Blog

Datacenter Security

Dataprotectie: het beperken van de gevolgen van een datalek

19 nov 2015

Ik heb al enkele blogs rond het thema dataprotectie geschreven, vooral over backup, oftewel het veiligstellen van data bij een probleem. Dataprotectie behelst echter meer dan backup, namelijk information privacy. Daar gaat deze blog over.

Bert Hoving door Bert Hoving

Met dataprotectie of information privacy wordt bedoeld de vertrouwelijkheid, integriteit en beschikbaarheid van data. Vertrouwelijk omgaan met persoonsgegevens is op dit moment heel actueel. Op 1 januari 2016 treedt namelijk de Wet Meldplicht Datalekken in werking. Organisaties zijn vanaf dat moment verplicht een datalek te melden bij de Autoriteit Persoonsgegevens (nu nog College Bescherming Persoonsgegevens), indien de gegevens van personen (patiënten, klanten, leveranciers enzovoorts) gelekt zijn door verlies of diefstal van data. Ook moeten de gedupeerden op de hoogte worden gesteld van het dataverlies, de bijbehorende risico’s en een aanpak om die te beperken.

Het College heeft zogenaamde richtsnoeren opgesteld, ter verduidelijking van de aanpak bij het constateren van een datalek. De Autoriteit Persoonsgegevens kan organisaties die falen persoonsgegevens voldoende te beveiligen een boete opleggen die kan oplopen tot maximaal €810.000,- of 10 procent van de jaaromzet! Behalve deze enorme financiële schade loopt een organisatie natuurlijk ook reputatieschade op, met alle gevolgen van dien.

Whitepaper AVG WAN verbindingen

General Data Protection Regulation

De Wet Meldplicht Datalekken is een voorloper op de Europese wetgeving die in 2017 verwacht wordt. Het gaat om de General Data Protection Regulation (GDPR) en die wet geldt dan automatisch voor alle lidstaten van de Europese Unie. De Europese wet vervangt dan de Nederlandse Wet Meldplicht Datalekken. De maximale boete die dan geldt, bedraagt 100 miljoen euro of 5 procent van de jaaromzet. De huidige Europese wetgeving heeft betrekking op telecomaanbieders en internet service providers maar de nieuwe wet gaat net als de Nederlandse Wet Meldplicht Datalekken voor alle organisaties gelden die persoonsgegevens verwerken. Het is dus voor alle organisaties in deze categorie belangrijk passende maatregelen te nemen om de kans op een datalek zoveel mogelijk te voorkomen.

Om de persoonsgegevens te beschermen tegen lekken, moeten die passende maatregelen zowel op technisch als organisatorisch vlak genomen worden: de beveiliging is immers zo sterk als de zwakste schakel. Een goede manier om data te beschermen is het versleutelen van data (encryptie). Door encryptie toe te passen, is bij een datalek de verloren data versleuteld en zonder de juiste sleutel onleesbaar en dus waardeloos.

Encryptie datalek
Eerst moet er bepaald worden waar de risico’s van datalekken zich precies bevinden. Gaat het om persoonsgegevens, bijvoorbeeld van leerlingen, patiënten of klanten? Staan deze gegevens in een (centrale) database op een fileshare of op pc’s en laptops? Is de data opgeslagen in (of gesynchroniseerd naar) de cloud? Vindt de transmissie naar de cloud of naar een ander datacenter plaats over eigen verbindingen of via het internet?

Key Management Systeem

Pas als deze vragen beantwoord zijn, is duidelijk welke data versleuteld moet worden. Aan de hand daarvan kunnen encryptieapplicaties of -software ingezet worden voor encryptie en decryptie van de data. De encryptiesleutels moeten veilig bewaard worden in een Key Management Systeem. Dit systeem maakt de sleutels aan, beheert ze, vernieuwt ze en verwijdert de sleutels zodra ze verlopen zijn. Voor extra beveiliging van de data zorgt multi-factor-authenticatie ervoor dat alleen geautoriseerde gebruikers toegang krijgen.

Dataencryptie gaat het datalek niet voorkomen, maar zorgt ervoor dat de data onleesbaar is zonder sleutels. Hierdoor worden de persoonsgegevens en andere vertrouwelijke data niet blootgesteld aan hackers, criminelen of anderen die de data vinden op bijvoorbeeld een verloren USB-stick of backup tape. Dit  laatste is een belangrijk onderdeel van een dataprotectie-aanpak.

Geïnteresseerd?

Bert Hoving
Neem contact op met onze specialist Bert Hoving

Bert Hoving is pre-sales Consultant bij Telindus. In deze functie adviseert hij vooral non-profit organisaties op het kennisgebied van storage- en datacenter infrastructuren en datamanagement- en protectie. Door de ervaring die hij gedurende tientallen jaren heeft opgebouwd rond storage en datamanagement, waarvan ruim zeven jaar bij Telindus, kan je spreken van een specialist met brede kennis van de uitdagingen in de markt, de oplossingen en de spelers. Deze kennis past hij dan ook toe bij de beantwoording van Europese Aanbestedingen voor datacenter infrastructuren en zogenaamde converged infrastructures voor gemeentes, hogescholen, universiteiten en andere instanties.

Doordat Bert de functionele behoefte van organisaties goed begrijpt, is hij als consultant uitstekend in staat deze te vertalen naar de meest optimale oplossing tegen de laagste kosten. Het resultaat hiervan is een oplossing met een lagere TCO, eenvoudiger beheer, een betere bezettingsgraad en een oplossing die klaar is voor de cloud.

Een groot deel van zijn vrije tijd besteedt Bert aan zijn drie windhonden.

geen reacties
Plaats een reactie