Waarom databescherming meer aandacht verdient en hoe ESET u daarmee kan helpen

Download gratis whitepaper
Wat is de GDPR?

Voldoet uw organisatie aan de GDPR?

Vanaf 25 mei 2018 zal de GDPR op Europees niveau worden gehandhaafd.

Als dit u aangaat dan adviseren wij u nu te beginnen met het treffen van voorbereidingen. Deze website is door ons in het leven geroepen om u te helpen de GDPR beter te begrijpen en de vereisten in kaart te brengen. Daarnaast biedt ESET beveiligingsoplossingen die bijdragen aan het beschermen van gevoelige data. De GDPR zal effect hebben op alle organisaties die opereren in de EU en persoonlijke data verwerken. De regels zijn complex en de boetes bij nalatigheid significant (tot 4% van de jaarlijkse omzet of 20 miljoen euro).

U bent hier op de juiste plek om meer te leren over de GDPR!

calendar due date GDPR

Download gratis whitepaper

ESET heeft in samenwerking met juridisch adviseurs een diepgaande gids geschreven over hoe de nieuwe EU verordening effect zal hebben op organisaties.

guide general data protection regulation

Online compliance check

Deze website is in het leven geroepen om u te helpen de GDPR te leren begrijpen, inzicht te geven in de vereiste maatregelen en waar mogelijk oplossingen te bieden.

GDPR vereisten, een stappenplan

De gevolgen van de GDPR zijn complex. Om die reden hebben we de te nemen maatregelen in drie verschillende groepen uitgesplitst. Elke groep bestaat weer uit gebieden waar een onderneming antwoord op moet hebben om zich te kunnen meten aan de maatregelen die voortvloeien uit de GDPR. Door op de groene balken te klikken vind u meer details.

+Samengevat

Een aantal van de in de GDPR uiteengezette beginselen zijn een voortzetting van in de bestaande richtlijnen aanwezige principes, namelijk: eerlijkheid, rechtmatigheid en transparantie; beperking van het doel; gegevensminimalisering; data kwaliteit; veiligheid, integriteit en vertrouwelijkheid.

De GDPR introduceert een nieuwe verantwoordingsplicht door van dataverwerkende partijen te verlangen dat ze ten alle tijden kunnen aantonen dat ze voldoen aan de privacy principes. Daarnaast voegt de GDPR de volgende nieuwe aspecten toe aan de bestaande principes:

Rechtmatigheid, eerlijkheid en transparantie – in relatie tot de betrokkenen dienen persoonsgegevens op een transparante manier te worden verwerkt

Limitering van het verwerken van gegevens – Voor elke verwerking moet worden nagegaan of met minder gegevens of op een andere wijze het doel ook gerealiseerd kan worden

Opslag – persoonlijke gegevens moeten in die vorm worden opgeslagen wat identificatie van de betrokkenen mogelijk maakt en niet langer dan noodzakelijk voor de doeleinden waarvoor de persoonsgegevens worden verwerkt

Verantwoording – De verantwoordelijke moet kunnen aantonen dat hij de beginselen naleeft zoals de verordening dit aangeeft

+Organisatorische maatregelen

De GDPR vraagt organisaties die persoonsgegevens verwerken om maatregelen te nemen die het risico op een datalek aanzienlijk verminderen. Daarnaast dient u aan te kunnen tonen welke maatregelen u getroffen heeft. Onder de maatregelen wordt verstaan: Privacy Impact Assessments, audits, nalopen beleidsregels, het loggen van activiteiten en het aanstellen van een Functionaris Gegevensbescherming (FG).

De GDPR verplicht bepaalde organisaties om een Functionaris Gegevensbescherming aan te stellen.

Dit kan een bestaande medewerker zijn of een externe consultant die de verantwoordelijkheid draagt.

Beheert uw organisatie bijvoorbeeld een groot klantenbestand, dan zult u een Functionaris Gegevensbescherming moeten aanwijzen. De GDPR verwacht van de nationale autoriteit, in Nederland de Autoriteit Persoonsgegevens (AP), dat deze hulp biedt bij het bepalen van de functievereisten.

