Gegevens wissen belangrijk door Europese verordening AVG GDPR

De algemene verordening gegevensbescherming (AVG) of General Data Protection Regulation (GDPR) komt eraan, en hoe je ’m ook noemen wil, in mei kom je er niet meer onderuit. Bedrijven moeten hun routines betreft het verwijderen van data nakijken en door de de hoge boetes die kunnen worden uitgedeeld als je de regels niet naleeft is dataopslag nu een belangrijk onderdeel van de bedrijfsagenda geworden.

Maar alleen maar van de nieuwe regels op de hoogte zijn en het werkelijk doorvoeren van nieuwe routines zijn twee verschillende dingen. Het probleem is dat organisaties niet altijd weten waar hun data verblijven, dus als iemand zijn persoonlijke gegevens opvraagt wordt dit een moeilijke, langdurige en dure opdracht. Artikel 17 van de AVG bepaalt dat organisaties moeten bewijzen dat ze data permanent en op de juiste manier kunnen wissen.

Gegevens wissen op de juiste manier

Na een eerste audit (wat veel bedrijven ter voorbereiding van de AVG al wel voltooid hadden moeten hebben) is de tweede stap het verwijderen van niet-relevante of niet langer gebruikte persoonsgegevens of persoonlijke gegevens van kinderen onder de zestien.

Het simpelweg wissen van gegevens of het formatteren van magnetische gegevensdragers (inclusief harde schijven en tapes) is niet genoeg om er zeker van te zijn dat de persoonsgegevens niet ergens in het bedrijf vertoeven. Bij elk soort opslagmedium waarvan data verwijderd worden is de kans groot dat de bestanden nog kunnen worden teruggehaald, zelfs al heeft de hardware water- of brandschade opgelopen.

Gelukkig zijn er veel softwareoplossingen verkrijgbaar voor het volledig wissen van opslagmedia zodat deze veilig hergebruikt, doorverkocht of gerecycled kunnen worden. Er is ook software voor het verwijderen van alleen specifieke bestanden. Naast software is er ook de degausser met zijn definitieve wisproces die een magnetisch opslagapparaat volkomen onleesbaar, en dus onbruikbaar, achterlaat.

Ook virtuele schijven moeten worden meegenomen in de wisprocessen. Externe serviceproviders in het bijzonder gebruiken virtuele infrastructuur voor het verdelen van opslagruimte over meerdere klanten om zo te kunnen profiteren van schaalvoordelen. Veel providers staan vervolgens voor het probleem van het wissen van bepaalde delen van hun virtuele opslagruimte zonder dat de rest gewist wordt, bijvoorbeeld als een klant bij ze weggaat.

Het risico van fysieke schijven

Fysieke schijven zijn een bron van gevaar, omdat ze vaak gerecycled worden en hergebruikt door bedrijven om de kosten voor dataopslag te beperken. Maar zonder de juiste datawissoftware of -tools kunnen bedrijven er niet zeker van zijn dat gevoelige informatie verwijderd is voor de schijven weer gebruikt worden of teruggestuurd worden naar de fabrikant.

In een onderzoek waarbij Kroll Ontrack online 64 schijven kocht uit onder meer de VS, Duitsland, Frankrijk, Italië, de Aziatisch-Pacifische regio, Polen en het Verenigd Koninkrijk bleek dat 30 schijven nog sporen bevatten van persoonlijke gegevens.

Een van de schijven was echt alarmerend. De schijf was van een bedrijf geweest dat een serviceprovider had ingeschakeld voor het wissen en doorverkopen van oude schijven. Ondanks dat bevatte de schijf een grote hoeveelheid gevoelige informatie zoals gebruikersnamen, adressen, telefoonnummers en creditcardgegevens. Er was een lijst van zo’n 100 werknemers met informatie over werkervaring, functiebenamingen, telefoonnummers, taalvaardigheden, vakantiedata en een offline adresboek van 1 MB.

Bijna een derde (21 schijven) bevatte privéfoto’s en -documenten, e-mails, filmpjes, audiobestanden of muziek. Op acht schijven zijn accountgegevens gevonden zoals inloggegevens als voor- en achternaam, contactgegevens, e-mailadressen, en namen en wachtwoorden van online accounts. Negen schijven bevatten transactiegegevens zoals bedrijfsnamen, salarisspecificaties, creditcardnummers, gegevens van bankrekeningen, investeringsdetails en belastingaangiftes.

Dit probleem breidt zich uit naar de zakenwereld omdat gebruikers ook hun eigen mobiele apparatuur gebruiken om in te loggen op het werk. Op zes schijven konden we kritieke bedrijfsdata terugvinden zoals CAD-, PDF- en JPG-bestanden en ook wachtwoorden. Op deze schijven vonden we ook de instellingen van online winkels, configuratiebestanden en POS-trainingsfilmpjes vinden. Op vijf schijven stonden ook andere werkgerelateerde gegevens: facturen en inkooporders, veelal met gevoelige persoonlijke informatie.

