Encryptie voorkomt mega-datalek

door Pieter Lacroix |

Datalekken halen steeds vaker het nieuws. Spraakmakend waren de hacks bij het Sony PlayStation Network en Sony Online Entertainment (ongeveer 100 miljoen getroffen gebruikers) en bij LinkedIn (6,5 miljoen wachtwoorden gepubliceerd). In Nederland zorgde de publicatie van gegevens van 539 KPN-klanten begin 2012 voor regelrechte paniek en werd het Groene Hart Ziekenhuis getroffen door een lek van patiëntgegevens, aldus een inventarisatie van Houthoff Buruma.

De Wet bescherming persoonsgegevens (Wbp) is heel lang een papieren tijger geweest. Maar die tijger krijgt nu tanden. Zo aanvaardde de Eerste Kamer onlangs unaniem het wetsvoorstel Meldplicht Datalekken en het College Bescherming Persoonsgegevens (Cbp) mag voortaan boetes uitdelen van maximaal 810.000 euro of euro of 10 procent van de jaaromzet van de rechtspersoon.

Bedrijven lopen onnodig risico, zo blijkt uit onderzoek van Sophos dat werd uitgevoerd in Engeland, Duitsland en Frankrijk. Bijna twee derde van de ondervraagde managers maakt zich zorgen over de veiligheid van hun bedrijfsgegevens. 49 procent durft zijn handen niet in het vuur te steken voor het databeschermingsbeleid binnen de eigen onderneming. Slechts 23 procent van de respondenten geeft aan dat zowel de klant- als de personeelsgegevens bij hen in veilige handen zijn. Maar 51 procent van de zakelijke laptops is versleuteld. Opmerkelijk als je bedenkt dat verlies of diefstal van laptops in taxi’s, hotels of vliegvelden schering en inslag is. Op mobiele apparaten is immers steeds meer data opgeslagen. Het risico op een mega-datalek is dan ook levensgroot.

De Europese GDPR draait vooral om de artikelen 30 tot en met 32, die regelen welke data beschermd dient te worden (financiële transacties, klantgegevens en medische dossiers), wanneer een datalek bij de autoriteiten gemeld moet worden en wanneer ieder slachtoffer van een datalek geïnformeerd dient te worden. Concreet zijn er drie verplichtingen. Iedere onderneming moet passende maatregelen nemen om persoonlijke gegevens te beschermen. Daarnaast moet er een databeschermingsbeleid actief zijn waarin wordt aangegeven hoe data effectief wordt beschermd. Ondernemingen die persoonlijke data van meer dan 5.000 EU-burgers beheren moeten bovendien een Data Protection Officer aanstellen.

Bij grove nalatigheid zijn de Europese boetes fors. Ze kunnen oplopen tot 100 miljoen euro of 5 procent van de wereldwijde omzet. Maar zo ver hoeft het niet te komen. Als de onderneming kan aantonen dat de gelekte data versleuteld is via encryptie, hoeft ze individuele slachtoffers niet te informeren en krijgt ze waarschijnlijk ook geen boete.

Pieter Lacroix, managing director Sophos Nederland

Het is algemeen aanvaard dat encryptie de beste methode is om te voldoen aan de nieuwe EU-regulering. Maak dus gebruik van encryptie. Maar er zijn meer preventietips: download altijd de nieuwste patches, installeer een firewall van de nieuwste generatie, gebruik sandboxing om verdachte programma’s geïsoleerd uit te voeren en beperk de verspreiding van gevoelige data. Realiseer je tot slot dat het netwerk aan informatievoorzieningen dat we in Nederland hebben, valt of staat met de veiligheid in de gehele keten en niet alleen met de dingen die we kunnen vatten onder wettelijke bepalingen. Last but not least: doe de compliance check.