5 tips voor betere gegevens beveiliging op de website

seccurity beveiligingDe Wet Bescherming Persoonsgegevens is per 1 januari 2016 verder aangescherpt. Onderdeel daarvan is de Meldplicht Datalekken die organisaties zoals verenigingen en stichtingen verplicht datalekken te melden aan het CBP (College Bescherming Persoonsgegevens). Deze wet gaat in per 1 januari 2016. De boetes kunnen hoog oplopen: variërend van maximaal 20.250 euro in de laagste categorie tot maximaal 810.000 euro in de hoogste categorie. De boete kan worden opgelegd wanneer de gegevens niet goed beveiligd zijn / de organisatie nalatig is geweest tegen datalekken of het datalek niet wordt gemeld. Hoog tijd dus om gegevens van uw leden beter te gaan beveiligen; naar de actuele stand van de techniek. Bij deze tips voor extra beveiliging van uw Joomla of Wordpress CMS installatie:
  1. goed geconfigureerde webserver, alle software up to date (ook de cms installatie)
  2. intranet rechten correct en veilig
  3. backend afgeschermd met extra username en wachtwoord combinatie
  4. versleuteling private data zoals bankgegevens
  5. goed wachtwoorden beheer
Als uw Joomla website door ons wordt beheerd, kunt u ervan uitgaan dat wij de punten 1 tot en met 4 voor onze rekening nemen. Bankgegevens worden versleuteld opgeslagen in Ledenadministratie Online, en voor de https versleuteling bieden we de mogelijkheid van een certificaat. Punt 5 is primair de verantwoordelijkheid van de organisatie maar hiervoor bieden wij onze klanten 3 nieuwe tools: de mogelijkheid sterke wachtwoorden af te dwingen, 2-factor authenticatie voor de toegangsbeveiliging van gevoelige gegevens  en het voor bepaalde tijd blokkeren van gebruikers die meer dan 5 foute inlogpogingen doen.

De volgende video geeft uitleg en een demo over 2 factor authenticatie en sterke wachtwoorden.


Tot zover de technische mogelijkheden. Beheer en beveiliging van gegevens moet door het bestuur worden vastgelegd in een beleid. Daarin staan ideeën, afspraken en middelen die het mogelijk maken verantwoord met lidgegevens om te kunnen gaan. Hiervoor kunnen de volgende tools worden ingezet:
  1. Afsluiten van een Cybercrime verzekering. Verschillende verzekeringsmaatschappijen bieden een Cybercrime verzekering aan. Deze dekken kosten die in het geval van gehackte systemen hoog kunnen oplopen. Een voorbeeld is de Cybercrime verzekering van AON.
  2. Opstellen van een plan in geval van een hack. Het vooraf opstellen van een plan wat er moet gebeuren in het geval van een datalek en het aanwijzen van een woordvoerder. Het ontkennen, geen verantwoordelijkheid nemen, onduidelijkheid, partijen vergeten in te lichten; het is zeer schadelijk voor de reputatie van de vereniging of stichting bij de eigen leden en donateurs. Verantwoording afleggen, kundig overkomen en de juiste personen inlichten daarentegen kan de schade beperken en positief werken.
  3. Hosten van de website bij een Europees bedrijf, op Europees grondgebied. Dit in verband met het verbod persoonsgegevens te "exporteren" naar landen buiten Europa die een ontoereikend beschermingsniveau bieden, zoals de VS (niet op de Safe-Harbor lijst). Helaas geldt dit verbod ook voor het opslaan van gegevens in bekende cloudoplossingen zoals Microsoft Onedrive, Apple cloud en Google docs.
  4. Awareness creëren bij de personen die met data omgaan zoals ledenadministrateurs en afdelings secretarissen. Ransomware, phishing, virussen, ze komen iedere dag vanzelf langs in de mailbox van gebruikers. Via E-learning kunnen bestuursleden en ledenadministrateur worden getraind om niet in bekende vallen van webcriminelen te lopen. Hiervoor zijn online cursussen gemaakt zoals de DIEV cursus, die wij in 2017 als service aan onze verenigingsklanten hebben aangeboden.

Feit blijft wel dat voorkomen beter is dan genezen; de kosten van herstel bedragen een veelvoud van voorbereid zijn op....

Meer informatie over deze materie: