3. Hoe gaat de GA met de AVG om?

'Iedere maand een check op onze potentiële kwetsbaarheden' Cumela Assuradeuren uit Nijkerk is gevolmachtigd agent van a.s.r. Directeur Ron Krisman vertelt hoe Cumela ervoor zorgt dat het aan de AVG voldoet, hoe de kans op een succesvolle aanval van cybercriminelen wordt verkleind en hoe zij omgaan met incidenten en datalekken.

Ron geeft al 15 jaar leiding aan Cumela Assuradeuren. Het volmachtbedrijf is onderdeel van brancheorganisatie Cumela, een branchevereniging voor bedrijven die actief zijn in groen, grond en infra. Verder is de inwoner van Assen sinds 2003 lid van de economische commissie van de NVGA en was hij van 2011-2017 bestuurslid van deze vereniging van gevolmachtigde assurantiebedrijven. Aparte analyse Bij de introductie van de AVG in mei 2018 werd een van de juridische medewerkers van Cumela aangesteld als functionaris gegevensbescherming. Er werden verwerkingsovereenkomsten opgesteld voor alle partijen waarmee Cumela samenwerkt, maar dat was niet het enige, zegt Ron, die zelf deel uitmaakte van een werkgroep die een impactanalyse uitvoerde om te kijken waar de kwetsbaarheden lagen. “Sommige processen zijn toen op een aantal punten aangepast. En op onze verzuimportefeuille hebben wij door een externe partij zelfs een aparte analyse laten maken. Daarnaast hebben we een compliance officer benoemd, die voortdurend controles uitvoert op de processen, procedures en individuele dossiers en zich ook bezighoudt met het werkprogramma risicobeheersing. Zo blijven wij voortdurend alert op wat van de AVG wel en niet mag.” Bedrijfscontinuïteitsplan Angst voor een aanval van cybercriminelen heeft Ron niet echt. “We zijn er op verschillende manieren tegen bewapend. Vorig jaar hebben we ons bedrijfscontinuïteitsplan aangescherpt, met daarin onder andere een calamiteitenplan, informatie over onze systeemarchitectuur, informatiebeveiligingsbeleid en ons wachtwoordbeleid. Uiteraard hebben wij de nodige veiligheidsmaatregelen, zoals antivirusprogramma's, firewalls en andere technische voorzieningen. De toegangen naar al onze systemen, denk aan de website en verbindingen met andere pakketten, worden iedere maand door een extern bedrijf gecheckt op potentiële kwetsbaarheden. De rapportage die wij van hen krijgen, heeft al een paar keer geleid tot aanpassingen in onze eigen infrastructuur, maar ook in de pakketten van partijen waarmee wij samenwerken.” “Medewerkers die op het kantoor in Nijkerk inloggen hebben genoeg aan hun gebruikersnaam en wachtwoord. Thuiswerkers moeten een extra handeling verrichten”, gaat Ron verder. “Inloggen buiten het IP-bereik van ons kantoor moet via een vpn-verbinding en token. Om de bewustwording bij medewerkers over cybercrime te vergroten, krijgen ze maandelijks een uitnodiging om via e-learning een test te doen. Verder sturen wij soms een fictieve mail de organisatie in om te kijken hoe daarop wordt gereageerd.” Cumela test ook de digitale veiligheid van partijen waarmee het samenwerkt. “Zijn er kwetsbaarheden, dan vragen wij hen die op te lossen.” Ron weet nog dat dit in het begin niet altijd op prijs werd gesteld. “Nu krijgen we steeds vaker een bedankje voor de tip. Momenteel zijn wij bezig met een bedrijf om bij hen een managementsysteem voor personeelsinformatie af te nemen. Uit een scan bleek dat ze werken met verouderde certificaten en onveilige protocollen. We hebben dat bedrijf verteld dat we pas zaken doen als ze het hebben opgelost.” Ron bekent dat cybercriminelen regelmatig pogingen wagen om Cumela geld afhandig te maken. “De financiële administratie kreeg al enkele keren een mail uit naam van onze algemeen directeur, waarin werd verzocht een bedrag over te maken. Gelukkig zijn we daar nog nooit ingetrapt.” Protocol Gaat een medewerker van Cumela de mist in, dan moet hij dat volgens protocol melden bij de afdeling systeembeheer. “Daar wordt onderzocht wat er aan de hand is. Is er sprake van een datalek, dan wordt er melding gemaakt bij onze functionaris gegevensbescherming, de leidinggevende van de betreffende medewerker, de betrokken volmachtgever én de Autoriteit Persoonsgegevens. Dat laatste hebben we inmiddels twee keer gedaan, maar het bleek achteraf in beide gevallen niet nodig. Het lek was gelukkig niet ernstig genoeg.”