Van raceauto naar bedrijfsleven: hoe zit het met de beveiliging van data?
In onze vorige blogpost hebben we uitgelegd dat wij een vorm van het Smart Data Platform neerzetten (in demo-opzet) om Dakar-data te verwerken. Daarbij passen we dezelfde werkwijze toe die we hanteren voor klanten. Maar hoe zit het precies met security?
Bij Dakar zijn er grofweg twee niveaus. Een auto genereert gegevens die je deels publiekelijk beschikbaar maakt en deels intern gebruikt. In het bedrijfsleven gaat het echter veel verder. Op welke punten moet je dáár letten?
Smart Data Platform.
1. Toegang tot data
Bepaalde gegevens mogen niet voor iedereen toegankelijk zijn. Informatie omtrent salarissen of ziekmeldingen wil je bijvoorbeeld afschermen. Dat doe je door automatisch te laten beoordelen wie welke data mag zien. Hiervoor kan je aan de voorkant row-level security met Power BI toepassen. 'Onder water' filter je op bepaalde attributen. Zo is het duidelijk of degene die inlogt, voldoet aan de kenmerken die vereist zijn voor het inzien van specifieke gegevens.
2. Categorisering van data
Sommige data mag iedereen zien. Maar hoe bepaal je welke gegevens niet privacygevoelig zijn?
Wanneer je gegevens ontsluit uit bronsystemen (of dit nu auto's, ERP-pakketten of klantdossiers zijn), landen deze ergens. Je kunt ze dan versleuteld naar een data lake sturen, waar het mogelijk is om data te labelen — bijvoorbeeld met het kersverse product Azure Purview. Het makkelijkst is om alle gevoelige gegevens simpelweg buiten beschouwing te laten, maar soms heb je deze nodig om bepaalde koppelingen te leggen. In zulke gevallen kun je de bewuste data aan de voorkant aggregeren (bijvoorbeeld door de deelnemers aan een medewerkerstevredenheidsonderzoek onherkenbaar te maken).
Is dat niet voldoende, dan kun je ook een secure dataplatform neerzetten. Daarbij tref je allerlei extra maatregelen, zoals het verplichten van tweefactorauthenticatie en het loggen van alle handelingen omtrent de gevoelige data. Afwijkingen zijn hiermee ook makkelijk te detecteren: als iemand bijvoorbeeld plotseling op persoonsniveau naar dossiers kijkt, gaat er direct een alarmbel af om misbruik van data te voorkomen.
3. Omgaan met persoonsgevoelige informatie
Zaken als geslacht, leeftijd en naam vallen onder de noemer 'persoonsgevoelige informatie'. Verwerk je een medisch dossier of strafblad, dan werk je met bijzondere persoonsgegevens. Deze laatste categorie kun je het liefst zoveel mogelijk vermijden. Heb je zulke gegevens écht nodig, houd er dan rekening mee dat je aan zeer strenge eisen moet voldoen!
4. Retentie van data
Bedenk dat je data niet eeuwig mag bewaren. Wanneer gegevens niet meer relevant zijn volgens de algemene verordening gegevensbescherming (AVG), moet je ze opschonen. Dit wil zeggen dat je ze archiveert en ontoegankelijk maakt voor eindgebruikers.
De juiste securityvragen en -antwoorden
Heb jij inzicht in gevoelige data? Kun je goed beoordelen of gevoelige gegevens altijd noodzakelijk zijn om in je informatiebehoefte te voorzien? En let je op de verbanden die je legt tussen data, waardoor niet-gevoelige gegevens plotseling wél gevoelig kunnen worden?
Deze vraagstukken kunnen behoorlijk complex zijn. Kun je hier wel wat ondersteuning bij gebruiken?
Bij Wortell hebben we verschillende afdelingen: Mission Critical Azure zet een cloudomgeving op, Smart zet een dataplatform in bij klanten en Managed Detection and Response regelt security. Door dit brede pallet aan diensten kunnen wij een passende oplossing vinden voor elk (security)vraagstuk. Neem gerust eens contact met ons op om jouw mogelijkheden te bespreken.
