Uw multifunctional: paard van Troje en onverwacht datalek?

 

Online apparaten zijn binnen veel organisaties een sterk onderschat risico. Hackers hebben bijvoorbeeld in 2014 toegang gekregen tot de financiële en persoonsgegevens van miljoenen consumenten van de Amerikaanse winkelketen Target, via de leverancier van de airconditioning. Een ander doelwit van kwaadwillenden is een apparaat, dat de meeste van u in gebruik hebben: de multifunctional printer.

Verbonden (kantoor)wereld

Het oude model van een organisatie als afgebakend fort verdwijnt. Netwerken en organisaties worden steeds poreuzer en raken meer verweven met de buitenwereld. Bijna alle apparaten in uw kantoor zijn – soms zonder dat u het weet – online bereikbaar. De reparateur kan bijvoorbeeld op afstand een probleemanalyse uitvoeren. Via internet kunt u op afstand opdrachten versturen naar de multifunctional. Heel handig, maar dit brengt ook risico’s met zich mee. Hoe voorkomt u dat uw online kantoorapparaten leiden tot een onverwacht datalek, met boetes en imagoschade als gevolg? Hoe gaat u als organisatie om met de risico’s die verbonden zijn aan een kantoorwereld waarin alles online met elkaar verbonden is?

Het begint bij bewustzijn

De eerste stap is om te realiseren dat de grenzen van de organisatie vervagen en het hierdoor risicolandschap verandert. U zult met een risicobril naar de multifunctional, en alle andere online apparaten, moeten leren kijken. Hiervoor moet u minimaal twee vragen stellen.

(1) Wordt er persoonsgevoelige data verwerkt via of door het apparaat?

(2) Is het apparaat op enige manier online bereikbaar?

Meestal worden deze vragen wel gesteld bij software, maar vergeten bij multifunctionals en andere online apparaten. Dit bewustzijn moet in de vezels van uw organisatie zitten. Bewustzijn is de basis, maar hoe dan verder?

Privacy by design

Het principe van privacy by design toepassen is een belangrijke bescherming tegen beveiligingsincidenten en datalekken. Privacy by design betekent dat de organisatie vanaf de ontwerp- of de oriëntatiefase nadenkt over privacy- en veiligheidsrisico’s. Dit stelt u in staat om vervolgens pro-actief, passende maatregelen te nemen of voor een ander apparaat te kiezen. Op het eerste gezicht lijkt privacy by design misschien lastig en tijdrovend. Het is echter veel goedkoper en effectiever om van tevoren na te denken over privacy en maatregelen te nemen, dan achteraf een bestaande omgeving en werkwijze aan te moeten passen. Of nog veel erger: een datalek te moeten melden bij de Autoriteit Persoonsgegevens en uw klanten.

Veiligheid vanaf de opstartfase

U zult in elke fase van de levenscyclus van uw multifunctional van tevoren moeten nadenken over de privacyrisico’s. Het begint met de business case en de aanschaf van de multifunctional. Definieer tijdens dit traject al de beveiligingseisen, waaraan de potentiële oplossing moet voldoen. Neem deze eisen op in de aanbesteding en weeg ze mee in uw uiteindelijke beslissing. Zorg ook dat u een bewerkersovereenkomst afsluit met de leverancier en andere partijen die online toegang moeten hebben.

Gehele levenscyclus

Daarna moet het gebruik van het apparaat worden bewaakt. Hierbij gaat het zowel om het menselijk gedrag (geen wachtwoorden/ pasjes uitwisselen, melden van incidenten), als de inpassing van het apparaat in uw gehele infrastructuur. Het einde van de levenscyclus is ook een belangrijk risico, als bijvoorbeeld het apparaat wordt ingeruild. Zorg voor het wissen van de gegevens op de interne harde schijf, of laat deze gecontroleerd vernietigen. En leg dit vast, zodat u aan een toezichthouder kunt aantonen dat u correct gehandeld heeft.

Het risicolandschap van uw organisatie verandert door het vervagen van de netwerkgrenzen. Maak van uw multifunctional geen Trojaans paard. Vooraf gezond verstand toepassen (Privacy by design) is daarbij belangrijke wapen.

Klantendag

Tijdens onze jaarlijkse Klantendag op 3 november zal Factor50 ook aanwezig zijn en een presentatie houden over de wetgeving rondom datalekken en de bewerkersovereenkomst. Meer informatie volgt.

Inhouse workshop & open cursus

Nextens ontwikkelt samen met Factor50 een in-house workshop en een cursus (voor iedereen toegankelijk) om te voldoen aan de aangescherpte Wet bescherming persoonsgegevens en de meldplicht datalekken. In oktober zullen wij u via Nextens Academy aanvullend informeren.

Congres

Factor50 geeft tijdens het  Privacy en Dataprotectiecongres op 13 oktober een workshop over informatieveiligheid Privacy by design. In de workshop gaan we kijken hoe u Privacy by design kunt toepassen in uw organisatie. Bijvoorbeeld bij het uitvoeren van IT-projecten, maar ook bij het aangaan van contracten, het inregelen van uw processen, en de aanschaf van apparaten zoals multifunctionals.

terug