WatchGuard gebruikersanonimisering en de algemene verordening gegevensbescherming van de EU

Transcriptie

1 WatchGuard gebruikersanonimisering en de algemene verordening gegevensbescherming van de EU Technische informatie WatchGuard Technologies, Inc. Publicatiedatum: mei 2016 Introductie Met een steeds maar uitbreidend internet is de kwestie van de privacy van gebruikersgegevens steeds belangrijker geworden. Veel landen zijn betrokken bij het ontwikkelen van regels die standaarden opstellen voor het overdragen, opslaan, bekijken en rapporteren van gegevens die persoonlijk identificeerbare informatie van gebruikers (PII, personally indentifiable information) bevatten. De Europese Unie (EU) stelt een precedent met de meest stringente regelgeving voor gegevens- en privacybescherming ter wereld. In april 2016 nam het Europees Parlement officieel de algemene verordening gegevensbescherming kader aan, afgekort AVG. Als alles volgens plan verloopt zal deze verordening vanaf 25 mei 2018 volledig van kracht zijn. De verplichtingen die samenhangen met de AVG zijn significant en aansprakelijkheid in het bijzonder met betrekking tot het bedrijfspersoneel is een belangrijke component van de naleving. Bedreigingen van binnenuit blijven een belangrijke oorzaak van het lekken en misbruiken van vertrouwelijke gegevens. 'Alles versleutelen' is een goede start, maar een bedrijf zal meer moeten doen om de aanstaande verordening na te leven. Van bedrijven in de EU zal worden geëist dat ze kunnen aantonen dat ze de AVG naleven door de volgende maatregelen te nemen: Het uitvoeren van een effectbeoordeling met betrekking tot de bescherming van gegevens bij risicovollere verwerkingen, voordat de verwerking van start gaat. Het implementeren van 'ingebouwde en standaardgegevensbescherming'. Met andere woorden, organisaties zullen gegevensbescherming in hun infrastructuur moeten inbouwen en deze implementaties vanuit het perspectief van aansprakelijkheid moeten beoordelen. Het uitvoeren van technische en organisatorische maatregelen met betrekking tot gegevensverwerkers. o o De controller alle inbreuken melden Een Data Protection Officer (DPO*) aanstellen Het pseudonimiseren van persoonlijke gegevens. Dit betekent dat persoonlijke identificeerbare informatie zodanig wordt geanonimiseerd dat deze tijdens geen enkele fase van het verwerkingsproces aan de persoon in kwestie kunnen worden toegeschreven. *Hoewel niet alle bedrijven verplicht zijn een dergelijke functie te creëren, geldt de focus op aansprakelijkheid en strikte gebruikersprivacy wel voor alle gegevensverwerkers. Pagina 1

2 WatchGuard gebruikersanonimisering WatchGuard s Dimension zichtbaarheidsplatform, dat deel uitmaakt van alle beveiligingsapparaten van WatchGuard, biedt een nieuwe functie voor het anonimiseren van gebruikers waarmee EUorganisaties de naleving van het AVG-verordeningskader op een hoger niveau kunnen tillen. Deze service werkt heel eenvoudig, is gemakkelijk te gebruiken en te configureren, en is ontworpen met het oog op naleving van de AVG en de realiteit van interne bedreigingen. Hoe gaat het anonimiseren van gebruikers in zijn werk? Bij het anonimiseren van gebruikers worden alle persoonlijk identificeerbare informatie (PII) in de rapporten, dashboard en samenvattingspagina's van Dimension vervangen door een gehashte tekst van tijdelijke aanduiding. Als het anonimiseren van gebruikers is ingeschakeld, worden gebruikersnamen, IPadressen, hostnamen en namen van mobiele apparaten gehasht en vervangen door unieke, willekeurig gekozen alfanumerieke sequenties. De geanonimiseerde sequenties zijn niet alleen uniek binnen de geanonimiseerde sessie in kwestie, maar ook binnen alle geanonimiseerde sessies. Hetzelfde PIIgegevenselement wordt dus bij elke sessie op een andere manier gehasht. Dit maakt het onmogelijk bepaalde trends te ontdekken binnen de gehashte PII-gegevens, noch over één sessie, noch over alle sessies. Afbeelding 1. De geanonimiseerde modus versleutelt alleen op het niveau van het zichtbaarheidsplatform. De modus versleutelt de database niet. Pagina 2

