Verboden voor onbevoegden

Privacy – bescherming van persoonlijke informatie – wordt steeds belangrijker gevonden door het publiek, door bedrijven en ook door de wetgever. In verschillende landen worden bedrijven al verplicht persoonlijke gegevens goed te beschermen, op straffe van fikse boetes.

Op 25 mei 2018 worden bovendien nieuwe Europese regels van kracht. Het gaat om de General Data Protection Regulation. Deze GDPR houdt in het kort in dat elke organisatie moet kunnen aantonen welke persoonlijke gegevens zij verzamelt, en ook hoe ze deze gegevens gebruikt en beveiligt.

Lastig voor bedrijven is dat de details nog ontbreken. Die worden mogelijk pas duidelijk na de eerste inbreuken, bijvoorbeeld via gerechtelijke uitspraken. Er worden geen concrete technische maatregelen voorgeschreven om gegevens te beschermen. Wel is duidelijk dat dat moet gebeuren volgens de best practices van nu.

Technisch is er veel mogelijk. Gegevens kunnen worden versleuteld en geanonimiseerd. Dat beperkt de schade van een eventueel lek. Alle normale beveiliging, zoals firewall en bescherming tegen malware, helpt voorkomen dat onbevoegden bij privacygevoelige gegevens komen. Verder moet duidelijk zijn wie in de organisate toegang krijgt tot zulke gegevens, en waarvoor. Wie rechten heeft, mag deze uiteraard niet gebruiken om ‘voor de grap’ gegevens in te zien.

Hoe strak die rechten worden georganiseerd is een keuze. Rechten kunnen technisch beperkt worden of door gedragsregels te stellen. Het eerste is veiliger, het laatste is flexibeler. Door monitoring en een systeem van ‘alerts’ kan het naleven van de regels worden gevolgd. Wel moeten alle betrokkenen weten dat er wordt gemonitord, want ook de privacy van de medewerkers is belangrijk. Bewustwording en het volgen van standaarden helpen problemen uit te sluiten.

Monitoring helpt ook de zaken in goede banen te leiden als er onverhoopt een lek voorkomt. Dan kan achterhaald worden dát er een lek is, om welke data het gaat en hoe het is gebeurd. Zo kunnen de gevolgen worden geminimaliseerd en kan het bedrijf er lering uit trekken voor de toekomst.