Waarom een beleid rondom fysieke beveiliging integraal onderdeel uitmaakt van GDPR Compliance

Transcriptie

1 Waarom een beleid rondom fysieke beveiliging integraal onderdeel uitmaakt van GDPR Compliance Disclaimer: Niets in deze uitgave mag worden beschouwd als juridisch advies. Organisaties dienen een raadsman te raadplegen met betrekking tot naleving van de algemene verordening gegevensbescherming of enige andere toepasselijke wetten of voorschriften.

2 Inhoudsopgave Over dit document 3 GDPR - Een overzicht 4 Op wie is het van toepassing? 5 Persoonlijke en gevoelige informatie 6 Een bedrijfskader voor naleving van GDPR. 7 Waarom is fysieke beveiliging belangrijk? 8 Fysieke beveiliging en datalekken 9 Samenwerking tussen gebruikers 10 Barrières overwinnen om te voldoen aan de GDPR GDPR hoofdpunten om te onthouden Oplossingen 16 Bronnen 17 2

3 Over dit document Dit whitepaper geeft u een overzicht van wat de GDPR (AVG) wil bereiken en welke problemen dit kan opleveren voor organisaties. Het doel van dit whitepaper is u een inleiding te geven over de algemene verordening gegevensbescherming (AVG) van de EU en over de manier waarop deze van invloed is op verschillende bedrijfsactiviteiten, zodat u een kader kunt scheppen voor een beleid rondom beveiliging van hardware voor uw eigen organisatie, voordat de verordening in werking treedt in mei Waar gaat GDPR eigenlijk over? Deze verordening verplicht organisaties om goede veiligheidspraktijken toe te passen op zowel elektronische gegevens, als gegevens op papier en om, in geval van een datalek, de (mogelijk) betrokken personen hiervan op de hoogte te stellen. De GDPR is wereldwijd van toepassing op alle organisaties die persoonlijk identificeerbare gegevens over mensen in de EU beheren of verwerken, ongeacht de geografische voetafdruk van deze organisaties. De voorschriften van GDPR gelden zowel voor persoonsgegevens in elektronische vorm als op papier en dit betekent dat alle organisaties zich moeten houden aan de GDPRvoorschriften als ze persoonlijk identificeerbare gegevens verwerken die afkomstig zijn uit de EU. Veel organisaties denken wel aan het beveiligen van gegevens tegen hackers en malware, maar vergeten vaak de fysieke beveiliging van hun hardware. Meer dan de helft gebruikt geen fysiek slot voor IT-apparatuur 1. Hierdoor lopen organisaties het risico niet te voldoen aan de GDPR en de betreffende personen lopen het risico van fraude en identiteitsdiefstal. Met dit in het achterhoofd stimuleert Kensington organisaties om hun beleid rondom fysieke IT beveiliging met betrekking tot elektronische gegevens onder de loep te nemen. 3

4 Een overzicht Hoewel het hoofddoel van GDPR bestaat uit het vergroten van het privacyrecht voor elektronische gegevens is, mag niet voorbij worden gegaan aan de fysieke beveiliging van computer hardware. De nadruk van GDPR ligt op het aanpakken van de steeds grotere uitdagingen op het gebied van gegevensbescherming en privacy, blootstelling aan datalekken, hacken en andere onwettelijke manieren van informatieverwerking. Deze punten omschrijven de specifieke gebieden binnen de AVG met nieuwe of strengere rechten voor individuele personen. Overdraagbaarheid van gegevens en het recht om te worden vergeten Individuele personen hebben nu het recht om hun persoonsgegevens van de ene naar de andere organisatie over te dragen. Persoonsgegevens moeten in een gestructureerd, door machines leesbaar formaat worden verstrekt. Een persoon kan een verzoek indienen voor het vernietigen of verwijderen van persoonsgegevens. Voorraad Lokale overheden hoeven niet meer te worden geïnformeerd over het feit dat er persoonsgegevens worden verwerkt. Organisaties zijn zelf verantwoordelijk voor het bijhouden van een dossier over hun verwerkingsactiviteiten. Gegevensbeschermingseffectbeoordelingen en veiligheid GBEB s zijn een middel om hoge risico's voor het recht op privacy van individuele personen te herkennen. Veiligheidseisen en -aanbevelingen moeten gebaseerd zijn op een risicobeoordeling. Kennisgeving van datalekken Elk gegevenslek moet worden gemeld aan de toezichthoudende autoriteit. Ook personen die betrokken zijn bij het datalek moeten hierover worden geïnformeerd. Gegevensbeheer en verantwoordingsplicht Organisaties moeten ook kunnen aantonen dat ze voldoen aan de AVG. 4

