Ik heb de afgelopen vijftien jaar met honderden bedrijven gewerkt. Daarbij heb ik veel gemeenschappelijke uitdagingen ontdekt die iedereen probeert aan te pakken. Maar ook blijken er enkele onjuiste opvattingen over veiligheid en privacy te zijn. Ik wil daarom graag vier van deze gevaarlijke misvattingen benoemen, die uniek zijn voor het MKB.
Over deze blogger
Rebecca heeft meer dan vijfentwintig jaar ervaring op het gebied van informatie- en privacybeveiliging en compliance. Rebecca is CEO van Privacy Professor® en is partner voor de HIPAA Compliance Tools® en SIMBUS Tracker®. Rebecca leidt de NIST SGIP Smart Grid Privacy groep sinds juni 2009 en is sinds 2005 hoogleraar van het Norwich MSISA-programma. Rebecca schreef verder 16 boeken en honderden gepubliceerde artikelen. De meest recent gepubliceerde boeken zijn ‘The Practical Guide to HIPAA Privacy and Security Compliance, 2nd Edition’ en ‘Data Privacy for the Smart Grid’.
Rebecca wordt alom erkend en gerespecteerd, en levert al meer dan twee decennia informatie over privacy, beveiliging en compliance services, tools en producten aan organisaties in diverse industrieën. In 2014 werd ze door Information Security Buzz geprezen als de Top 2 Female Infosec Leaders to Follow on Twitter.
Er zijn volgens mij grofweg vier onjuiste opvattingen over informatiebeveiliging en privacy die zowel door ZZP’ers als grotere bedrijven in het MKB segment worden gedeeld. Ik zal die opvattingen hieronder beschrijven en tegelijk ook de werkelijke situatie schetsen.
1. We zijn te klein om te hoeven voldoen aan al die wettelijke voorschriften en wetten.
Ik heb deze uitspraak veel gehoord door de jaren heen. Natuurlijk is het waar dat sommige regels niet van toepassing zijn op bedrijven met een klein aantal werknemers, zoals in de VS bijvoorbeeld de Family en Medical Leave Act (FMLA) van 1993. Die is van toepassing op alle bedrijven met vijftig of meer werknemers en kleinere bedrijven zijn niet wettelijk verplicht om de wet te volgen. Een dergelijke verdeling geldt over het algemeen niet voor wettelijke regels op het gebied van informatiebeveiliging en privacy. En dat is ook logisch. Veel kleine bedrijven, zelfs als ze uit slechts één persoon bestaan, beschikken vaak over een enorme hoeveelheid persoonlijke informatie als gevolg van het werk dat ze doen voor hun klanten.
Een voorbeeld: drie jaar geleden voerde ik een audit uit van een security- en privacyprogramma van een leverancier van een van mijn klanten, een Amerikaanse internationaal opererende multinational actief in de gezondheidszorg en finance, met meer dan één miljoen klanten in tien verschillende branches. Deze leverancier leverde alle hosting-diensten voor een van die bedrijven, een zeer gespecialiseerde zorgdienst die gescheiden van alle andere bedrijven werd beheerd. Dit zorgbedrijf had meer dan 200.000 verzekerden. De leverancier was een klein vierkoppig familiebedrijf, bestaande uit een echtpaar, hun zoon en zijn vrouw. Ze hadden geen documentatie over informatiebeveiliging, geen beveiligingscontroles geregeld, behalve antivirus, een verouderde firewall en ID’s met wachtwoorden (die nooit waren veranderd, en drie tekens lang waren).
Toen ik vroeg of ze zich realiseerden dat ze niet alleen de gegevens van hun cliënt in gevaar brachten, maar bovendien niet voldeden aan de meeste HIPAA-eisen, antwoordden zij: “Wij hebben slechts vier mensen in ons bedrijf. We hoeven die regelgeving niet te volgen. We zijn te klein!” Ik heb de afgelopen vijftien jaar veel vergelijkbare argumenten gehoord van andere ZZP’ers en iets grotere bedrijven. Organisaties van elke omvang moeten begrijpen wat ze allemaal nodig om de security- en privacybescherming te implementeren. Het gemis aan veiligheidscontroles binnen een klein bedrijf kan bij een inbreuk in potentie honderdduizenden mensen benadelen. En de straf voor het niet naleven van de wet kan bovendien het einde betekenen voor deze kleine bedrijven.
Les: Organisatorische omvang speelt geen rol bij het implementeren van informatiebeveiliging en privacy. Bedrijven van elke grootte moeten beleid maken en voeren voor informatiebeveiliging en privacy.
2. Wij besteden onze IT-security uit aan managed systems service providers, dus we dragen geen verantwoordelijkheid meer.
Meer dan 301 personen en kleine klinieken gebruiken nu mijn nieuwe HIPAA compliance-service. Tijdens het opzetten van hun beleid en de procedures voor informatiebeveiliging en privacy hebben veel van hen mij een bericht gestuurd waarin ze stellen dat zich niet hoeven te verdiepen in de technische kanten van security (bijvoorbeeld voor het voldoen aan de HIPAA Security Rule Technical Requirements). Ze maken immers gebruik van een managed systems service provider en hebben die zorgen dus uitbesteed. Zij dragen de verantwoording dat alles goed geregeld is. Is dat echt zo? Gebruiken ze geen laptops? Smartphones? Tablets? Draadloze netwerken? Usb-drives? En dan hebben we het nog niet eens over een breed scala van andere technologieën, die ze bij het uitvoeren van hun werk gebruiken. Het is natuurlijk mooi, als dit echt het geval is. Maar elk bedrijf dat technologie gebruikt (en welke doet dit niet in de huidige maatschappij), heeft een technologiebeleid en procedures nodig. Daarnaast moeten ze ook waarborgen dat een gecontracteerde dienstverleners ook aan securityeisen voldoen. Een bedrijf zal zich nog steeds bezig moeten houden met het verzamelen, toegang geven en gebruik van hun eigen informatie. Het feit dat activiteiten zijn uitbesteed verandert daar niets aan.
