Straks in mei moeten we er allemaal aan voldoen. Voor een MKB’er als iASSET een flinke belasting om alles op orde te krijgen. De eerste horde is het interpreteren van de wetgeving. Moeten we inderdaad inloggegevens en versleutelde wachtwoorden als persoonlijke informatie zien en op gedocumenteerde wijze vastleggen dat elke gebruiker daar persoonlijk mee instemt? Is het niet dat we een leverancier zijn van een gereedschap en via onze overeenkomst en die tussen onze opdrachtgever en haar medewerker e.e.a. al is afgedekt?
Moeten we inderdaad de locaties van lantaarnpalen afschermen alsof het de medische historie van onze defensiestaf is?
Toch is het op zich een zinvolle exercitie om eens op een rij te zetten welke gegevens we opslaan, op welke systemen deze allemaal staan en wie er toegang toe heeft of ongewenst kan krijgen. Zo ontdekten we dat de meest risicovolle gegevens die we opslaan zijn: De nummerborden en NAW-gegevens van weggebruikers die er van verdacht worden onze opdrachtgevers schade te hebben berokkend en de zeldzame foto’s van slachtoffers die onbedoeld op de foto’s staan die een kantonnier maakt van een ongeval. We ontdekten ook dat de productieomgevingen prima achter ‘https’ zijn beschermd, maar de staging omgeving nog niet; een verklaarbaar gevolg van historische ontwikkelingen maar wel iets om scherp op te blijven.
De wet waar we allemaal zo druk mee (zouden moeten) zijn betreft vooral bescherming: alleen toegang tot gevoelige gegevens voor de personen of systemen die daar rechtmatig wat mee moeten doen. Wij kijken, nu we toch bezig zijn, even verder naar beveiliging. Wat gebeurt er als een systeem uitvalt, gegevens corrupt raken (per ongeluk of expres), of een systeem simpelweg gestolen wordt.
We verzamelen alle lijsten en procedures in een document dat straks is in te zien voor onze opdrachtgevers en de autoriteiten. We bespreken het document met al onze medewerkers en leggen vast dat die versie door hen is begrepen. Het evalueren van de beveiliging en beschermingsmaatregelen en opnieuw onder de aandacht brengen van ons team is voortaan een jaarlijkse actie.