5 Op wie is het van toepassing? GDPR is van toepassing op organisaties binnen de EU en op organisaties buiten de EU die gegevens bewerken of controleren met betrekking tot inwoners of staatsburgers van de EU. GDPR heeft voornamelijk gevolgen voor: Alle organisaties die gegevens bewaren over EUburgers (ook al zijn ze buiten de EU gevestigd) moeten zich houden aan de AVG en het heeft gevolgen voor iedereen die deze informatie behandeld. Gegevensbeheerders - zij beslissen hoe en waarom persoonsgegevens worden verwerkt Gegevensverwerkers - mensen die handelen namens de beheerder Deze twee personen zijn er verantwoordelijk voor dat hun klanten volledig voldoen aan alle GDPR aspecten om te voorkomen dat ze boetes krijgen. Effectieve en aantoonbare naleving van GDPR moet betrekking hebben op alle leden van een organisatie die omgaan met persoonlijke en vertrouwelijke informatie. Bijvoorbeeld, op de laptop van een verkoper staat vertrouwelijke en gevoelige informatie van klanten. Deze laptop moet fysiek beveiligd worden. Een gegevensverwerker of gegevensbeheerder moet wellicht een toezichthouder voor gegevensbescherming benoemen en een dossier bijhouden van alle verwerkingsactiviteiten die worden uitgevoerd namens zijn klanten. 5

6 GDPR heeft betrekking op persoonsgegevens en gevoelige persoonlijke data in elektronisch en fysiek formaat Het is belangrijk te overwegen op welk soort gegevens de GDPR van toepassing is, alvorens een beleid voor uw organisatie op te stellen. Gegevens die binnen het toepassingsgebied van de GDPR behoren, bestaan onder meer uit informatie over een te identificeren persoon worden ingedeeld in twee categorieën: Persoonsgegevens omvat gegevens zoals een of fysiek adres, maar ook elke informatie die kan worden gebruik om iemand online te identificeren, zoals een IP-adres. Gevoelige persoonsgegevens verwijst naar meer intieme informatie, waaronder etnische afkomst, politieke overtuiging, religie en gezondheidsgegevens. In het algemeen hebben organisaties sterkere redenen nodig om deze informatie te verwerken dan gewone persoonsgegevens. 6 GDPR heeft betrekking op persoonsgegevens die door organisaties worden behandeld in zowel elektronisch als fysiek formaat.

7 GDPR is er voor de bescherming van persoonlijke data en gevoelige persoonlijke data in elektronische vorm en fysieke formats Door na te denken over mensen, processen en technologie, kunnen organisaties duidelijke kaders scheppen voor hun beveiligingsbeleid, zodat ze kunnen voldoen aan alle aspecten van de AVG. Organisaties hebben drie hoofdgebieden die moeten worden beoordeeld om te voldoen aan de AVG. Mensen - het is van kritiek belang dat het personeel dat binnen een organisatie gegevens verwerkt hiervoor zelf verantwoordelijkheid neemt. Een organisatie moet voor elke afzonderlijke werknemer duidelijke regels opstellen over een correct beheer van alle elektronische gegevens die het bedrijf bezit. Deze regels vloeien voort uit de eisen van de AVG met betrekking tot de omgang met alle gegevens. Zo is het mogelijk dat u duidelijke regels wilt introduceren over het gebruik van gevoelige gegevens op de laptops van medewerkers en het proces om gegevens te wissen. Processen - dit heeft betrekking op de processen binnen de organisatie. Een voorbeeld is het beheren van de manier waarop gegevens over klanten worden gebruikt, zoals verwerking of archivering. Het is van cruciaal belang dat bedrijven al hun huidige processen met betrekking tot gegevens opnieuw beoordelen. Als er binnen de bestaande procedures hiaten of zwakke plekken bestaan, dan moet de organisatie een kaderplan ontwikkelen om dergelijke problemen op te lossen, zodat de AVG wordt nageleefd. Technologie - de huidige capaciteiten en benodigdheden op IT-gebied moeten worden beoordeeld en indien nodig worden bijgesteld voor mei Elk afzonderlijk bedrijf moet garanderen dat bestaande systemen die niet geheel voldoen aan de voorschriften worden verbeterd of vervangen om te voorkomen dat er boetes worden opgelegd nadat de AVG in werking is getreden. 7

