‘Jeetje, weer een datalek?!’ Het is niet gek om je zorgen te maken over de veiligheid van je data als je kijkt naar de hoeveelheid berichten in het nieuws over datalekken. Je zou denken dat iedereen zich ondertussen bewust is van de gevaren van zo’n lek. Waarom gaat het dan toch zo vaak fout?
“Je bent nooit honderd procent veilig”, vertelt data-expert Wouter Gielen. Moet je dan je datahonger negeren en je ambities op het gebied van data laten varen, om te voorkomen dat je bedrijfsgegevens straks op straat liggen? In deze blog geeft Wouter antwoord op dit soort vragen en legt hij uit wat het belangrijkst is voor goede dataveiligheid.
1. Wat is het belangrijkste voor dataveiligheid? Waar moet je je op focussen?
“De mens zorgt voor de meeste datalekken. Een enkele keer zijn die lekken niet te voorkomen, denk aan een medewerker die met kwade wil gegevens lekt. Maar meestal gebeurt het niet met opzet. Daarom is het bewustmaken van je medewerkers van het belang van dataveiligheid zo belangrijk.
In mijn ogen moet je security awareness als organisatie echt serieus nemen. Het is niet genoeg om securitybeleidsdocumenten en -procedures te hebben die in de bureaulade liggen te verstoffen. Om security te laten leven moet je er vaak over communiceren. Zo voert OGD bijvoorbeeld regelmatig security awareness-campagnes uit. Zo ging ik laatst naar de wc en las ik daar op de deur ‘en nu maar hopen dat je laptop ook op slot zit’. Sindsdien sluit ik mijn laptop nog bewuster af wanneer ik even van mijn bureau wegloop. Het zijn kleine acties, maar ze werken echt! Je ziet zo’n poster elke keer als je naar het toilet gaat. Door die herhaling blijft het ook hangen.
Natuurlijk speelt de techniek ook een belangrijke rol. Zo zijn two-factor authentication en encryptie belangrijk. Dataclassificatie is daarnaast heel belangrijk voor de dataveiligheid. ‘Hoe gevoelig en belangrijk is deze informatie?’ Je classificeert je data en je stelt rollen op. Zo hebben medewerkers alleen toegang tot de gegevens die ze echt nodig hebben. Hierbij denk je ook goed na over waar je data mag staan.”
Wil je meer weten over dataclassificatie en hoe je dit aanpakt? Lees dan de blog over grip op je data in de public cloud.
2. Waarom gaat ‘t toch zo vaak fout als mensen weten hoe belangrijk dataveiligheid is?
“Het is best complex om ervoor te zorgen dat je data veilig is. Je moet het beheer van en de toegang tot je data goed inrichten. En dat kost natuurlijk tijd en geld.
Maar niet alleen dat, het is ook best lastig om iedereen te voorzien van de data die ze nodig hebben om hun werk te doen. Als medewerkers niet gemakkelijk bij de data kunnen, vinden ze andere oplossingen. Zo creëren ze zonder kwade opzet ‘shadow IT’. Daarom is het simpelweg intrekken van rechten vaak niet de oplossing. Er zit vaak een databehoefte achter waarin je wel moet voorzien.
Stel je hebt een applicatie waaruit de functioneel beheerder alle gegevens van het personeel kan exporteren naar een Excel-bestand. Dat bestand speelt hij of zij vervolgens weer door naar de persoon die de gegevens daadwerkelijk nodig heeft. Dan moet je je afvragen: ‘willen we deze functionaliteit wel? Mag de functioneel beheerder alle gegevens van het personeel inzien en op deze manier met anderen delen?’
De oplossing is hier niet alleen het uitzetten van die functionaliteit of het inperken van de rechten van de functioneel beheerder. Want je moet ook zorgen dat de persoon die de gegevens ook echt moet en mag inzien, nog steeds bij de data kan. Dan kun je de data bijvoorbeeld beschikbaar stellen in een datawarehouse. En dan heb je pas één risico getackeld. Zoals je ziet heeft het zorgen voor veilige data best wel wat voeten in aarde.”
“Iedereen tijdig en veilig voorzien van de data die ze nodig hebben is best een uitdaging"
3. Moeten we voor de dataveiligheid minder data verzamelen en delen? We willen juist steeds meer data hebben!
“Data voegt veel waarde toe, dus ik denk niet dat minder data verzamelen of minder data delen wenselijk is. Ik zou juist zeggen: we moeten meer data delen! Bijvoorbeeld om samenwerkingen te verbeteren.
Natuurlijk moet je altijd voldoen aan de AVG en het beheer van je data goed ingericht hebben. En bij partijen buiten je organisaties moet je goede afspraken maken en die vastleggen in verwerkersovereenkomsten. Je moet ook kunnen controleren of de andere partij goed met je data omgaat. Data heeft waarde, dus daar moet je op dezelfde gedegen manier mee omgaan als je andere bedrijfsbezittingen.
De waarde van data neemt alleen maar toe, dus ik zou niet aanraden om minder data te verzamelen! Blijf data verzamelen, maar doe dat op een juiste, wettelijke en ethische manier.”
4. Als we dataveiligheid serieus willen nemen, moeten we dan minder ambitieus zijn op het vlak van data-analyses en het inzetten van AI of machine learning?
“Op het gebied van data-analyses kan je wat mij betreft niet ambitieus genoeg zijn!
Als we naar AI kijken wordt het al wat ingewikkelder. Daarbij is het namelijk lastiger om te garanderen dat bijvoorbeeld persoonsgegevens niet te herleiden zijn. Laat je deze gegevens uit de datasets? Dan kan het zijn dat AI toch op herleidbare persoonsgegevens uitkomt door informatie uit meerdere datasets te combineren. Ik zou AI dus niet afraden, maar kijk wel heel scherp naar wat je meegeeft als trainingsdata.
Je wilt op de uitkomst van je AI-oplossing kunnen vertrouwen. Dit is nog een reden om kritisch met je datasets om te gaan. Je wilt kunnen herleiden hoe de machine aan de uitkomst is gekomen. Daarnaast is het slim om sowieso niet blind op de uitkomsten te varen maar daar kritisch naar te blijven kijken. Als je dat doet, hoef je ook je ambities op AI-gebied niet los te laten.”
Dataveiligheid – hoe zit dat in de cloud?
Gaat het je vooral om de dataveiligheid in de public cloud? Je kunt ook in de public cloud grip houden op je data!
Werkt jouw organisatie met zeer gevoelige informatie of is zij onderdeel van de kritieke infrastructuur? Misschien is de sovereign cloud interessant voor je. Onze technisch directeur Rik van Berendonk vertelt in ‘De 5 belangrijkste vragen over de sovereign cloud beantwoord’ wat de sovereign cloud is en wanneer het voor jouw organisatie een goed idee is om naar deze cloudvariant over te stappen zodra deze beschikbaar is.
Je datahonger gestild en toch veilig
Hopelijk heeft data-expert Wouter Gielen je gerustgesteld: je kunt alle data-analyses uitvoeren die je datahongerige hart begeert en toch veilig zijn. Al blijft ‘veilig’ relatief, want je kunt datalekken nooit 100% voorkomen (lees ook hoe je een datalek zo veel mogelijk voorkomt!). Je doet er goed aan om je data goed in te richten. Dit betekent onder andere werken met rollen, je data classificeren en je natuurlijk houden aan de AVG. Ga goed met je data om, het is tenslotte je bezit, maar haal ook de waarde eruit die erin zit!
Delen
Dit zijn de laatste ontwikkelingen binnen AI
De 5 belangrijkste vragen van DORA beantwoord