De aangewezen FG is verantwoordelijk voor het toetsen aan de GDPR hoe de organisatie met data omgaat, het uitbrengen van advies over de te nemen maatregelen en wanneer en hoe een Privacy Impact Assessment dient te worden uitgevoerd. Daarnaast is de FG namens de organisatie het eerste contactpersoon naar de Autoriteit Persoonsgegevens.

Het concept van een one-stop shop zorgt ervoor dat een organisatie met meerdere vestigingen in de EU maar met één Autoriteit Persoonsgegevens te maken heeft.

+Processes, procedures and policies

De GDPR definieert een datalek als “een inbreuk op de beveiliging die resulteert in een onopzettelijke of onwettige vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt”.

Dit is een uitgebreidere definitie dan voorheen en maakt geen onderscheidt of een datalek schade berokkent op het individu of niet. Elke organisatie is verplicht om de Autoriteit Persoonsgegevens op de hoogte te stellen van het datalek binnen 72 uur na ontdekking.

Organisaties zijn wel vrijgesteld van het melden van het lek bij betrokkenen, mits er voldoende technische en organisatorische maatregelen zijn genomen ter bescherming van de persoonsgegevens, zoals encryptie/versleuteling.

Voldoen aan de GDPR betekent het implementeren van privacy by design bij de ontwikkeling van nieuwe processen en producten waarbij het verzamelen of verwerken van persoonsgegevens een rol speelt. Waar dit voorheen een best practice was, is privacy by design nu een vereiste.

Een Privacy Impact Assessment heeft als doel om de technische en organisatorische maatregelen die een organisatie heeft genomen te toetsen aan de GDPR gestelde eisen.

Volgens de GDPR is een PIA een formeel vereiste; de verantwoordelijke moet er zeker van zijn dat een PIA is uitgevoerd, voordat deze een proces of activiteit start met een hoog privacy risico.

Internationaal opererende organisaties dienen het beleid en de processen voor het uitwisselen van data met non-EU landen waar nodig aan te scherpen. De regels voor het verwerken of uitwisselen van data door organisaties naar rechtsgebieden die niet door de Europese Commissie worden erkend zijn flink aangescherpt.

+Awareness van databescherming

Er is nu nog voldoende tijd, maar begin snel met het creëren van awareness bij de gehele organisatie over de GDPR en de verscherpte richtlijnen. Het  transparant verwerken van persoonsgegevens en de aangepaste rechten van het individu vragen wellicht aanpassingen die een significante impact kunnen hebben op de financiële en IT processen. Het trainen van personeel kan een bijdrage leveren aan de awareness.

+Verantwoordelijkheid - technische maatregelen

De GDPR verplicht de verantwoordelijke voor het kunnen aantonen dat de organisatie voldoet aan de databeveiligingsprincipes. Het is voor een organisatie van belang dat zij een duidelijk beleid voert waarmee aan de vereiste standaarden wordt voldaan. De vereisten bestaan onder andere uit het monitoren, reviewen en testen van dataverwerkingsprocedures, het borgen van processen en ervoor zorgdragen dat de medewerkers zijn getraind op het zorgvuldig omgaan met persoonsgegevens. Een organisatie moet ten alle tijden in staat zijn om de getroffen maatregelen te overleggen wanneer de Autoriteit Persoonsgegevens dit verzoekt.

+Datalek - technische maatregelen

Binnen 72 uur na het ontdekken van een datalek moet dit gemeld zijn bij de Autoriteit Persoonsgegevens. Goede voorbereiding op een mogelijk datalek bestaat onder andere uit het opstellen van heldere beleidsmaatregelen en het regelmatig testen van procedures.

Het niet melden van een lek binnen de gestelde termijn kan resulteren in een boete naast een mogelijke boete voor het datalek zelf.

+Meer rechten voor betrokkenen - technisch

De GDPR versterkt de rechten van betrokkenen, bijvoorbeeld door het recht toe te voegen waarmee een persoon de data die over hemzelf wordt verwerkt kan inzien, laten aanpassen of zelfs laten verwijderen.