8 Waarom is fysieke beveiliging van belang? Hoewel organisaties online- en softwarebedreigingen hoog op de agenda hebben staan, zou het een vergissing zijn om te denken dat er geen fysieke veiligheidsrisico's meer bestaan. Nu we hebben besproken wat GDPR van bedrijven en organisaties eist, is het nu relevant om het probleem van fysieke beveiliging van IT hardware aan te pakken en waarom dit een belangrijke zorg is voor bedrijven die zich voorbereiden op het voldoen aan de GDPR-eisen. Na online dreigingen en het onbedoeld openbaar maken van gegevens, zijn draagbare apparaten en fysiek verlies de grootste oorzaak van inbreuk op persoonsgegevens 2 : Elke dag worden er gemiddeld meer dan 5 miljoen gegevensbestanden verloren of gestolen 3 en meer dan een derde van de bedrijven hebben geen beleid op het gebied van fysieke beveiliging opgesteld om laptops, mobiele apparaten en andere elektronische middelen te beschermen. 4 Gezien de hoogte van de mogelijke boetes die zijn vastgelegd in de AVG, de toename van het mobiel werken en het aantal flex-werkplekken, is de fysieke beveiliging van laptops en mobiele apparaten een zinnige voorzorgsmaatregel, zowel op als buiten de vaste werkplek. Een apparaat beveiligen met een kabelslot is een snelle eenvoudige manier om diefstal te voorkomen - en ook zeer effectief. Kensington biedt een complete reeks beveiligingsoplossingen voor een breed assortiment laptops, waaronder apparaten zonder uitsparing voor een kabelslot. De laptoptassen uit het SecureTrek assortiment kunnen fysiek worden vastgemaakt aan een vast voorwerp, bijvoorbeeld op een vliegveld, in een hotel of op een beurs. 8

9 Gebrek aan fysieke beveiliging is nog steeds de oorzaak van veel datalekken Van de 697 incidenten op het gebied van gegevensbescherming die tussen april en juni 2017 zijn geregistreerd door de Information Commissioner s Office (ICO, een Britse instantie voor gegevensbescherming), was 6% te wijten aan de diefstal van een niet-gecodeerd apparaat dat op een onveilige plek was achtergelaten, terwijl de diefstal van een kopie van gecodeerde gegevens nog eens 3,5% extra gegevensverlies betekende 5. In de financiële sector zijn verloren of gestolen apparaten de meest voorkomende oorzaak (25%) van datalekken. Deze sector is een bijzonder aantrekkelijk doel vanwege de omvang van de gevoelige gegevens die worden opgeslagen en gebruikt. 6 Binnen de gezondheidszorg is fysieke diefstal of verlies de grootste oorzaak van veiligheidsincidenten, met 32% van meer dan onderzochte incidenten in 82 landen. 7 Ook moeten de huidige capaciteiten en benodigdheden op IT-gebied worden beoordeeld en indien nodig worden bijgesteld voor mei Elk afzonderlijk bedrijf moet garanderen dat bestaande systemen die niet geheel voldoen aan de voorschriften worden verbeterd of vervangen om te voorkomen dat er boetes worden opgelegd nadat de AVG in werking is getreden. 9

10 Medewerking van gebruikers is van kritiek belang voor de naleving van de AVG Op basis van deze inzichten denken we dat organisaties worden geconfronteerd met vier belangrijke bezwaren en barrières voor het doeltreffend regelen van fysieke beveiliging: We werken in een veilige omgeving We gebruiken encryptie en slaan gegevens op in de cloud Als we kunnen concluderen dat fysieke beveiliging zeer belangrijk is voor de informatieveiligheid, dan is de vraag: wat doen organisaties hieraan? Kensington is wereldwijd marktleider op het gebied van fysieke beveiliging van hardware en de uitvinder van het laptopslot. Het bedrijf heeft al meer dan 35 jaar ervaring en kent de noodzaak, behoeften en uitdagingen van organisaties die zich willen beschermen en voldoen aan de AVG. Sloten zijn slechts een afschrikmiddel Je kunt dit apparaat niet beveiligen 10

