Bescherm aangeleverde informatie conform AVG

Overzicht

Bescherm aangeleverde informatie conform AVG

Veel organisaties krijgen in toenemende mate persoonsgegevens digitaal aangeleverd via de mail of via een web portaal. Bijvoorbeeld kopie paspoort/ rijbewijs, CV’s, salarisstroken, uittreksels etc. Dit is heel efficiënt, omdat men dan heel snel een compleet digitaal dossier kan opbouwen.

Meerdere kopieën van informatie

De keerzijde is dat als men deze informatie via bijvoorbeeld de mail krijgt aangeleverd, men geen enkele controle heeft over deze informatie. Er zit een kopie in de mailbox van de ontvanger. De ontvanger slaat een kopie op bijvoorbeeld in Sharepoint of op een fileserver. Mogelijk is het voor het proces ook nodig om de informatie door te sturen naar een externe relatie voor bijvoorbeeld een controleslag. Het issue is dat er meerdere versies van de informatie op meerdere locaties wordt opgeslagen en gedeeld. Zo ontstaan er dus privacy risico’s die men natuurlijk zoveel mogelijk wil voorkomen.

Secure email oplossing vaak te beperkt

Als men een mail met eventuele bijlage veilig wilt versturen, dan zijn er meerdere mogelijkheden. De meest eenvoudige is er een ZIP bestand van te maken en er vervolgens een wachtwoord op te zetten. De mail versturen en via de SMS het wachtwoord te delen. Daarnaast zijn er diverse secure email oplossingen. Deze oplossingen zijn allemaal gericht op het veilig versturen van data. Hoe kan ik dit nu regelen met data die ik ontvang? Ik kan mijn klanten toch niet opleggen om een bepaalde oplossing te implementeren om veilig met mij te e-mailen.

Een tweede probleem is als ik dan toch de informatie via een veilige emailoplossing binnenkrijg, hoe houd ik dan de controle over deze informatie. Hoe zorg ik ervoor dat alleen die mensen de informatie kunnen inzien, waar de informatie ook voor bedoeld is en hoe voorkom ik dat deze informatie wordt gekopieerd of geprint.

Eisen aan oplossing

Om dit probleem aan te pakken is het belangrijk om de oplossing zoveel mogelijk faciliterend te laten zijn voor het proces. Zo min mogelijk aanpassingen in bestaande werkzaamheden en processen, betekent doorgaans het meeste draagvlaak in de organisatie. Daarnaast is het belangrijk om de principes van de AVG te toetsen aan de nieuw te implementeren oplossing.

Ook AVG

Een belangrijke principe is Privacy by design. Dit geldt feitelijk voor het gehele proces. Als men ervoor zorgt dat het aanleveren van de privacy gevoelige informatie op een gecontroleerde wijze plaatsvindt (ook al gaat dat via de email) dan is het veel eenvoudiger om de controle over deze informatie te behouden over het gehele proces.

Een tweede principe vanuit de AVG is: het recht van de aanleverende partij om ‘vergeten’ te worden. Als de oplossing die ik kies ervoor zorgt dat ik continu zicht heb op waar de informatie staat, met wie de informatie is gedeeld en welke kopieën er zijn gemaakt, dan kan ik deze informatie ook eenvoudig verwijderen als de aanleverende partij dit verzoek heeft neergelegd. Dit moet ik ook aan kunnen tonen.

Hoe kan ik dit nu aanpakken?

Oplossing

Sinds 2008 volg ik actief de markt voor Data Security, DLP en Classificatietools. Deze markt is in de afgelopen 12 jaar een volwassen markt geworden met oplossingen die organisatie breed ingezet kunnen worden. Na een uitgebreide evaluatie ben ik met Seclore (leverancier van Data Centric Security en Right Management oplossingen) in zee gegaan als partner. De afgelopen jaren heb ik het product zien groeien qua functionaliteit, inzetbaarheid, gebruikersvriendelijkheid en natuurlijk veiligheid. De laatste innovatie die Seclore op de markt heeft gezet is de Seclore Data Protection Portal. Deze Data Protection Portal is nu echt de oplossing om de hiervoor beschreven use case en probleemstelling op te lossen.