Een van de hoofddoelen van de GDPR is om de rechten van het individu te beschermen. Voor een organisatie resulteert dit in het aanpassen of toevoegen van procedures voor het kunnen verwerken van toegangsverzoeken tot de persoonsgegevens van betrokkenen.

In de meeste gevallen zal een organisatie geen vergoeding kunnen vragen voor het verschaffen van toegang tot de data en dient binnen een maand aan dit verzoek te kunnen voldoen.

Dit recht geeft individuen de mogelijkheid om de verantwoordelijke en alle eventuele verwerkers te verzoeken persoonsgegevens te verwijderen, zonder onnodige vertraging. Dit verzoek moet ingewilligd worden in situaties waarin er vraagtekens bestaan bij de uitvoering van de verwerking of wanneer een individu toestemming van verwerking terugtrekt.

Derden die inzicht of toegang hebben tot de persoonsgegevens van betrokkenen dienen ook te voldoen aan dit verzoek.

De GDPR definieert profileren als “elke vorm van geautomatiseerd verwerken van persoonsgegevens die gebruikt worden om persoonsgebonden aspecten te evalueren, in het bijzonder waarmee geanalyseerd wordt en/of waarmee voorspellingen worden gedaan die te maken hebben met de performance op het werk, de economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie en beweging binnen een gebied.” Desondanks bestaat er enig onduidelijkheid over de manier waarop een individu het recht op automatische besluitvorming gebaseerd op profilering kan aanvechten.

De GDPR introduceert een nieuw recht op data overdraagbaarheid, wat inhoudt dat een individu de geautomatiseerd verwerkte persoonsgegevens kan opvragen. De verwerker zal deze informatie in een door machines verwerkbaar formaat dienen aan te leveren.

Als onderdeel van het versterken van de rechten van het individu, heeft de Europese Commissie ingestemd met het beperken van het verwerken van persoonsgegevens voor marketingdoeleinden. Hierin geldt ook het beperken van profileringsactiviteiten met een marketingdoel.

Als een individu bezwaar aantekent bij een organisatie dan zal deze het verwerken van betreffende persoonsgegevens direct moeten stopzetten. Daarnaast zullen de contactgegevens van het individu op een interne lijst moeten worden bijgehouden.

Organisaties zijn verplicht om individuen te informeren over hun rechten op het verwerken van persoonsgegevens.

+Communiceren van privacy info

Het verkrijgen van goedkeuring van individuen op het verwerken van zijn of haar persoonsgegevens dient voor een individu even eenvoudig te zijn als het terugtrekken van de goedkeuring. Goedkeuring of terugtrekking kan niet worden afgeleid uit stilte, vooraf aangekruiste vakjes of inactiviteit.

Als onderdeel van het versterken van de rechten van het individu, heeft de Europese Commissie ingestemd met het beperken van het verwerken van persoonsgegevens voor marketingdoeleinden. Hierin geldt ook het beperken van profileringsactiviteiten met een marketingdoel.

De GDPR vereist dat organisaties toestemming van ouders moeten krijgen voordat ze persoonsgegevens van minderjarigen mogen verwerken. Als een individu bezwaar aantekent bij een organisatie dan zal deze het verwerken van betreffende persoonsgegevens direct moeten stopzetten. Daarnaast zullen de contactgegevens van het individu op een interne lijst moeten worden bijgehouden.

De introductie van de GDPR betekent voor veel organisaties dat zij meer informatie zullen moeten delen met individuen waar zij persoonsgegevens van verwerken. Informatie die gedeeld moet worden omvat onder andere de juridische grondslag voor de verwerking van de gegevens, de bewaartermijn en het recht van het individu om meldingen te maken bij de Autoriteit Persoonsgegevens mits er problemen zijn met het verwerken van persoonsgegevens. De GDPR vereist in de communicatie naar de eigenaren van de persoonsgegevens beknopte en duidelijke taal.

