Meldplicht Datalekken

Op 1 januari 2016 is de Wet op de Meldplicht Datalekken in werking getreden. Vanaf dat moment kunnen er aanzienlijke boetes worden opgelegd door de privacytoezichthouder (Autoriteit Persoonsgegevens). Deze boetes kunnen in de ergste gevallen zelfs oplopen tot € 820.000,-. 

Juist nu komt naar buiten dat een aantal ziekenhuizen een datalek heeft gehad van patiëntgegevens doordat een webadres (URL) rechtstreeks toegang gaf tot de database van persoonsgegevens. Wat is een datalek? En wat doet Expansion aan informatiebeveiliging? Daar gaat deze blog over.

Datalek; wat is dat?

We hebben er allemaal wel een bepaald gevoel bij, maar wat is nu precies een datalek volgens de Wet op Meldplicht Datalekken? Van een datalek wordt gesproken als persoonsgegevens in handen vallen van derden die geen toegang tot deze gegevens zouden mogen hebben. In feite is het dus een lek in de beveiliging.

In veel gevallen gaat het om elektronische bestanden waarop oneigenlijke toegang kan worden verkregen. Maar dat hoeft natuurlijk niet. Het geheel van afspraken en procedures die binnen een organisatie gelden gericht op het beveiligen van informatie, maken hier onderdeel van uit. Een schoonmaker die met één sleutel moeiteloos bij het papieren archief van bijvoorbeeld de afdeling HRM kan, en alle salarisgegevens kan inzien is hier ook een voorbeeld van. Of een medewerker die zijn laptop onbeveiligd achterlaat op kantoor. Zonder wachtwoord, zonder enige beveiliging.

Databeveiliging en Expansion

Expansion beseft dat het in een markt opereert waarin databeveiliging cruciaal is. Gebruikers van ons digitaal platform Xtendis moeten erop kunnen vertrouwen dat hun data veilig staat.

Informatiebeveiliging en het voorkomen van dergelijke datalekken staat hoog in het vaandel bij Expansion. Als onderdeel van ISO 27001 certificering is er daarom binnen Expansion een speciale ‘’ Security Officer’ aangesteld. Een collega die tot taak heeft het geheel aan techniek, procedures en afspraken binnen Expansion onder de loep te nemen op het gebied van databeveiliging.

De ISO 27001 certificering zal als bewijs fungeren dat Expansion voldoet aan de richtlijnen die algemeen erkend zijn voor een goed informatiebeveiligingsbeleid. Dit lijkt misschien heel abstract en theoretisch, maar ik zal u een concreet voorbeeld geven waarin deze ISO 27001 certificering voor iedere medewerker van Expansion dagelijks tot uiting komt.

Bij het verlaten van het kantoor:

  • zet PC’s en overige apparaten (printer, papiervernietiger e.d.) uit;
  • ruim je bureau op (clean desk);
  • sluit bureaus en kasten met vertrouwelijke informatie af;
  • licht uit.

Dit is natuurlijk maar een klein voorbeeld en het klinkt misschien logisch en voor de hand liggend, maar hoe is dit bij jouw organisatie geregeld? En wordt hierop ook gecontroleerd?

Xtendis garandeert informatiebeveiliging

Xtendis is het document management platform dat voor vele bedrijven dagelijks vele digitale documenten op een duurzame manier toevoegt en bewaart. Het document management systeem Xtendis is gebaseerd op internettechnologie. Een goede beveiliging van uw data is mede daarom essentieel.

Xtendis heeft de volgende beveiligingsmaatregelen:

  1. Xtendis maakt gebruik van een beveiligde HTTPS internetverbinding.
  2. Xtendis maakt gebruik van een geautoriseerde toegang. U heeft altijd een gebruikersnaam en wachtwoord nodig.
  3. Deze inlogprocedure kan worden uitgebreid met een tweeweg authenticatie. U maakt dan gebruik van een apparaat (token) waarmee u een random aangemaakt wachtwoord moet invoeren.
  4. Interne beveiligingsmaatregelen gebaseerd op autorisaties. Xtendis kent drie niveaus van beveiliging van uw documenten. Op archiefniveau, functioneel niveau en op zone niveau. Zo heeft u alleen recht op een digitaal archief, kunnen er zones binnen een archief worden ingeregeld die wel of niet benaderd mogen worden en zijn er functioneel gebonden rechten die informatie afschermen.
  5. Scheiding en afscherming van de functionele beheeromgeving van de gebruikersomgeving.
  6. Expansion: Xtendis ondersteunt encryptie op zowel file- als databaseniveau.
  7. Expansion laat bovendien regelmatig een zogenaamde “penetratietest” uitvoeren. Een derde partij gespecialiseerd op het gebied van informatiebeveiliging voert dan in opdracht van Expansion aanvallen uit op ons systeem, op zoek naar verbeterpunten in de beveiliging.

Met bovenstaande maatregelen zorgen wij er dagelijks voor dat jouw informatie bij ons in veilige handen is en dat een datalek, zoals bij de ziekenhuizen is geconstateerd, kan worden voorkomen.

Houd daarbij wel in het achterhoofd dat informatiebeveiliging zo sterk is als de spreekwoordelijke zwakste schakel. Dus is onze oplossing bij jouw organisatie lokaal geïnstalleerd, dan adviseer ik ook de fysieke, technische en procedurele beveiliging van de ICT-omgeving regelmatig aan een controle te onderwerpen.

Wil je meer weten over hoe Expansion uw documenten veilig digitaal kan archiveren? Neem dan vrijblijvend met ons contact op. 

 

marcel

Marcel Kuiper

Sales Consultant

Plaats reactie