Gebruikers zijn zich niet bewust van de risico’s

Een eerder onderzoek in het Verenigd Koninkrijk onder 2000 consumenten wees uit dat veel gebruikers niet op de hoogte waren van de risico’s die het niet back-uppen van data of het niet op de juiste manier recyclen van apparaten met zich meebrengen. 11 % gaf toe niet zeker te weten of hij de gegevens op een oude mobiele telefoon, tablet of computer wel voorgoed verwijderd had voor hij ze had weggegooid of gerecycled.

Slechts 32 % zei zijn gegevens op elektronische apparatuur regelmatig te back-uppen. 68 % riskeert dus zijn persoonsgegevens en nog veel meer te verliezen met het bewaren van gegevens op een apparaat dat kwijt kan raken, kan beschadigen, kan worden doorverkocht of wordt weggegooid.

Forensisch onderzoek

We hebben in korte tijd vele gadgets geïntroduceerd zien worden, van smartphones tot iPads tot spraakgestuurde assistenten, televisies en koelkasten, alle apparaten die data kunnen opslaan en verzenden. Industriële sensoren en CCTV-camera’s dragen ook bij aan zo’n grote productie van ingewikkelde data dat er een nieuwe aanpak nodig is voor het opslaan en beveiligen van data en het op verzoek verwijderen ervan.

Voor de forensische ICT kunnen de data van slimme apparatuur misdaadzaken oplossen. Een voorbeeld hiervan is het geval van een vermoorde vrouw waarbij de informatie op haar Fitbit niet overeenkwam met de alibi van haar man. Aan de hand van de door de Fitbit en andere slimme apparaten getraceerde locaties kon een tijdlijn worden vastgesteld waaruit bleek dat de vrouw niet was waar haar man zei dat ze was ten tijde van de moord, en hijzelf ook niet. Richard Dabate wordt nu aangeklaagd voor de moord op zijn vrouw.

De zaak laat zien dat een vastbesloten forensische ICT’er data van bijna elk soort apparaat kan herstellen, bijna ongeacht in welke staat het betreffende apparaat zich bevindt. Wij hebben in de loop der jaren al vele onderzoeken gedaan naar weggegooide en gerecyclede apparatuur en zien keer op keer dat er niet genoeg wordt nagedacht over de opgeslagen gegevens, met als gevolg grote risico’s voor werkgevers.

Het AVG-effect

Met de intrede van de AVG of GDPR zullen bedrijven in zowel de publieke als de private sector moeten kunnen bewijzen dat gegevens op een betrouwbare manier verwijderd worden, in lijn met de nieuwe richtlijnen. Ze moeten kunnen laten zien dat ze relevante verwerkingsprocedures controleren, herzien en beoordelen.

Bedrijven moeten bereid zijn gegevensverwerking en het onnodig bewaren van data tot een minimum te houden en ze moeten voorzorgsmaatregelen nemen inzake alle datagerelateerde activiteiten. Veel bedrijven zien de nieuwe wet als een reden best practice management toe te passen op hun dataopslagstrategieën. Een volledige wispolicy biedt meer bedrijfsvoordelen dan alleen het naleven van een nieuwe Europese verordening:

• Kosten: dataopslag is duur, of het nou fysiek of virtueel gebeurt. Dankzij het voorgoed wissen van data kunnen bedrijven hun opslagmedia recyclen en hergebruiken zonder bang te hoeven zijn dat gevoelige informatie in andere handen valt.
• Betrouwbaarheid: gegevens wissen hoeft niet altijd permanent te zijn. Gewiste data kunnen vaak nog teruggehaald worden met een data recovery. Bedrijven moeten zeker weten dat hun gewiste data ook echt niet meer terug te halen zijn door ze op een betrouwbare manier voorgoed te verwijderen.
• Up to date blijven: de focus op gegevensbehoud en datavernietiging is niet nieuw (PCI DSS, ISO 270001), maar met onze steeds groter wordende afhankelijkheid van data is het niet vreemd dat er ook wereldwijde verordeningen worden doorgevoerd. De AVG zal ook over andere belangrijke onderwerpen gaan als globalisering en populaire technologische ontwikkelingen zoals Facebook, Twitter, Google+ en andere social media. De nieuwe wet omvat alle nieuwe manieren van communicatie in dit digitale tijdperk, én de daaruit voortvloeiende gegevens.

Uit onze ervaring blijkt dat databeveiligingsprofessionals over het algemeen goed geïnformeerd zijn over de nieuwe GDPR. Hun moeilijkste taak is het overbruggen van de theoretische eisen en de implementatie in de praktijk, alsmede de invloed die dit zal hebben op het bedrijf waarvoor ze werken. Dit omvat het voorgoed wissen van data in een auditeerbaar proces.

Er zijn ook veel organisaties die nog geen verantwoordelijke voor hun databeveiliging hebben aangewezen, of dit nou één databeveiligingsexpert is of een hele groep. Die organisaties hebben niet veel tijd meer om dit in orde te maken.

Lees meer over data vernietigen.