3 Als gebruikers zich aanmelden op Dimension wanneer de geanonimiseerde modus is ingeschakeld, kunnen ze uitsluitend een beperkt gedeelte van de pagina's bekijken. Wat ze kunnen zien, wordt bepaald door hun gebruikersrol. Daarnaast zijn, wanneer deze functie is ingeschakeld, logberichten en detailrapporten niet beschikbaar. De volgende zichtbaarheidsdashboards zijn beschikbaar in de geanonimiseerde modus: Executive Dashboard Security Dashboard Subscription Services Dashboard Threat Map FireWatch Wat betreft rapportages zijn er in de geanonimiseerde modus alleen samenvattingsrapporten beschikbaar. De functie waarmee u kunt doorklikken naar de details van een samenvattingsrapport ('View details') is alleen beschikbaar als Dimension niet in de geanonimiseerde modus is. Hetzelfde geldt voor klantrapporten en detailrapporten. Hoe kan ik gebruikersanonimisering inschakelen? Bij de eerste configuratie van Dimension op een Firebox-apparaat kunt u gebruikersanonimisering inschakelen via de installatiewizard van Dimension (Dimension Setup Wizard). Als Dimension al is geïnstalleerd, kunt u gebruikersanonimisering inschakelen via de pagina's voor serverbeheer (Server Management) en toegangsbeheer (Access Management). Afbeelding 2. Configureren van gebruikersanonimisering nadat Dimension is geïnstalleerd op een Firebox. Pagina 3

4 Wat is een Anonymisation Officer? De Anonymization Officer is een nieuwe rol in Dimension voor het ondersteunen van de naleving van de AVG. De rol weerspiegelt de nieuwe functie Data Protection Office (DPO) die is geïntroduceerd in het verordeningskader van de AVG. De rol Anonymization Officer is zo vormgegeven dat zowel een technisch als een niet technisch persoon deze rol kan vervullen en deze voldoet aan het 'vier-ogen'- of twee-aanmeldingenprincipe voor authenticatie. Als bijvoorbeeld een IT-beheerder Dimension moet deanonimiseren, heeft de beheerder hiervoor toestemming van de Anonymization Officer nodig. Hiermee wordt voorkomen dat een enkele persoon de toegang tot persoonlijk identificeerbare informatie (PII) in handen heeft zonder daarvoor verantwoordelijkheid af te hoeven leggen en zonder dat hij of zij extern wordt gecontroleerd. Afbeelding 3. Gebruikersanonimisering maakt het eenvoudig iemand aan te wijzen als Anonymization Officer. Audits Audits vinden plaats wanneer een Dimension-sessie is gedeanominiseerd. Dimension registreert alle activiteiten die binnen Dimension plaatsvinden zodat alle acties van gebruikers kunnen worden nagegaan. Dit stelt een organisatie in staat de IT-medewerkers verantwoordelijk te houden voor de keren dat ze toegang tot PII-gegevens hebben toegestaan. Audits kunnen plaatsvinden voor de gehele tijd dat Dimension is gebruikt, geanonimiseerd of niet. Audits kunnen ook worden beperkt tot alleen de gedeanonimiseerde sessies wanneer de geanonimiseerde modus is ingeschakeld. Pagina 4

5 Afbeelding 4. Configureer moeiteloos of u een auditlog wilt creëren voor alle acties in Dimension of alleen voor die sessies waarbij de geanonimiseerd modus normaal gesproken aan zou moeten staan maar is uitgeschakeld. Ga voor meer informatie over gebruikersanonimisering en de krachtige Dimension zichtbaarheidstools van WatchGuard naar ADRES: 505 Fifth Avenue South Suite 500 Seattle, WA INTERNET: SALES NOORD-AMERIKA: INTERNATIONALE SALES: INFORMATIE OVER WATCHGUARD WatchGuard Technologies, Inc. is een wereldwijd toonaangevend bedrijf op het gebied van geïntegreerde, multifunctionele beveiligingsoplossingen voor bedrijven, waarbij op intelligente wijze industriestandaard-hardware, 'best-in-class' beveiligingsfunctionaliteit en op beleid gebaseerde beheertools worden gecombineerd. WatchGuard biedt eenvoudig te gebruiken, maar uitzonderlijk krachtige bescherming aan honderdduizenden bedrijven wereldwijd. Het hoofdkwartier van WatchGuard staat in Seattle, Washington en het bedrijf heeft kantoren in heel Noord-Amerika, Europa, Azië en het Stille Oceaangebied, en Latijns-Amerika. Meer informatie vindt u op WatchGuard.com. Deze tekst biedt geen uitgesproken of geïmpliceerde garanties. Alles specificaties zijn onderhevig aan veranderingen en alle verwachte toekomstige producten, functies of functionaliteit worden aangeboden op basis van als en wanneer beschikbaar WatchGuard Technologies, Inc. Alle rechten voorbehouden. WatchGuard, het WatchGuard-logo en WatchGuard Dimension zijn ofwel geregistreerde handelsmerken of handelsmerken van WatchGuard Technologies, Inc. in de Verenigde Staten en/of andere landen. Alle andere handelsmerken en handelsnamen zijn het bezit van hun respectieve eigenaren. Part.No. WGCE66913_ Pagina 5