11 Barrières overwinnen om te voldoen aan de AVG We werken in een veilige omgeving Gesloten tv-circuits, werknemerspasjes en beveiligingspersoneel kunnen een verhoogd veiligheidsgevoel en een lager risicobesef met zich meebrengen. 58% van laptops worden uit kantoor gestolen en 85% van de IT-managers vermoeden interne diefstal. 8 Gegevens lopen risico zodra de laptop is gestolen, vooral omdat slechts 3% 9 ooit wordt teruggevonden. Laptopsloten voorkomen gelegenheidsdiefstal en besparen tijd en kosten om de dader te achterhalen en de laptop te vervangen, laat staan mogelijke boetes volgens de AVG. We gebruiken encryptie en slaan gegevens op in de cloud Encryptie is geen oplossing wanneer een gestolen apparaat gegevens bevat waar geen back-up van is gemaakt. Zelfs wanneer gebruikers geen gegevens opslaan op de harde schijf, is het productiviteitsverlies van een werknemer die zijn gebruikelijke computer moet missen het waard om zich hiertegen te beschermen. Loop eens rond door uw gebouw. Hoe gemakkelijk zou een koerier een apparaat kunnen meenemen? 49% van de MKB-bedrijven hebben 2 tot 4 dagen nodig om een verloren of gestolen laptop te vervangen. 8 Sloten zijn slechts een afschrikmiddel Laptopsloten zijn voornamelijk ontworpen als bescherming tegen gelegenheidsdieven. Ze zijn echter ook zeer effectief in het voorkomen van diefstal. IDC rapporteert dat 52% van de IT-managers die te maken hebben gehad met laptopdiefstal zeggen dat dit voorkomen had kunnen worden met een slot. 8 11

12 Barrières overwinnen om te voldoen aan de AVG MicroSaver 2.0 en ClickSafe 2.0 Voor apparaten die geschikt zijn voor de standaard Kensington beveiligingsuitsparing, zoals 90% van de apparaten in bedrijven. N17 voor Dell 2017 apparaten Voor apparaten die de Wedge Security uitsparing gebruiken, zoals de Dell Latitude 2017 modellen (later) en sommige andere apparaten. Je kunt dit apparaat niet beveiligen Nu ze steeds dunner worden, hebben niet alle laptops meer het standaard Kensington Security Slot. Het is echter een misverstand om te denken dat dergelijke apparaten niet fysiek kunnen worden beveiligd. Zelfs apparaten zonder aansluitingsmogelijk voor een kabelslot, kunnen worden beveiligd om gelegenheidsdiefstal te voorkomen. Kensington biedt een volledig assortiment oplossingen voor een uiteenlopende reeks apparaten: Kensington Security Slot op laptop en desktop MicroSaver 2.0 slot past direct in de beveiligingsuitsparing ClickSafe 2.0 slot voor bevestiging via ClickSafe Anchor Wedge Security Slot Laptop verankerd aan vast object 12

13 NanoSaver Laptopslot Voor apparaten die geschikt zijn voor het Kensington Nano Security Slot, zoals ultradunne laptops en tablets. Microsoft Surface beveiligingsoplossingen Sloten voor specifieke apparaten, zoals de Surface Pro, Surface Book en Surface Studio Laptop Locking Station 2.0 Voor apparaten zonder uitsparing, waaronder de Surface laptop en MacBook Pro Kensington Nano Security Slot Kabelslot voor Surface Pro Laptop Locking Station met MacBook Pro Locking Kit voor Surface Studio NanoSaver Laptopslot met sleutel Locking Bracket voor 13.5 Surface Book Vind de ideale beveiligingsoplossing voor uw laptop of ander apparaat bij: kensington.com/securityselector 13

14 6 Essentiële GDPR punten om te overwegen 1. Een toezichthouder voor gegevensbescherming benoemen Deze toezichthouder moet volledig op de hoogte zijn van de verantwoordelijkheden van de organisatie met betrekking tot AVG en zeer goed begrijpen wat binnen uw organisatie gezien moet worden als persoonlijk, waar dit wordt bewaard, wie er toegang toe heeft, hoe datalekken zijn te vinden en aan wie dit moet worden gerapporteerd. De toezichthouder voor gegevensbescherming hoeft geen medewerker te zijn u kunt deze taak ook uitbesteden. 2. Beoordeel uw systemen Beoordeel alle contracten, technische ondersteuning, procedures en hulpprogramma s die betrekking hebben op de verwerking, opslag en verwijdering van gegevens, zodat u eventuele tekortkomingen of hiaten kunt identificeren waarvoor aanpassingen nodig zijn. 3. Ontwikkel een strategie Stel een nieuwe strategie op die gegarandeerd voldoet aan de AVG. Deze strategie kan leiden tot nieuwe investeringen in technologie, een herziening van de personeelsprocedures en de verantwoordelijkheden voor gegevensverwerking en nieuwe rollen creëren binnen de organisatie. 14

