Tag: Security

Geplaatst op

WBP wordt AVG: moet jij er ook iets mee?

Op 25 mei is het zo ver. Dan is de Algemene Verordening Gegevensbescherming, kortweg AVG, van kracht. Internationaal ook wel bekend als de General Data Protection Regulation. Deze nieuwe Europese wet is bedoeld voor het bedrijfsleven en dient ter bescherming van de privacy van personen.

Natuurlijk waren bedrijven, groot en klein, al verplicht om zorgvuldig met persoonsgegevens om te gaan. Dit staat al in de Wet Bescherming Persoonsgegevens. De AVG gaat alleen nog een stapje verder en raakt iedereen die op welke manier dan ook persoonsgegevens vast legt.

Verder

Papierversnipperaar
Niet relevante, geprinte CV’s moeten worden vernietigd

Denk hierbij niet alleen aan je database met klantgegevens of je bestand met eindgebruikers. Ook de visitekaartjes van je zakenpartners, de mails met CV’s van je sollicitanten, het ledenbestand van je sportvereniging en je salarisadministratie vallen onder de AVG. Het is jouw taak als ondernemer om met al deze gegevens zorgvuldig om te gaan, en ze alleen te bewaren als er sprake is van doelbinding.

Er is bijvoorbeeld geen reden om de CV van een afgewezen sollicitant te bewaren, tenzij je expliciet met deze persoon hebt afgesproken dit te doen. Ook de uitgeprinte CV’s van een afgewezen sollicitant moeten vernietigd worden, tenzij er doelbinding mee is. Een bakje met visitekaartjes hoort niet voor je bezoek bereikbaar te zijn. Immers het doel van de gever was het delen van zijn of haar persoonsgegevens met jou. Persoonlijk. Niet met een toevallige passant.

De AVG voor verenigingen en eenmanszaken

Data Protection
Data protection

Ook wie in een verenigingsbestuur zit, moet zorgvuldig omgaan met de persoonsgegevens van de leden. Een mailtje sturen naar de hele ledenlijst met alle mailadressen zichtbaar (in plaats van netjes in de BCC) is uit den boze, en gegevens vastleggen waar je geen doelbinding mee hebt eveneens.

Ook de eenmanszaak blijft niet buiten schot. Immers, wie een mailwisseling heeft gehad met een ander, heeft al persoonlijke informatie in zijn bezit. Ook je zakenrelaties, facturen en opdrachten bevatten gevoelige informatie en dienen zorgvuldig te worden behandeld.

Opslaan

Wat ook belangrijk is, is de geldigheid van het opslaan van persoonsgegevens. Wanneer je geen bewijs hebt dat de verstrekker van persoonsgegevens jou heeft toegestaan deze op te slaan, ben je dus in feite in overtreding. Dit maakt het natuurlijk gemakkelijker en haalbaar om verspreiders van junk mail te beboeten, maar ontslaat jou niet van de plicht om na te gaan waarom je bepaalde persoonsgegevens in je administratie hebt opgenomen. Wanneer er geen goede reden te noemen is voor het opslaan van bijvoorbeeld religie of allergieën van je verenigingsleden, zal je dit dus uit het ledenbestand moeten schrappen.

Ook wij houden bij alles wat we doen, maken en opslaan rekening met deze wetgeving en het doelbindingsprincipe. Vaak heb je in je database veel minder informatie nodig dan je denkt. Eens kritisch naar je eigen databases kijken? Wij kijken natuurlijk graag met je mee.

In een notendop? Ga na wat je opslaat, voor wie, over wie en waarom. Zorg er voor dat deze informatie alleen toegankelijk is voor degenen die er iets mee te maken hebben, en neem bewust maatregelen om dit te regelen. Ruim je bureau op, verwijder je oude mails en vernietig je overjarige administratie. Moet jij er iets mee? Grote kans van wel! Je hebt nog precies één maand, want 25 mei is het officieel zo ver!

Meer lezen?
Autoriteit Persoonsgegevens
Rijksoverheid

Geplaatst op

Wat hebben lavalampen en encryptie met elkaar te maken?

Lavalampen
Deze vrolijke lampen helpen bij het beveiligen van dataverkeer.

Anno 2017 zijn internetbeveiliging en encryptie hot items. Wanneer er persoonlijke gegevens worden uitgewisseld, moet er al een bepaalde mate van beveiliging zijn toegevoegd en de eisen die hieraan worden gesteld, worden strenger naar mate er meer gevoelige informatie over de lijn gaat. In Nederland wordt dit middels strenge wetten gereguleerd, met de Autoriteit Persoonsgegevens als waakhond. Instanties die hun beveiliging niet op orde hebben, riskeren stevige boetes.
Maar hoe zit het eigenlijk met die beveiliging? Hoe zit het met het groene slotje linksboven in je browser dat je vertelt dat je verbinding beveiligd is?

SSL

Een manier om de verbinding te beveiligen is door gebruik te maken van SSL sleutels. Zo’n SSL sleutel ziet er voor een leek uit als een enorme set aan willekeurige tekens. Wanneer je een set van twee sleutels bij elkaar voegt, kan de inhoud van een versleuteld bericht achterhaald worden. Een van de sleutels staat op de webpagina waarvan de verzonden gegevens versleuteld moeten worden. De andere sleutel wordt op een goed beveiligde plaats opgeslagen. De verzendende website verandert bijvoorbeeld met behulp van de publieke sleutel het bericht “Goedemiddag” naar een versleuteld bericht zoals &Svw@hZ^*. Een server die beschikking heeft over zowel de publieke als de persoonlijke sleutel, kan dat versleutelde bericht vervolgens weer ontcijferen, en ontvangt “Goedemiddag”.

Willekeurigheid

Maar even terug naar de lavalampen. Wat hebben die er mee te maken? Nou, computers zijn niet zo heel erg goed in willekeurige dingen, terwijl het maken van zo’n sleutel juist helemaal afhankelijk is van willekeurigheid. Alles wat een computer uit zichzelf maakt, is voorspelbaar en logisch. Voor willekeurigheid hebben ze externe input nodig. En daarom zet Cloudflare, een Amerikaans bedrijf wat gespecialiseerd is in webbeveiliging, lavalampen in om deze willekeur te genereren. Een muur vol kleurrijke lichtbronnen die dag en nacht een enorme hoeveelheid willekeurigheid genereert. De camera die er op gericht is, voedt de input aan een computer die het omzet naar tekens.

In principe hoef je natuurlijk niet gebruik te maken van lavalampen. Zoals in het onderstaande filmpje wordt gezegd, ze hadden natuurlijk ook gebruik kunnen maken van een nestje kittens, alleen is daar het onderhoud wat intensiever van. Wij vinden het in elk geval een kleurige, vrolijke oplossing!

Wil je meer weten over beveiliging van je website of webapplicatie? Of gewoon een kop koffie komen drinken op ons kantoor in Joure om te praten over willekeurige dingen? Bel gerust!