Als je als ICT’er verantwoordelijk bent voor de beveiliging van een platform, dan kunnen de budgeten voor jouw onderdeel onder druk komen te staan. Extra geld voor beveiliging levert vaak namelijk niet direct geld op en aangezien je geld maar één keer kunt uitgeven wordt dit nogal eens uitgegeven aan zaken die wél direct geld opleveren. Gelukkig zijn er een aantal voorwaarden waaraan een platform moet voldoen om de privacy te garanderen.
Wettelijk verplichting
Er geldt dus een wettelijke verplichting om veilig met persoonsgegevens om te gaan. Deze wettelijke verplichting wordt in Nederland gehandhaafd door het College Bescherming Persoonsgegevens. De volgende soorten beveiliging zijn verplicht gesteld door het CPB:
- Versleutelde Communicatie: De toezichthouder eist dat de (persoons)gegevens op een veilige manier worden uitgewisseld en opgeslagen. De verbinding die hiervoor wordt gebruikt moet versleuteld zijn. Een voorbeeld hiervan is de actie die het CPB ondernam tegen Whatsapp. De communicatie van tussen de app en de server was niet beveiligd. Totdat het CPB (in samenwerking met de Canadese Toezichthouder) een onderzoek naar Whatsapp instelde. Inmiddels heeft Whatsapp ervoor gezorgd dat de communicatie van een encryptie is voorzien.
- Bescherming tegen SQL-injecties en XSS-attacks. Hackers maken vaak gebruik van deze manieren om data te ontfutselen. Je bent verplicht om hier maatregelen tegen te nemen. Het komt nog steeds voor dat hackers eenvoudig in kunnen breken in systemen door deze technieken te gebruiken.
- Wachtwoorden mogen niet eenvoudig te raden zijn. Als een wachtwoord op een eenvoudige manier wordt gegenereerd, kan dit gemakkelijk te raden zijn. De toezichthouder controleert hier op en kan berispingen en boetes uitdelen.
- Two-Factor authenticatie: In sommige gevallen is het verplicht om een hogere beveiligingsstandaard aan te houden. Het ligt eraan met welke data je omgaat. De NAW-gegevens van gebruikers moeten op een andere manier beveiligd worden dan de gegevens van bijvoorbeeld patiënten. De manieren van encryptie liggen in sommige gevallen hoger en ook de manier waarop toegang tot de data verkregen kan worden moet in sommige gevallen moeilijker zijn.
- Een informatiebeveiligingsbeleid: De toezichthouder eist van je dat je een plan hebt waarin de mogelijke risico’s, de aard van de informatie die je opslaat en de manier waarop deze beveiligd wordt beschreven staan. Dit document is verplicht. Om zo’n beleid op een juiste manier te formuleren kan je de richtlijnen van het CPB zelf gebruiken.
5 verplichte beveiligingsmaatregelen!
Geen opmerkingen:
Een reactie posten