Les: Bedrijven van elke grootte hebben administratieve, fysieke en technische beveiligingsmaatregelen en beleid nodig. Zelfs als je een managed systems service provider gebruikt, dan nog je garanties afgeven voor alle informatie waarmee wordt gewerkt tijdens de dagelijkse werkzaamheden, in welke vorm dan ook. Deze controles en beleid kunnen eenvoudiger zijn dan die van grote organisaties, maar ze zijn nog steeds nodig.
3. We hebben geen privacygevoelige data in huis; alle informatie die we hebben, is ook online te vinden.
Als ik een dollar zou krijgen voor elke keer dat ik de volgende vragen beantwoord heb, zou ik inmiddels heel leuk op vakantie kunnen gaan. Dit zijn de twee uitspraken die ik het vaakst heb gehoord.
A. “Als iemands naam en/of adres, of andere persoonlijke informatie online wordt gezet, waar de hele wereld het kan zien, waarom zijn er dan waarborgen en controles rond die informatie nodig? De informatie bevindt zich toch in de publieke ruimte? Dan hoeven we ons toch geen zorgen te maken over de beveiligen of hoe de informatie wordt gebruikt?”
Nee! Het zijn nog steeds persoonsgegevens die binnen je bedrijf beschermd moeten worden.
B. “Als informatie op het internet staat, dan valt het niet langer onder beschermde persoonlijke informatie, omdat het immers publieke informatie is!”
Ook niet waar. Je bent nog steeds verplicht om de persoonlijke informatie die je in beheer hebt te beschermen, ook als die openbaar elders gevonden kan worden.
Waarom zijn de antwoorden op deze vragen “nee”? De reden is dat de context in overweging genomen moet worden om de privacy effectief te kunnen beschermen. Het beschermen van privacy gaat niet alleen over de bescherming van de toegang tot specifieke informatie. Het gaat veel verder dan dat. Het gaat erom dat informatie niet wordt gebruikt op een manier dat de privacy van mensen wordt aangetast. Het is dus altijd belangrijk om ook de context in overweging te nemen. Het gaat er ook om waarvoor de informatie gebruikt wordt, welke overige data er nog meer beschikbaar zijn, en hoe die informatie door analyse (denk aan big data, metadata, etc.) de privacy van mensen kan aantasten.
4. Onze klant verzorgt zelf de security-zaken; dat is hun verantwoordelijkheid. Ze hebben ons alleen ingehuurd om werk voor hen te doen.
Deze verklaring heb ik van veel online start-ups, cloud-leveranciers, en kleine bedrijven gehoord. Als een MKB-bedrijf of een eenmanszaak andere bedrijven als klant heeft, wees je dan bewust van het feit dat die klanten zelf verantwoordelijk zijn voor hun eigen security- en privacy-compliance. Het is daarom noodzakelijk om zelf actie te nemen die gepast zijn voor jouw zakelijke activiteiten om de security-risico’s te beperken. Gecontracteerde bedrijven zouden aan de volgende voorwaarden moeten voldoen.
• Het hebben van administratieve waarborgen, zoals informatiebeveiliging en privacy-beleid/procedures die van toepassing zijn op hun zakelijke activiteiten. Ook is het nodig trainingen te geven en voortdurende bewustzijn-communicatie, risicobeoordelingen doen, het implementeren van beveiliging voor personeelsgegevens, het toewijzen van verantwoordelijkheden voor informatiebeveiliging en privacy, en weten waar de risico’s binnen uw eigen bedrijf zich bevinden.
• Het hebben van technische beveiliging, zoals anti-malware op laptops en andere mobiele computers. Ook is het gebruik van firewalls en sterke wachtwoorden belangrijk. Daarnaast mogen accounts niet gedeeld worden en moet encryptie worden toegepast op basis van risico’s. Daarnaast moeten draadloze verbindingen beveiligd worden en de toegang tot gegevens worden beperkt tot enkel de data die nodig zijn om zakelijke activiteiten uit te voeren.
• Het hebben van fysieke veiligheidsmaatregelen, bijvoorbeeld om gebruik van laptops door onbevoegden of in risicovolle omgevingen tegen te houden. Hiermee worden klantgegevens beter beschermd, houd je controle over je computer- en opslagapparatuur, en zorg ervoor dat back-ups op beveiligde locaties worden opgeslagen.
Les: Elke organisatie, van elke omvang en in elke branche, moet informatiebeveiliging en privacy waarborgen en controles vastleggen om de risico’s binnen hun eigen organisatie op de juiste wijze te beperken. Je kunt namelijk niet verwachten dat de acties die je klanten nemen er ook voor zorgen dat je eigen risico’s worden beperkt. Dat doen ze namelijk niet, zelfs als je een klein bedrijf of ZZP’er bent!
