GDPR en data encryptie

Wie zaken doet binnen de Europese Unie moet gaan voldoen aan de zogenaamde General Data Protection Regulation (GDPR) van de EU. Deze treedt op 25 mei 2018 in werking. Er staan (forse) boetes op het niet voldoen aan de GDPR, en dus kan er werk aan de winkel zijn.

Geldt de GDPR voor u?

De GDPR is van u op toepassing op het moment dat u met privé gekenmerkte data werkt. Wanneer u zich aan de GDPR moet houden, moet u maatregelen genomen hebben die er voor zorgen dat deze gevoelige data niet op straat komt te liggen. U moet niet alleen de juiste procedures in hebben gesteld, u dient tevens technische middelen in gebruik te hebben genomen die de data in voldoende mate beveiligen.

Nu is dit laatste een complex ding. De GDPR zegt namelijk dat u passende technische en organisatorische maatregelen moet nemen waarmee een minimaal beveiligingsniveau wordt gegarandeerd passend bij de risico’s. Maar wat betekent dit dan concreet? Men spreekt hierbij onder andere over het nemen van beveiligingsmaatregelen die naar de laatste stand van de techniek zijn ingericht. Het lijkt dan ook logisch om in ieder geval te werken met pseudonimisering en om persoonsgegevens te versleutelen.

Wat is encryptie?

Bij het versleutelen van gegevens worden deze gegevens niet zelf opgeslagen, maar als een soort vertaling opgeslagen in de vorm van onleesbare tekens. Er is een unieke sleutel voor nodig om deze onleesbare tekens weer terug te kunnen brengen naar leesbare tekst. De verzender versleuteld dus, terwijl de ontvanger de ontvangen data dient te “ontsleutelen”. De ontvanger krijgt daarvoor van de verzender een sleutel.

De versleuteling (encryptie) van gegevens zou dus als oplossing kunnen bijdragen om de GDPR na te komen. Encryptie alleen is echter niet voldoende. Zonder bijvoorbeeld de juiste procedures heeft u met alleen encryptie de zaken nog steeds niet goed geregeld.

Microsoft Office 365

Mail verstuurd met Office 365 is standaard versleuteld. De informatie in deze email wordt versleuteld zodat in theorie alleen een ontvanger de inhoud kan “ontsleutelen”. Office 365 kent daar twee varianten van. De eerste staat standaard ingesteld en wordt dus gebruikt in Office 365. Daar hoeft niets voor te worden ingesteld. Deze versleuteling zorgt er voor dat email niet als platte tekst wordt verstuurd, maar ook niet veel meer dan dat. Daarnaast kan het betekenen dat als een dergelijk bericht wordt afgegeven aan een mailsysteem dat dit niet ondersteunt, deze beveiliging er alsnog af wordt gehaald. Zou dit niet gebeuren, dan zou het mailtje immers onleesbaar blijven.

Een tweede mogelijkheid die Microsoft biedt is dat de Office 365 Message Encryption wordt ingeschakeld. Dit is niet standaard en moet dus geregeld worden. Heeft u de beschikking over bijvoorbeeld Office 365 E3 (een speciale variant van Office 365), dan zit deze mogelijkheid ingebouwd. Verreweg de meeste bedrijven hebben dit niet en daarvoor moet dan Office 365 Message Encryption of iets soortgelijks apart worden aangekocht en geïnstalleerd.

Bij Office 365 Message Encryption verstuurt u als verzender een bericht welke door de server van Microsoft wordt onderschept. Microsoft laat op uw mail een aantal rules los welke zelf deels opgegeven kunnen worden. Deze rules (regels) bepalen wat voor een soort encryptie er moet worden toegepast, wanneer en waarop. Daarna zorgt Microsoft voor de encryptie en verstuurt het bericht naar de ontvanger. Stel dat de ontvanger Gmail gebruikt, dan ontvangt deze het bericht voorzien van een HTML bijlage. Door deze bijlage te openen kan hij inloggen op een portal (website) alwaar het bericht wordt ontsleuteld en kan worden gebruikt. De versleuteling wordt dus niet van de email afgehaald, ook niet wanneer het naar een ‘niet-Microsoft-systeem’ wordt verstuurd.

