Is uw databeveiliging op orde? (Deel 1)

Vanaf 1 januari 2025 moeten grotere financiële ondernemingen verplicht voldoen aan de wetgeving van DORA (Digital Operations Resilience Act). Maar ook voor kleinere financieel dienstverleners bevat deze wetgeving veel handvatten om te controleren of hun databeveiliging passend is bij de huidige cyberrisico’s. De AFM vraagt dan ook om deze handvatten aan te nemen en ook in het belang van uw klanten ervoor te zorgen dat uw data goed beveiligd is.

Ook voor u als financieel dienstverlener is het belangrijk om in een tijd dat steeds meer cyberrisico’s zich voordoen eens goed te controleren hoe het binnen uw kantoor is gesteld met databeveiliging.

Cyberincidenten of datalek
Zorg ervoor dat u een goede procedure heeft waarin is vastgelegd hoe u en uw medewerkers moeten handelen bij een cyberincident of datalek waarbij klantgegevens zijn betrokken.
Verder is het belangrijk om alle cyberincidenten en datalekken te registreren. Dit zorgt voor een goede afwikkeling en biedt direct mogelijkheid om te evalueren waardoor het fout is gegaan en hoe dit in de toekomst kan worden voorkomen.

Borging continuïteit dienstverlening
We herkennen het allemaal. We zijn steeds meer afhankelijk van onze digitale systemen. Of het nu gaat om het aanvragen van een polis of een hypotheek, het mailen van een klant of het beheren en inzien van klantgegevens. Daarom is het belangrijk dat u erop kunt vertrouwen dat de continuïteit van uw dienstverlening is geborgd en u een goede back-up heeft. Onderstaand benoemen we enkele elementen die u zeker goed geregeld moet hebben.

• Zorg voor goede en recente back-ups, zodat u bij uitval van uw systeem deze terug kunt zetten en uw dienstverlening binnen zeer korte tijd weer hervat kan worden.
• Om geen of weinig data te verliezen is het belangrijk dat u regelmatig een back-up maakt.
• Zorg er ook altijd voor dat de back-up buiten uw kantoor wordt bewaard, zodat ook bij inbraak of brand uw back-up beschikbaar is.
• Verzeker uzelf ervan dat de data in een back-up altijd encrypted (oftewel versleuteld) is, zodat onbevoegden nooit toegang hebben tot uw data.

Het digitale werken betekent ook dat u steeds meer online systemen gaat gebruiken van externe partijen waarin u uw klantgegevens verwerkt. Ook hiervoor geldt dat het belangrijk is dat u goede afspraken maakt, zodat u in alle omstandigheden altijd bij uw klantgegevens kunt. Daarom is het belangrijk om onderstaande punten te checken of bespreekbaar te maken met externe partijen als uw cloudprovider of online softwareapplicaties.

• Zorg ervoor dat met alle externe partijen waar u klantgegevens verwerkt een verwerkersovereenkomst is afgesloten en bewaar deze goed in uw dossier.
• Maak een overzicht van al deze externe partijen, zodat u dit altijd snel inzichtelijk heeft.
• In iedere verwerkersovereenkomst moet het recht staan om een inspectie of audit uit te (laten) voeren.
• Controleer in de verwerkersovereenkomst waar de externe partij uw klantgegevens opslaat. Op grond van de Avg zijn landen binnen de EER als veilig bestempeld. Worden uw klantgegevens opgeslagen buiten de EER ga dan in gesprek met deze partij en vraag om aanvullende borgingen dat uw klantgegevens veilig zijn opgeslagen en niet voor derden inzichtelijk zijn.
• Blijft uw data beschikbaar bij een eventueel faillissement van de externe partij? Een zeer belangrijke vraag waar u in het kader van bedrijfscontinuïteit wel een antwoord op moet hebben.

Heeft u vragen over databeveiliging of bent u op zoek naar ondersteuning en/of tools om dit op een juiste manier in te richten binnen uw onderneming? Neem voor meer informatie contact op met ons kantoor op telefoonnummer 0492-344988 of via het contactformulier.