15 6 Essentiële GDPR punten om te overwegen 4. Implementeer een nieuw organisatiebeleid De volgende stap in naleving van de AVG is uw plan in de praktijk brengen op alle niveaus binnen de organisatie. Investeer in nieuwe technologieën en systemen die nodig zijn op de werkplek en stel een informatieve gids samen over het omgaan met en verwerken van gegevens. 5. Betrokkenheid van medewerkers Introduceer uw nieuwe nalevingsbeleid bij het voltallige personeel; stel trainingen, informatie en gidsen beschikbaar voor werknemers, zodat ze zich bewust zijn van de veranderingen die plaatsvinden en van hun verantwoordelijkheden wat betreft het naleven van de AVG door het bedrijf. 6. Beoordelen en verbeteren Nadat u uw plan om te voldoen aan de AVG heeft geïntroduceerd, is het tijd dit te beoordelen en indien nodig te verbeteren voordat de verordeningen van kracht worden. Als u ruim van tevoren eventueel noodzakelijke verbeteringen kunt vaststellen, zal uw organisatie de veranderingen voor mei 2018 op succesvolle en efficiënte wijze hebben doorgevoerd, zodat u volledig voldoet aan de eisen. 15

16 Oplossingen Sloten voor laptops en andere apparaten zijn een direct antwoord op de noodzaak voor organisaties om werknemers te laten werken volgens een beleid voor fysieke beveiliging van hardware en zo de risico's van mogelijke datalekken te verminderen. Aanvullende oplossingen kunnen dit risico verder omlaag brengen, zowel binnen als buiten de kantooromgeving. SecureTrek Luggage Het SecureTrek assortiment rolkoffers, tassen en rugzakken van kan aan een vast voorwerp worden bevestigd op risicovolle locaties, zoals vliegvelden, hotels en beurzen. USB Port Locks Hiermee kunnen systeembeheerders op fysieke wijze voorkomen dat mensen USB-apparaten aansluiten, om het risico van het onbevoegd kopiëren van gegevens of het uploaden van malware te verminderen. Privacy Filters Visueel hacken is eenvoudig, gebeurt snel en vaak onopgemerkt. 10 Een Privacy Filters verkleint de kijkhoek en verlaagt dit risico. Cabinets Een snelle en eenvoudige manier om meerdere tablets en ultradunne laptops te laden, synchroniseren en beveiligen. VeriMark Fingerprint Key Dit is een eenvoudige, snelle en veilige biometrische inlogbeveiliging voor Windows Hello. Het werkt met diensten waarvoor twee-factor authenticatie nodig is en beschermt tegen onbevoegde toegang voor meer online veiligheid. 16

17 Bronnen 1. Kensington IT Security & Laptop Theft Survey, August Data Breaches - Privacy Rights Clearinghouse 3. Breach Level Index, September Kensington IT Security & Laptop Theft Survey, August Information Commisioner s Office - action-weve-taken/gegevens-security-incident-trends 6. Financial Services Breach Report, Bitglass, Verizon Data Breach Investigations Report IDC Executive Brief Laptop Theft: The Internal and External Threat 9. IDC White Paper The Threat of Theft and Loss of Laptops for the SME 10. Ponemon Institute Visual Hacking Experiment,

18 kensington.com VOOR MEER INFORMATIE NEEM CONTACT OP MET: Robert De Vries Sales Manager Benelux +31 (0) Yves Neige Key Account Manager +32 (0) Kensington en de naam en het ontwerp van ACCO zijn geregistreerde handelsmerken van ACCO Brands. Alle andere geregistreerde en ongeregistreerde handelsmerken zijn eigendom van de respectievelijke eigenaars Kensington Computer Products Group, een divisie van ACCO Brands. Alle rechten voorbehouden. CBT14866NL