Legacy: AVG gevoelige informatie opsporen en beheersen

blog zivver

Één van onze klanten in de vastgoedsector gebruikt al tientallen jaren privacy gevoelige informatie van nieuwe huurders zoals kopieën van paspoorten, inkomensgegevens, gezondheidsgegevens en kredietinformatie. Deze informatie bevindt zich op verschillende plekken zoals op harde schijven van individuele computers, in mailbestanden, en op serverbestanden in data management systemen. Het probleem is echter dat onduidelijk is waar deze bestanden precies allemaal rondzwerven. Het opsporen hiervan is niet eenvoudig en daarnaast erg tijdrovend omdat er geen classificatie, eenduidige benaming en/of vast set aan bestandsformaten is (zoals Word, JPEG en PDF).

Oplossen van het legacy probleem

In samenwerking met het bedrijf Zivver, een snelgroeiend bedrijf in AVG oplossingen, heeft Tacstone een methode ontwikkeld om al deze AVG gevoelige informatie geautomatiseerd op te sporen.

Vervolgens wordt er automatisch een actie of combinatie van acties verricht, afhankelijk van het type informatie, de wettelijke bepalingen en of het in de praktijk nog gebruikt dient te worden. Enkele acties die vervolgens uitgevoerd kunnen worden zijn:

  • Vernietigen
  • Opslaan op een andere plek
  • Versleutelen
  • Classificeren
  • Geheel of gedeeltelijk onleesbaar maken (bijv. BSN nummer op een foto).

Met andere woorden: gestructureerd en geautomatiseerd het probleem beheersen.

Aanpassen van de processen

Om problemen in de toekomst te voorkomen zijn naast de grootschalige “opruimactie” ook de processen aangepast. Dit traject is gestart met een aantal bewustwordingssessies om te identificeren in welke processen er sprake is van AVG gevoelige informatie en hoe men hier mee om gaat. Op basis van deze inventarisatie is de standaard service van Zivver geïmplementeerd in circa een week tijd, inclusief volledige integratie met Microsoft Outlook.  Gevolg van deze implementatie is het veilig kunnen verzenden, ontvangen en opslaan van bestanden met gevoelige informatie. Dit resulteert in een enorm verlaagde kans op datalekken door menselijke fouten. Deze dienst werkt volgens een aantal principes en voor zéér grote bestanden (tot 2TB):

  1. Identificeren van tekst in e-mails (incl. bijlages) die gevoelige informatie kan bevatten
  2. Identificeren van de geadresseerde om te voorkomen dat je de verkeerde persoon mailt (melding als je nog nooit eerder gevoelige informatie naar deze persoon hebt gestuurd)
  3. (Automatisch) versleuteld versturen van bestanden
  4. Vragen of de medewerker met een ‘second factor’ wil versturen en dit automatisch uitvoeren
  5. Bij een verkeerd gestuurde e-mail bekijken of de e-mail en bijlage zijn geopend en deze terugroepen.

Reeds duizenden organisaties in de zorg, zakelijke dienstverlening, woning- en vastgoedsector, energiesector en verzekeraars werken met deze nieuwe dienst of gaan daar mee werken.