Voorbeeldscenario

De werking van de oplossing zal ik verduidelijken aan de hand van het volgende voorbeeldscenario:

Henk is medewerker van een verzekeringsmaatschappij, gespecialiseerd in het afhandelen van schadeclaims voor auto’s. John is al jaren klant van deze verzekeringsmaatschappij en heeft ongelukkigerwijs schade aan zijn auto opgelopen door een verkeerde parkeermanoeuvre.

  • John belt de verzekeringsmaatschappij op en krijgt Henk aan de telefoon. Hij legt de situatie uit en Henk geeft aan dat John een formulier digitaal moet invullen en deze naar hem op te sturen met foto’s van de schade
  • Henk stuurt de mail met het formulier op naar John met een link van de Seclore Data Protection Portal (helemaal aangepast met logo en huisstijl van de organisatie)
  • John vult het formulier in (staan persoonsgegevens in) en slaat deze op. Vervolgens klikt hij op de link van de Portal. Na ingelogd te zijn met zijn emailadres, krijgt John een eenvoudig te gebruiken email interface gepresenteerd waar hij een kort berichtje plaatst voor Henk en het ingevulde formulier en  foto’s bijvoegt als bijlage
  • Aan de achterkant van de Seclore Data Protection Portal worden de bijlages (optioneel ook het bericht) versleuteld en voorzien van een extra beveiligingslaag zodat alleen Henk (en collega’s van de afdeling van Henk) de informatie kunnen openen en alleen lezen (niet printen, editten en kopiëren).
  • Henk of één van zijn collega’s kan nu de schadeaanvraag afhandelen conform het proces, maar de veiligheid van de aangeleverde informatie blijft gewaarborgd.

Welke problemen lossen we nu op:

  • Omdat de aangeleverde informatie direct is beveiligd (encryptie en toegangsrechten) heeft de verzekeringsmaatschappij aantoonbaar de controle over de aangeleverde informatie
  • Een uitgebreide audittrail laat zien door wie het bestand is geopend en of er kopieën rondzwerven.
  • Indien men de bestanden op verzoek moet verwijderen, dan kan men de bestanden enerzijds ontoegankelijk maken door de encryptiesleutel in te trekken en anderzijds de bestanden fysiek te verwijderen

Use cases

Voor welke use cases kan de Seclore Data Protection portal nog meer een oplossing bieden?

  • Voor HR afdelingen van organisaties die CV’s en kopieën paspoort moeten opvragen aan medewerkers en inhuurkrachten
  • Voor reisorganisaties die ook vaak kopie paspoort en kopie verzekeringsbewijzen nodig hebben
  • Voor zorginstellingen die aan patiënten de nodige informatie opvragen
  • Voor overheidsinstellingen die de nodige informatie aan burgers opvragen

Contact

Zo zijn er meer use cases te bedenken waar de Seclore Data Protection Portal een uitkomst kan bieden. Hoe is dat bij u geregeld?

Voor vragen kunt u natuurlijk terecht bij info@sblcybersecurity.nl of via +31(0)70 2210 158.

Deel deze insight:

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on twitter
Twitter
Share on print
Print
Share on email
Email

Voordeel SBL

Wat zijn de voordelen van SBL Cyber Security

Advies op maat

Cybersecurity is maatwerk. Niet iedere organisatie is hetzelfde en loopt dezelfde risico’s. SBL stemt advies, aanpak en oplossingen af op uw behoefte.

Toegang tot ervaren experts

Niet iedereen weet alles. Door de ervaring van SBL kunnen we wel alles overzien. Via SBL heeft u toegang tot ervaren experts die u kunnen helpen.

Maak Cybersecurity inzichtelijk

SBL zorgt voor expertise en hulpmiddelen om uw ICT omgeving en uw beveiligingsstatus in kaart te brengen. Het vertrekpunt voor een gedegen verbeterplan.

Effectief samenwerken

SBL werkt graag voor u wanneer dat nodig is. Wij zijn op de locatie of wij werken met de hedendaagse hulpmiddelen veilig online. Beter voor het milieu en bovendien efficiënte tijdsbesteding.

Hulp nodig bij cyber security?

Alleen nog geen idee waar te beginnen

Vragen?

of

Plan hier uw afspraak​. Wij bellen u zo spoedig mogelijk terug!