Vijf beveiligingsmaatregelen die de toezichthouder eist

Als je verantwoordelijk bent voor security, zal je niet altijd makkelijk budget krijgen voor je plannen. Gelukkig is er één extra argument om je collega’s mee te overtuigen als je persoonsgegevens verwerkt: bedrijven zijn dan namelijk op basis van het privacyrecht verplicht hun beveiliging op orde te hebben. En de privacytoezichthouder handhaaft die verplichting ook. Hier zijn vijf maatregelen die de toezichthouder afdwingt.

1. Versleutelde communicatie. Het College bescherming persoonsgegevens (CBP) richtte samen met de Canadese privacytoezichthouder haar pijlen op WhatsApp. De toezichthouders startten een onderzoek, onder meer omdat WhatsApp de communicatie tussen de app en de server niet versleutelde. Het bedrijf heeft naar aanleiding hiervan haar software aangepast, zodat die communicatie nu wel versleuteld is.

2. Goede wachtwoorden. WhatsApp was al eerder in het nieuws gekomen omdat zij de wachtwoorden van gebruikers genereerde aan de hand van het MAC-adres of het IMEI-nummer van het apparaat van de gebruiker. Dat was makkelijk te achterhalen voor een aanvaller, en maakte dat een account dus makkelijk kon worden overgenomen. Ook dit heeft WhatsApp tijdens het onderzoek aangepast.

3. Two factor-authenticatie. In een ander onderzoek heeft het CBP huisartsenposten op de vingers getikt omdat toegang tot medische dossiers zonder two factor-authenticatie was geïmplementeerd. Dit is op basis van de toepasselijke informatiebeveiligingsstandaard voor de medische sector wel verplicht.

4. Maatregelen tegen SQL-injecties en XSS-aanvallen. Dat je verplicht bent maatregelen te nemen tegen dit soort veel voorkomende aanvallen, blijkt uit een onderzoek van het CBP naar een aantal hogescholen. Daarin stelde het vast dat de hogescholen geen maatregelen hadden genomen tegen deze aanvallen en daarom in strijd handelden met hun beveiligingsplicht.

5. Maar misschien nog wel het belangrijkste: je bent verplicht een informatiebeveiligingsbeleid op te stellen. Daarin beschrijf je aan de hand van de gegevens die je verwerkt en de risico’s die je identificeert de maatregelen die je moet nemen (zoals de hierboven besproken maatregelen). En ook die verplichting dwingt het CBP af, zoals blijkt uit dit voorbeeld van een handhavingsactie bij een ziekenhuis. Bij zo’n informatiebeveiligingsbeleid bieden de Richtsnoeren beveiliging persoonsgegevens van het CBP belangrijke handvatten.

Het is dus sterk aan te raden om als je persoonsgegevens verwerkt zo’n informatiebeveiligingsbeleid op te stellen en te implementeren.


Dit artikel verscheen op 1 september op de blog van Digital Defence en is met toestemming van de auteur op ISP Today gepubliceerd.