Meldplicht datalekken vereist betere CMS beveiliging hoe

Meldplicht datalekken vereist betere CMS beveiliging: 5 tips

seccurity beveiligingDe Wet Bescherming Persoonsgegevens wordt per 1 januari 2016 verder aangescherpt. Onderdeel daarvan is de Meldplicht Datalekken die organisaties zoals verenigingen en stichtingen verplicht datalekken te melden aan het CBP (College Bescherming Persoonsgegevens). Deze wet gaat in per 1 januari 2016. De boetes kunnen hoog oplopen: variƫrend van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie. De boete kan worden opgelegd wanneer de gegevens niet goed beveiligd zijn / de organisatie nalatig is geweest tegen datalekken of het datalek niet wordt gemeld. Hoog tijd dus om gegevens van uw leden beter te gaan beveiligen; naar de actuele stand van de techniek. Bij deze tips voor extra beveiliging van uw Joomla of Wordpress CMS installatie:
  1. goed geconfigureerde webserver, alle software up to date (ook de cms installatie)
  2. intranet rechten correct en veilig
  3. backend afgeschermd met extra username en wachtwoord combinatie
  4. versleuteling private data zoals bankgegevens
  5. goed wachtwoorden beheer
Als uw Joomla website door ons wordt beheerd, kunt u ervan uitgaan dat wij de punten 1 tot en met 4 voor onze rekening nemen. Bankgegevens worden versleuteld opgeslagen in Ledenadministratie Online, en voor de https versleuteling bieden we de mogelijkheid van een certificaat. Punt 5 is primair de verantwoordelijkheid van de organisatie maar hiervoor bieden wij onze klanten 3 nieuwe optionele tools: de mogelijkheid sterke wachtwoorden af te dwingen, 2-factor authenticatie voor de toegangsbeveiliging van gevoelige gegevens  en het voor bepaalde tijd blokkeren van gebruikers die meer dan 5 foute inlogpogingen doen.

De volgende video geeft uitleg en een demo over 2 factor authenticatie en sterke wachtwoorden.


Tot zover de technische mogelijkheden. Voorts is het als vereniging ook verstandig om aan de volgende mogelijkheden te denken:
  1. Afsluiten van een Cybercrime verzekering. Verschillende verzekeringsmaatschappijen bieden een Cybercrime verzekering aan. Deze dekken kosten die in het geval van gehackte systemen hoog kunnen oplopen. Een voorbeeld is de Cybercrime verzekering van AON.
  2. Opstellen van een plan in geval van een hack. Het vooraf opstellen van een plan wat er moet gebeuren in het geval van een datalek en het aanwijzen van een woordvoerder. Het ontkennen, geen verantwoordelijkheid nemen, onduidelijkheid, partijen vergeten in te lichten; het is zeer schadelijk voor de reputatie van de vereniging of stichting bij de eigen leden en donateurs. Verantwoording afleggen, kundig overkomen en de juiste personen inlichten daarentegen kan de schade beperken en positief werken.
  3. Hosten van de website bij een Europees bedrijf, op Europees grondgebied. Dit in verband met het verbod persoonsgegevens te "exporteren" naar landen buiten Europa die een ontoereikend beschermingsniveau bieden, zoals de VS (niet op de Safe-Harbor lijst). Helaas geldt dit verbod ook voor het opslaan van gegevens in bekende cloudoplossingen zoals Microsoft Onedrive, Apple cloud en Google docs.

Feit blijft wel dat voorkomen beter is dan genezen; de kosten van herstel bedragen een veelvoud van voorbereid zijn op....

Meer informatie over deze materie:

15-03-2018: UPDATE mbt AVG