Wat is encryptie en wat doet het?
Encryptie is het proces van het versleutelen van informatie zodat deze niet toegankelijk is voor onbevoegden. Als de versleutelde gegevens van uw bedrijf worden gelekt, zal iedereen die de gegevens steelt of vindt ze niet kunnen lezen, omdat ze onbegrijpelijk zijn zonder de juiste ontcijferingssleutel.
Veel mensen zijn zich er niet van bewust dat veel informatie al beschermd is door encryptietechnologie. Zo zouden bijvoorbeeld online winkelen en internetbankieren niet werken zonder goede versleuteling. Encryptie is ontworpen om geld en persoonlijke informatie te beschermen. Wat de bedrijfsomgeving betreft, moet encryptie worden gebruikt om het intellectuele eigendom en de knowhow van uw bedrijf te beschermen, evenals de persoonlijke gegevens die u binnen uw bedrijf verwerkt.
Lees meer
Intellectuele eigendom en knowhow kan de producten of diensten van uw bedrijf omvatten. Het kunnen ook de methoden zijn die u gebruikt om die producten met succes te verkopen, of de processen die worden gebruikt om ervoor te zorgen dat ze effectief functioneren gedurende hun hele levenscyclus. Ook kunnen ze bedrijfs- en marketingplannen voor het volgende kalenderjaar omvatten. Al deze informatie kan worden gemonetariseerd of misbruikt door een cyberaanvaller of dief.
Persoonlijke informatie die uw bedrijf verzamelt en verwerkt, kan informatie over uw klanten en medewerkers bevatten. U bent wettelijk verplicht om de toegang tot dergelijke gegevens te beschermen, zoals bepaald in de Algemene Gegevensbeschermingsverordening (GDPR) van de Europese Unie.
GDPR en encryptie
De GDPR definieert persoonsgegevens. Dit zijn onder andere namen en achternamen, foto's, e-mailadressen, telefoonnummers, rekeningnummers, vingerafdrukken en stemmen. Deze verordening, die sinds 25 mei 2018 in alle lidstaten van de EU van kracht is, beschrijft encryptie als een bescherming tegen reputatieschade.
Stelt u zich voor dat een van uw medewerkers een USB-stick verliest die een lijst van uw klanten bevat. Volgens de GDPR moet u alle mensen op de lijst informeren over het incident. Zij kunnen de data-inbreuk zien als een reden om van leverancier te veranderen. De verplichting om deze personen te informeren geldt echter niet als hun persoonlijke gegevens versleuteld zijn.
Wat moet u doen als uw bedrijf persoonlijke informatie heeft gelekt?
Verplichting tot kennisgeving aan de toezichthouder:
U moet elke inbreuk op de persoonsgegevens melden aan de bevoegde gegevensbeschermingsautoriteit. Deze verplichting geldt niet alleen voor grote incidenten, zoals het lekken van grote databanken, maar ook voor kleine fouten. Als u bijvoorbeeld de inhoud van enveloppen die bestemd zijn voor twee verschillende ontvangers foutief door elkaar haalt, moet u dit melden.
72 uur
U dient het incident binnen 72 uur na het moment dat u er kennis van neemt te melden aan de betreffende toezichthoudende instantie, dus niet vanaf het moment dat het incident zich voordoet. Indien deze termijn echter niet in acht wordt genomen, moet de vertraging in de melding (d.w.z. de redenen waarom de inbreuk niet binnen 72 uur is gemeld) worden gemotiveerd.
Verplichting tot kennisgeving aan de betrokken personen
In ernstiger gevallen moet u niet alleen de gegevensbeschermingsautoriteit op de hoogte brengen, maar ook de personen van wie de gegevens door het incident zijn getroffen. Deze stap is echter niet vereist als het incident zich heeft voorgedaan nadat uw bedrijf passende technische en organisatorische veiligheidsmaatregelen heeft genomen, met name die welke de persoonsgegevens onbegrijpelijk maken voor een persoon die geen toegang heeft tot deze gegevens. De nogal ingewikkelde juridische term "technische maatregelen" verwijst naar encryptie.
Mogelijke boetes in verband met het GDPR
Niet-nakoming van de verplichting om een inbreuk op de gegevenswetgeving aan de bevoegde toezichthoudende autoriteit te melden, wordt bestraft met een boete van maximaal 10 miljoen euro of, in het geval van een onderneming, met een maximum van 2% van de jaarlijkse wereldwijde omzet van het voorgaande boekjaar. Naast een hoge financiële sanctie kan de gegevensbeschermingsautoriteit ook het volgende vaststellen:
- een tijdelijke of definitieve beperking, met inbegrip van een verbod op de verwerking van persoonsgegevens
- verwijdering van persoonsgegevens
Dit betekent dat u ofwel alle contacten voor uw bestaande klanten kunt verliezen, ofwel dat uw bedrijf tijdelijk kan worden verboden om dergelijke gegevens op te slaan.
Gegevensinbreuken hebben gevolgen voor bedrijven van elke omvang
Veel bedrijven zijn van mening dat ze niet kwetsbaar zijn voor cyberaanvallen of data-inbreuken vanwege hun kleine omvang en beperkte middelen. Helaas is dit niet het geval: volgens analisten IDC zijn kleine en middelgrote bedrijven het slachtoffer van meer dan 70 procent van de beveiligingsinbreuken. Maar het goede nieuws is dat bedrijven geen cyberaanvallen hoeven te melden, tenzij er persoonlijke gegevens zijn gecompromitteerd of uitgelekt.
Vanwege de valse indruk dat andere bedrijven niet te maken hebben met cyberaanvallen, kunnen bedrijven zich schamen of vrezen voor negatieve aandacht als ze een aanval melden.
ESET heeft geconstateerd dat de toezichthoudende autoriteiten in Europa voor het eerste jaar na de inwerkingtreding van de GDPR nog steeds bezig waren zich met de nieuwe regels vertrouwd te maken. Het is waarschijnlijk dat zij nu meer boetes zullen opleggen.
De ervaring leert echter dat als de betrokken bedrijven meewerken, zij meestal lagere boetes krijgen. Het blijkt ook dat als uw bedrijf geen internetgigant is, u waarschijnlijk geen maximumboete krijgt.
Wij raden organisaties dan ook aan om altijd de meldingsplicht na te leven, samen te werken met de toezichthouders en hun medewerkers te informeren over wat persoonsgegevens zijn en hoe deze moeten worden beschermd.
ESET encryptie oplossingen
ESET Endpoint
Encryption
ESET Endpoint Encryption beschermt gevoelige gegevens op bedrijfsapparatuur door middel van encryptie. Het biedt encryptie van bestanden en mappen, e-mails en bijlagen, verwijderbare media, virtuele schijven en de hele schijf. Het is eenvoudig te gebruiken, biedt volledige controle op afstand van encryptiesleutels en vereist geen server voor de implementatie. Probeer ESET Endpoint Encryption 30 dagen lang gratis uit en probeer het in uw bedrijf.