Andere additionele producten, zoals die van ESET waarbij emailberichten versleuteld kunnen worden verstuurd, eisen dat zowel de ontvanger als de verzender beschikken over dezelfde sleutel zodat de mail verstuurd tussen beide partijen ook daadwerkelijk alleen door deze partijen gelezen kan worden. Technisch gesproken werkt dit goed en gebruiksvriendelijk, maar in praktijk is het alleen echt bruikbaar tussen partijen die vaak met elkaar vertrouwelijke berichten uit moeten wisselen. Een financieel adviseur die beschikt over een groot aantal klanten zal zich nog wel even willen bedenken voordat hij met al zijn klanten sleutels gaat uitwisselen die op hun apparaten geïnstalleerd moeten worden. Echt klantvriendelijk kun je een dergelijke oplossing immers niet noemen. Het is dan logisch dat dergelijke ondernemers gebruik zullen gaan maken van bijvoorbeeld producten als SharePoint of OneDrive om via die weg bestanden uit te wisselen met hun relaties.

ESET Endpoint Encryption

ESET, waar wij net als van Microsoft partner van zijn, levert een product dat de ESET Endpoint Encryption wordt genoemd. De flexibiliteit en het gebruikersgemak van dit product zijn groot te noemen. Het zorgt niet alleen voor de encryptie van email, maar ook voor de encryptie van de bestanden op een harddisk en zelfs op die van een USB stick. Een dergelijke beveiliging is belangrijk te noemen omdat op een gestolen laptop zonder encryptie die alleen beschermd wordt met inlogcode en wachtwoord eenvoudig toegang verkregen kan worden tot de data op de harddisk. Van een dergelijk apparaat kan dus gesteld worden dat het niet voldoende beschermd is omdat er geen passende technische voorzieningen zijn getroffen om de gevoelige data op dit apparaat te beschermen.

Een groot voordeel dat wij zien bij dit product is dat het minimale interactie van de gebruiker nodig heeft. Dit zorgt er voor dat de naleving van regels in de hand wordt gewerkt. Want wees eerlijk, als iets omslachtig wordt, dan proberen we het vaak te ontlopen. Daarnaast biedt het een aantal voordelen boven de in verschillende versies van Microsoft Windows ingebouwde BitLocker bestandsversleuteling. Is bijvoorbeeld een USB stick met  ESET Endpoint Encryption versleuteld, dan kan het worden voorzien van een password zodat het ook op een andere machine gebruikt kan worden. Met BitLocker is dit niet mogelijk. Daarmee kun je deze USB stick alleen op de machine openen waarmee de stick versleuteld is. Ook kun je onder bepaalde omstandigheden met behulp van ESET Endpoint Encryption de sleutel op afstand van een gestolen laptop intrekken. Ook dit is bij BitLocker niet mogelijk.

Overigens werkt BitLocker bestandsversleuteling op veel machines prima. Een product als ESET Endpoint Encryption hoeft dan ook alleen gebruikt te worden wanneer de voordelen boven de BitLocker bestandsversleuteling nodig zijn. 

Conclusie

Werkt u binnen de EU en verwerkt u privacy gevoelige data dan moet u voldoen aan de GDPR, wat onder andere inhoudt dat u gebruik moet maken van beveiligingsmaatregelen die naar de laatste stand van de techniek zijn ingericht. Hoewel systemen zoals Microsoft Office standaard versleuteling gebruiken, kunt en moet u daar soms nog een schepje bovenop doen. De noodzaak daartoe is afhankelijk van de aard van de gegevens, of u deze gegevens verstuurt, hoe u ze bewaard en de gevoeligheid van de data.

Wilt u extra technische maatregelen nemen, dan kunnen wij dat voor u regelen. U kunt daarbij gebruik maken van bijvoorbeeld de oplossingen die Microsoft of ESET hiervoor hebben ontwikkeld.