GDPR maakt achterstallig onderhoud van software strafbaar

Achterstallig onderhoud en Software maintenance is niet het eerste waar je aan denk bij het implementeren van de GDPR (Algemene Verordening Gegevensbescherming (AVG)). In mijn advies praktijk kom ik dagelijks bij organisaties over de vloer die allemaal druk bezig zijn met de implementatie van de GDPR.

Belangrijke trajecten zijn in gang gezet. De Autoriteit Persoonsgegevens beveelt de volgende stappen aan:

• Bewustwording van privacy eisen.
• Recht op inzage en verwijdering van persoonlijke gegevens.
• Registers van verwerking en opslag van persoonlijke gegevens.
• Privacy Impact Assessments van de bedrijfsprocessen.
• Privacy by design.
• Aanstellen van een functionaris voor gegevensbescherming.
• Procedure voor de meldingsplicht van datalekken.
• Bewerkersovereenkomsten met opdrachtgevers
• Aanstellen van een leidende toezichthouder.
• Toestemming van betrokkenen om de persoonlijke gegevens te mogen verwerken en opslaan.

Het valt op dat het allemaal organisatorische maatregelen zijn. Dus alle organisaties waar ik kom zijn bezig om aan de GDPR te voldoen door deze aanbevelingen te analyseren en maatregelen in te voeren. Het aanstellen van medewerkers, het doornemen van contracten, het aanpassen van de voorwaarden, enzovoorts.

Standaard software is GDPR compliant

Een groot aantal leveranciers van standaard software heeft begrepen dat veel van deze eisen in de software opgelost moet zijn als ze deze software nog willen verkopen. Ze hebben hun oplossingen aangepast om aan de volgende eisen te kunnen voldoen:

• Het verstrekken van inzage.
• Het kunnen verwijderen van persoonlijke gegevens, ook uit de back-ups.
• Het kunnen anonimiseren van relaties.
• Het voorkomen van onnodig tonen van persoonlijke gegevens.
• Meer aandacht voor autorisaties en functiescheiding.

Bij de selectie van standaard software pakketten en SaaS oplossingen wordt naar de GDPR implementatie gevraagd. Software die niet of onvoldoende is aangepast valt daarbij al snel af.

Technische infrastructuur

Als je de aanbevelingen leest gaat de Autoriteit Persoonsgegevens er vooral van uit dat er fouten worden gemaakt binnen de organisatie en dat bedrijven slechte bedoelingen hebben met je persoonlijke gegevens. Er spreekt een hoop wantrouwen uit. Het is niet altijd ten onrechte als je het nieuws volgt over big data verzamelaars als Microsoft , Facebook en Google.
Inmiddels hebben ook de leveranciers van routers, firewalls en malware checkers de GDPR als marketing vehikel ontdekt. Deze aanbieders van technische infrastructuur richten zich vooral op de bedreigingen van buitenaf. Sommige intelligente oplossingen kunnen tevens verdacht gedrag van het eigen personeel onderscheiden. Voorkomen is immers beter dan genezen. Met behulp van deze infrastructuur kunnen datalekken in de kiem worden gesmoord. Leveranciers van beveiligingsoplossingen en bouwers van software zijn er wel oprecht op uit om je te helpen. Daar moet je ook wel voor in de buidel tasten natuurlijk.

Software maintenance en achterstallig onderhoud

Er is echter een segment in de IT waar je weinig over de GDPR hoort. Dat is de onderhoud en beheer hoek, Software Maintenance.

Als we het hebben over bedreigingen van buitenaf dan praten we vooral over hackers, malware, virussen en dergelijke. Het zijn criminelen met slechte bedoelingen. Ze zijn er op uit om over jouw rug illegale drugs te verkopen via spam, een botnet op te bouwen, wachtwoorden en creditcard nummers te verzamelen of identiteitsfraude te plegen. Ze dringen binnen via phishing e-mails, social engineering en downloads van gekraakte websites. Stel dat je website wordt gehackt en 5.000 creditcard nummers worden gestolen. Of er wordt een virus verspreid via jou website. Dan heb je wel een echt datalek te pakken. En hoewel de hacker de dader is ben jij volgens de nieuwe wet verantwoordelijk. Je hebt de meldingsplicht voor het datalek.

De oorzaak? Achterstallig onderhoud. Oude plugins, niet verwerkte patches, niet gesignaleerde breathes. Je kan alles volgens de GDPR aanbevelingen goed voor elkaar hebben, contracten, aanstellingen, disclaimers, procedures, registers, viruscheckers, firewalls maar dat is niet waar een hacker naar zoekt. Hij zoekt naar zwakheden in je systeem, probeert een opening te maken en dringt binnen. Papier zal een hacker niet tegenhouden. Voor je het weet staat je Data Protection Manager hakkelend uit te leggen dat er een datalek was en kan je een boete van miljoenen verwachten. De vraag:  is achterstallig onderhoud strafbaar? hoeft niet langer gesteld te worden, het is een feit.

We kunnen het niet vaak genoeg herhalen, organiseer het onderhoud.

WordPress software maintenance

Zeker als het niet tot je kerntaken hoort kan je het onderhoud van je WordPress website makkelijk laten versloffen. Tot nu toe kon je misschien nog weg komen met een hack van je WordPress website, maar met de GDPR niet meer. Je bent namelijke verantwoordelijk voor de gevolgen. Dit geldt niet alleen voor grote bedrijven maar ook voor verenigingen en detailhandel. Zij kiezen vaak voor gratis opensource oplossingen zoals WordPress.
Met name WordPress websites zijn gevoelig voor hackers. Dat komt door de vele plugins die regelmatig ge-update worden. En ook de core scripts worden vaak bijgewerkt. Telkens worden nieuwe zwakheden in de programmatuur gevonden die gepatched moeten worden. WordPress is tevens al meer dan 80.000.000 keer geïnstalleerd. Deze twee aspecten maken WP-sites tot een geliefd doelwit voor hackers. Zij onderzoeken eerst de zwakheden en daarna vinden ze vervolgens altijd wel ergens een website die niet up-to-date is.
www.hackfence.com neemt de onderhoudstaken over en monitort, scant en beheert je WordPress website op een dagelijkse basis. Achterstallig onderhoud is verleden tijd. HackFence ontzorgt hiermee met name kleine organisaties. Zij hebben geen omkijken meer naar het onderhoud van hun website en voldoen tevens aan de GDPR.

Discussieer mee op LinkedIn.