+Data beveiliging (integriteit en vertrouwelijkheid)

De GDPR hanteert data beveiligingsprincipes vergelijkbaar met die uit de huidige richtlijn, zoals: eerlijkheid, rechtmatigheid en transparantie; beperking van het doel; gegevensminimalisering; data kwaliteit; veiligheid, integriteit en vertrouwelijkheid.

U dient ervoor te zorgen dat persoonsgegevens worden verwerkt op een wijze die de veiligheid garandeert, met inbegrip van bescherming tegen onbevoegde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of schade: “De organisatie en service provider die namens organisatie persoonsgegevens verwerkt neemt passende technische en organisatorische maatregelen waarmee een minimaal beveiligingsniveau wordt gegarandeerd passend bij de risico’s”.

De GDPR stelt een aantal veiligheidsmaatregelen die kunnen worden gebruikt om de bescherming van gegevens te waarborgen, waaronder: pseudonimisering en versleuteling van persoonsgegevens; continuïteit in het garanderen van vertrouwelijkheid, integriteit, beschikbaarheid en de veerkracht waarborgen van systemen en diensten waarmee persoonsgegevens worden verwerkt; het vermogen om de beschikbaarheid van en toegang tot gegevens bij een fysiek of technisch incident tijdig te kunnen herstellen; een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om de verwerking van persoonsgegevens goed te kunnen beveiliging.

De GDPR specificeert encryptie als een oplossing die kan helpen om de naleving van een aantal van haar verplichtingen te verzekeren. De verordening zegt hierover het volgende:

 

Article 32 – Security of processing

 

“1.   Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate: (a) the pseudonymisation and encryption of personal data […]”

 

Article 34 – Communication of a personal data breach to the data subject

 

“3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met: (a) controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption […]”

+Data documentatie, juridische grondslag en audit

Organisaties dienen documentatie bij te houden van de verzamelde persoonsgegevens, wat de oorsprong is en met wie het wordt gedeeld.

Als u in het bezit bent van incorrecte persoonsgegevens en deze gegevens zijn gedeeld met een andere organisatie, dan vereist de GDPR dat u de andere organisatie over de onnauwkeurigheid op de hoogte stelt, zodat zij hun eigen gegevens kunnen corrigeren. Een informatie-audit binnen uw organisatie kan een vereiste zijn en helpen om aan de verantwoordingsplicht te kunnen voldoen.

De GDPR vereist dat een organisatie identificeert hoe persoonsgegevens worden verwerkt en dat de juridische basis waarop een organisatie persoonsgegevens verwerkt en documenteert duidelijk is.

Dit is van belang omdat afhankelijk van de wettelijke basis voor de verwerking van persoonsgegevens een aantal rechten van individuen wijzigen met de komst van de GDPR. Een voorbeeld hiervan is dat individuen het recht hebben om hun gegevens te laten wissen. Echter, toestemming is slechts één van de manieren voor het verantwoorden van het bewerken van persoonsgegevens, maar wellicht niet de beste optie omdat een individu het op ieder gewenst moment kan terugtrekken.

De informatie op deze website vormt geen juridisch advies. Deze informatie kan niet gebruikt worden bij het maken van financiële of zakelijke beslissingen. ESET is niet aansprakelijk voor de resultaten die uit dergelijke acties vloeien. Vraag altijd onafhankelijk juridisch advies.

Join our GDPR webinar

Talk to our experts about how the new General Data Protection Regulation will affect your business. ESET is hosting webinars to explain the issues around the GDPR. These webinars are free to attend: just sign up below and we’ll invite you to the next event.

Encryptie als oplossing

Wat is encryptie?

Encryptie is het versleutelen van informatie om te voorkomen dat onbevoegden deze  informatie kunnen lezen.

Sleutellengte en versleutelingssterkte

Versleutelingssterkte wordt meestal gelijkgesteld aan sleutellengte (bits) en het gebruikte encryptie-algoritme. De eenvoudigste manier om encryptie te kraken is om alle mogelijke sleutels te proberen. Dit staat bekend als een brute-force aanval. Echter, door het gebruik van langere sleutels is deze aanpak niet effectief genoeg.

