta Information Security kan helpen bij het in kaart brengen van deze punten en een advies afgeven en maatregelen implementeren die ervoor zorgen dat data veilig is! Denk aan een webscan/pentest, two factor authentication implementatie, en encryptie voor communicatie van apps en platformen tot alle data in de cloud. Het opstellen van een informatie beveiligingsbeleid kan in de vorm van een ISO 27001 traject of een compliance traject als u aan nog meer strengere eisen moet voldoen.

Het is niet de vraag of u gehacked wordt, maar wanneer!

Gedeeltes uit dit stuk verschenen eerder op security.nl en is geschreven door OT van Daalen van Digital Defense

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s