Als KMO sta je dicht bij je klanten en vertrouwen staat centraal in je relatie met hen. Dankzij deze relaties, je klanten en je ondernemerschap, dragen de Europese kleine en middelgrote ondernemingen meer dan 20% van de waarde bij aan de Europese economie, voor een totaal bedrag van 1.525 biljoen euro.
In je dagelijkse bedrijfsactiviteiten verwerk je onvermijdelijk persoonsgegevens van klanten, leveranciers, medewerkers, relaties, leveranciers, medewerkers, enz. Alle gegevens die door alle KMO’s samen worden verwerkt, vormen een van de grootste volumes aan persoonsgegevens. Gecombineerd kunnen deze persoonsgegevens belangrijke inzichten verschaffen in de bedrijven en het privéleven van de mensen van wie ze afkomstig zijn (jouw contacten), waardoor persoonsgegevens bij de meest waardevolle goederen in het digitale tijdperk horen. Elke vernietiging, verlies, wijziging en ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens kan de betrokkenen ernstige schade toebrengen. Om deze reden, en vanwege hun grotere kwetsbaarheid, worden KMO’s steeds vaker getroffen door phishing-fraude en worden ze het slachtoffer van ransomware. Ook als je geen grote hoeveelheden gegevens verwerkt, moet je jezelf en de gegevens die je verwerkt dus goed beschermen tegen deze aanvallen.
Om de persoonsgegevens die je in je bezit hebt, te beschermen, heb je natuurlijk in eerste instantie een goede ICT-beveiliging nodig. Maar beveiliging is niet voldoende: de meeste aanvallen zullen zich richten op je personeel en hen proberen te verleiden om hun referenties te verstrekken zodat de fraudeurs toegang krijgen tot je (beveiligde) ICT-omgeving. Je medewerkers verwerken en gebruiken immers de persoonsgegevens die je als KMO verwerkt en de ICT-omgeving waarin je zaken doet.
Dit betekent dat je ervoor moet zorgen dat je medewerkers op een veilige manier omgaan met je ICT, de gegevens van je bedrijf en de persoonsgegevens die je verwerkt. Tegelijkertijd moet je ervoor zorgen dat je ICT-omgeving zo is ingericht dat ook als er iets misgaat, de impact binnen de perken kan worden gehouden en/of de schade kan worden hersteld.
Door de volgende stappen te nemen zorg je dat je werknemers je ICT-omgeving en persoonsgegevens veilig verwerken
Organiseer je ICT-omgeving:
- Laat alleen bekende en door je bedrijf beheerde toestellen toe op je bedrijfsnetwerk (daarin begrepen je WIFI-netwerk). Voorzie daarnaast een gast-WIFI-netwerk om bezoekers en medewerkers toegang te geven tot het internet wanneer ze hun eigen apparaten gebruiken.
- Definieer een rol- en toegangsbeleid: organiseer de informatie (inclusief persoonsgegevens) die je verwerkt en zorg ervoor dat medewerkers alleen toegang hebben tot informatie en/of deze informatie kunnen wijzigen als dit nodig is voor hun werk.
- Stel een afgedwongen wachtwoordbeleid op. Bijvoorbeeld: eis dat individuele accounts gebruikt worden en dat complexe tijdelijke wachtwoorden worden gebruikt om toegang te krijgen tot de ICT-omgeving en -toepassingen. Idealiter wordt een wachtwoordmanager gebruikt. Vereis 2-factor-authenticatie voor toegang tot kritische applicaties en gegevens en voor toegang tot gebruikersaccounts van buiten het kantoor. Vergeet ook niet om de standaard wachtwoorden op netwerkapparaten zoals routers, printers, etc. te wijzigen, want via daar kan ingebroken worden in je netwerk.
- Zorg voor een degelijke en goed geconfigureerde firewall, up-to-date centraal beheerde antivirussoftware en activeer alle vereiste beschermingsmechanismen. Zorg ervoor dat alle apparaten die op het netwerk zijn aangesloten, beschermd zijn.
- Houd systemen, apparaten en software up-to-date.
- Versleutel de informatie op je apparaten en zorg voor back-ups. Zorg ervoor dat je back-ups worden opgeslagen op een veilige locatie, zonder directe verbinding met je netwerk. En test of je back-ups werken.
- Monitor je netwerk op incidenten en afwijkende/verdachte gebeurtenissen en log alle acties.
Wees bewust van en zorg dat je medewerkers zich bewust zijn van:
- Hoe om te gaan met ICT (computers, netwerktoegang, etc.)
- Hoe om te gaan met vertrouwelijke gegevens en persoonsgegevens
- Risico’s (zoals phishing)
De meeste datalekken kunnen worden voorkomen door bewustmaking.
Stel een ICT- en databeleid op en leg dit op aan je medewerkers
Dit legt uit hoe ze uw ICT-netwerk en -apparaten moeten gebruiken, hoe ze met persoonsgegevens moeten omgaan, hoe ze persoonsgegevens en datalekken kunnen herkennen, welk privégebruik ze van de apparaten kunnen maken, welke wachtwoordregels ze moeten naleven, hoe ze phishing kunnen voorkomen, enz..
Door bovenstaande stappen uit te voeren, verklein je het risico dat je het slachtoffer wordt van cybercriminaliteit en dat de persoonsgegevens van je contacten op straat terechtkomen.
Bovendien vergroot je op die manier je GDPR-compliancy, aangezien het beveiligen van persoonsgegevens en andere informatie door middel van organisatie, bewustwording van het personeel en een correcte gegevensverwerking een van de belangrijkste doelstellingen van de GDPR is. Dit betekent ook dat je datalekken en boetes vermijdt die je kunnen worden opgelegd als je een datalek hebt geleden, maar niet kan aantonen dat de ICT- en databeleid een gezonde en veilige omgeving tot stand brengen.
Conclusie
Door een aantal technische en organisatorische maatregelen te nemen en je medewerkers bewust te maken van (persoons)gegevens en informatiebeveiliging, bescherm je je beter tegen cybercrime en voorkom je boetes onder de GDPR.
Deze blogpost is gebaseerd op de Engelstalige blogpost die initieel gepubliceerd werd door Brahim Bénichou en Nadia Feci op de Smooth-website.