Om een 128-bit AES sleutel te kunnen brute-forcen zullen alle 7 miljard wereldbewoners voor een periode van 1,5 biljoen jaar 1 miljard sleutels per seconde moeten uitproberen om elke mogelijke sleutel te kunnen testen.

Aanvallers zullen niet proberen het encryptie-algoritme te reverse-engineren of een brute-force op de sleutel los te laten. In plaats daarvan zullen ze proberen om kwetsbaarheden in de encryptiesoftware te vinden, of proberen het systeem te infecteren met malware waarmee de wachtwoorden of encryptiesleutels achterhaald kunnen worden.

Om de risico’s zoveel mogelijk te beperken dient u een onafhankelijk gevalideerd encryptieproduct en een geavanceerde en up-to-date anti-malware oplossing te gebruiken.

Hoe werkt encryptie?

Encryptie wordt in de meeste gevallen op twee verschillende manieren toegepast:

Versleutelde opslag – wordt in de meeste gevallen gebruikt om volledige harde schijven (Full Disk Encryptie (FDE)) of apparaten te versleutelen.

Deze vorm van encryptie is pas actief als het volledige systeem uit staat, de betreffende harde schijf is losgekoppeld of als de encryptiesleutel is geblokkeerd.

Versleutelde inhoud – houdt in dat bestanden of tekst worden versleuteld op applicatieniveau.

Een voorbeeld is e-mail encryptie, waarbij het formaat van het bericht intact moet blijven zodat het e-mailprogramma er mee om kan gaan. De inhoud van de e-mail is versleuteld samen met de eventuele bijlagen.

eset data encryption example

Waar voldoet goede encryptie minimaal aan?

De lengte van een sleutel en de software functionaliteiten zijn belangrijk, echter wordt er niet altijd gekeken naar hoe goed een product zal presteren vanuit het oogpunt van de gebruiker – of van de beheerder.

FIPS - 140-2 Validatie

FIPS (Federal Information Processing Standard) 140-2 is een wereldwijd geaccepteerde standaard die de eisen voor versleuteling en gerelateerde beveiliging beschrijft waaraan IT-producten moeten voldoen. Als een product wordt gevalideerd op FIPS-140-2 dan is het vaak al veiliger dan de meeste implementaties vereisen en voldoet daarnaast aan de GDPR en andere vergelijkbare wet- en regelgeving.

Gebruiksgemak voor niet-techneuten

Er zullen zich altijd situaties voordoen waarin uw medewerkers moeten bepalen of een document of e-mail versleuteld dient te worden. Het is essentieel dat ze in staat zijn om de encryptiesoftware te gebruiken en erop kunnen vertrouwen dat het versleutelen van data geen onomkeerbaar proces is voor de gebruiker of rechtmatige ontvanger.

Centraal beheer van sleutels, instellingen en beveiligingsregels

Om te voorkomen dat medewerkers verkeerde security beslissingen nemen kan encryptie overal worden afgedwongen. Dit kan echter leiden tot het beperken van legitieme zakelijke processen en daarmee de productiviteit verstoren. Het in gebruik nemen van een centraal beheerde encryptie oplossing – één die het mogelijk maakt encryptiesleutels, functionaliteit of het veiligheidsbeleid aan te passen voor externe gebruikers, die meestal het grootste beveiligingsprobleem vertegenwoordigen – zorgt ervoor dat dat de standaardinstellingen voor afgedwongen encryptie en het veiligheidsbeleid op een hoger niveau kunnen worden gebracht zonder dat dit beperkingen oplevert voor processen elders in de organisatie.

Management van Encryptiesleutels

Een van de uitdagingen bij het gebruik van encryptie is hoe gebruikers versleutelde informatie delen. Er zijn twee bekende methoden:

Gedeelde wachtwoorden: welke last ondervinden van scenario’s als te-gemakkelijk-te-onthouden-en-onveilig of onmogelijk-te-onthouden-en-veilig-maar-opgeschreven-of-vergeten.

Publieke sleutel encryptie: wat goed werkt over kleine en beheersbare teams met een laag of geen personeelsverloop. Dit wordt echter complex en problematisch met grotere of meer dynamische teams.

