Minimale beoordelingscriteria inzake informatieveiligheid van de VTC
Noodzaak
Zoals bekend is elke verantwoordelijke en elke verwerker van persoonsgegevens verplicht om maatregelen te treffen waarmee een gepast niveau van veiligheid kan worden verzekerd.
Bij de controle van meldingen van gegevenslekken stelt de VTC vast dat incidenten zeer vaak integraal vermeden hadden kunnen worden of dat minstens de impact ervan sterk gereduceerd had kunnen worden, door de implementatie van relatief rudimentaire en gangbare veiligheidsmaatregelen.
Er blijkt vaak onvoldoende besef te zijn van de enorme risico-reducerende rol die dergelijke maatregelen kunnen spelen om de burgers te beschermen, en om het functioneren van overheidsdiensten te verzekeren.
Met name voor het voorkomen en bestrijden van phishing- en ransomware-aanvallen zijn deze maatregelen cruciaal.
Beschermingsmaatregelen
De VTC zal de toekomstige meldingen van gegevenslekken mede beoordelen aan de hand van de beschermingsmaatregelen die gepubliceerd werden door CERT.be(opent in nieuw venster):
- Zorg voor een business continuity and recovery plan met een getest back-up-systeem.
- Bij back-ups wordt de 3-2-2 regel aanbevolen: voorzie 3 back-ups waarvan er 2 lokaal bewaard worden op 2 verschillende dragers en waarvan er 2 elders bewaard worden (1 op een andere locatie en 1 in de cloud, mits naleving van de richtlijnen van de VTC i.v.m. cloud).
- Zorg voor MFA/2FA op alle externe toegangen.
- Voorzie netwerksegmentatie.
- Voorzie een plan voor logging en monitoring en back-ups van de log servers.
- Voorzie regelmatige updates om kwetsbaarheden snel te verhelpen.
- Voor grote bedrijven en organisaties is een gespecialiseerde business anti-ransomware oplossing aanbevolen.
- Zorg dat je organisatie voorbereid is op een cyberaanval.
- Laat je IT security architecture & policy nakijken door een specialist.
- Maak werk van een cybersecurity strategie.
Implementatie
De VTC beschouwt deze lijst als een minimumvereiste waaraan alle verantwoordelijke Vlaamse instanties zouden moeten voldoen. Inbreuken op deze lijst zullen dan ook beschouwd worden als een sterke indicatie van nalatigheid, en van een inbreuk op de GDPR.
De VTC wijst erop dat de implementatie van redelijke veiligheidsmaatregelen niet louter een beleidskeuze is, maar een juridische verplichting. Nalatigheid inzake informatieveiligheid kan ook aanleiding geven tot de aansprakelijkheid van de instantie en eventueel zelfs beleidsverantwoordelijken ten aanzien van de betrokkenen en andere partijen die schade lijden.
Uitgelichte cases
Vragen?
Voor vragen over deze maatregelen of over de implementatie ervan raadt de VTC Vlaamse instanties aan om zich in eerste orde te wenden tot hun functionaris voor gegevensbescherming (DPO), waarover elke Vlaamse instantie beschikt en die over de gepaste expertise beschikt om u te adviseren over noodzakelijke aanpassingen en investeringen.