Met behulp van centraal beheerde en gedeelde encryptiesleutels vermijdt u deze problemen. De manier waarop fysieke sleutels worden gebruikt om onze huizen, appartementen, auto’s, etc. op slot te zetten, zo werkt DESlock+ encryptie ook. Deze aanpak hoeft slechts één keer te worden uitgelegd aan uw medewerkers. In combinatie met een gebruiksvriendelijk centraal beheersysteem en gedeelde encryptiesleutels vindt u met DESlock+ de optimale balans tussen veiligheid en gebruikersgemak.

Probeer ESET DESlock+ gratis

Als u uw gegevens achterlaat zullen wij u voorzien van een testlicentie, zodat u de voordelen van DESlock Encryptie van ESET zelf kunt ervaren.

Hoe ESET kan helpen

Onze oplossing:
DESlock Encryption van ESET

Versleutelen van persoonsgegevens op uw systemen kan helpen om aan veel van de eisen die de GDPR stelt te voldoen. ESET’s encryptieoplossing is krachtig, eenvoudig te implementeren en kan veilig harde schijven, verwisselbare media, bestanden en e-mail versleutelen.

Met DESlock Encryptie kunt u voldoen aan verplichtingen voor databeveiliging door een eenvoudig af te dwingen encryptie-beleid met behoudt van productiviteit. Met lage support belasting en een kort implementatietraject zijn er weinig andere producten op de markt te vinden met dezelfde flexibiliteit en gebruiksgemak.

De cliëntsoftware vereist minimale interactie van de gebruiker. Hiermee optimaliseert u naast de naleving van de GDPR vereisten ook de beveiliging van uw bedrijfsgegevens vanuit één MSI-pakket. De serverapplicatie helpt u om gebruikers en werkstations te beheren, zowel binnen het bedrijfsnetwerk als daarbuiten, zodat de bescherming van uw bedrijfsgegevens aan de verplichte standaarden voldoet.

Wat DESlock Encryptie u biedt

Simpele en krachtige encryptie voor organisaties van elke omvang waarmee u bestanden, harde schijven, draagbare media en e-mailberichten veilig versleutelt

Certificering: FIPS 140-2 gevalideerde 256 bit AES-encryptie voor gegarandeerde veiligheid

Hybride Cloud gebaseerde management server voor volledige controle over encryptiesleutels en veiligheidsbeleid

Ondersteuning voor Microsoft® Windows® 10, 8, 8.1 met inbegrip van UEFI en GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Algorithmes & standaarden: AES 256 bit AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, 128 bit Blowfish

DESlock+ Pro - De voordelen op een rij

Volledige harde schijf versleuteling (FDE)
Snelle en transparante pre-boot beveiliging

Verwisselbare media-versleuteling
Beleidsgebaseerde verwisselbare media-encryptie geschikt voor elk zakelijk veiligheidsbeleid

Outlook plugin voor e-mail & bijlagen
Eenvoudig verzenden en ontvangen van versleutelde berichten en bijlagen met Outlook

Virtuele schijven & versleutelde archieven
Maak veilige en versleutelde volumes op uw pc of op een andere locatie of creëer een versleutelde mappenstructuur inclusief de daarin opgeslagen bestanden

Bestanden & mappen versleutelen
Snelle en transparante versleuteling voegt een extra laag beveiliging toe

Tekst & klembord versleuteling
Versleutel alles of een deel van een tekstvenster – webbrowsers, database memoveld of webmail

Gecentraliseerd beheer
Volledig centrale controle over de licensering, software, beleid en encryptiesleutels

DESlock+ Go deelbare encryptie
Eenvoudig te gebruiken software voor het delen en laten uitlezen van versleutelde bestanden met ongelicenseerde systemen

Probeer ESET DESlock+ gratis

Als u uw gegevens achterlaat zullen wij u voorzien van een testlicentie, zodat u de voordelen van DESlock Encryptie van ESET zelf kunt ervaren.

Wij gebruiken cookies om u de beste ervaring te kunnen bieden op onze website. Meer informatie.

OK