web analytics

GDPR en Linux

Print Friendly, PDF & Email

GDPR

General Data Protection Regulation (GDPR), in het Nederlands vertaald als Algemene Verordening Gegevensbescherming (AVG) is een geheel van regels om de gegevens van Europese burgers te beschermen. Het is de nieuwe wet op de Privacy.
Info vind je onder meer op website van de privacycommissie:
https://www.privacycommission.be/nl/algemene-verordening-gegevensbescherming-0

AVG is in feite het resultaat van een herziening van de Europese privacy wetgeving uit 1995; de Data Protection Directive. Deze Directive werd door elke lidstaat anders geïnterpreteerd. Dat heeft geleid tot onduidelijkheden en versplintering. Door de razendsnelle evolutie in de digitale wereld en ontwikkelingen zoals de cloud en sociale media was er meer dan ooit nood aan modernisering van de wetgeving.

Vanaf 26 mei 2018 moeten de persoonsgegevens die bedrijven en organisaties (VZW’s !!) verzamelen voldoen aan de nieuwe set regels van de AVG.

Disclaimer: Ik ben geen jurist en de informatie hier heeft ook geen juridische waarde

Heb ik als gewone gebruiker iets met AVG te maken.

Aangezien de wetgeving enkel van toepassing is op bedrijven en organisaties die persoonsgegevens verzamelen (bv. ledenlijsten, contactadressen leveranciers, …) heb je als thuisgebruiker normaal niks te doen met betrekking tot de AVG.

Mocht je een eigen server draaien met bv. een forum, dan doe je er best aan om na te gaan wat je moet veranderen aan je systeem om in regel te zijn met het AVG.
Het documentje https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN NL – V2.pdf is een goed startpunt.

Stel dat je bij een evenement verantwoordelijk bent voor de inschrijvingen. Dat evenement wordt niet ingericht door een bedrijf maar wel door een groep vrienden. Val je dan onder de AVG? Neem het veilige voor het onveilige en beschouw jullie vriendengroep als een feitelijke vereniging en dan val je wel onder de AVG.

Hou je als gewone gebruiker persoonsgegevens bij op je PC/laptop (bv. een adressenlijst om mailings te versturen in het kader van een Gouden bruiloft) dan zijn er toch enkele kleine zaken waar je moet op letten waarbij het voorkomen van datalekken het belangrijkste is.

Wat zijn persoonsgegevens

De definitie in de wetgeving laat veel aan de verbeelding over. Letterlijk luidt de omschrijving van persoonsgegevens: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.

Met andere woorden, onder persoonsgegevens mag je alle informatie verstaan waarmee je een persoon kan herkennen. Een caveat is dat de regel niet van toepassing is op “de persoonsgegevens van overleden personen”, maar daarbuiten zijn foto’s, naam, adres of een rijksregisternummer dus allen persoonsgegevens. Maar wat met iets als een IP-adres of een Twitter-handle of een e-mail adres?

De regel moet je als volgt interpreteren:

“Elke vorm van informatie die naar een natuurlijke persoon kan leiden, zijn persoonsgegevens.”

en dus zijn digitale gegevens, zoals gebruikersnamen, ook persoonsgegevens. Immers, een pseudoniem kan gelinkt worden aan een naam, en een naam aan een persoon. Een Twitter-handle, en overigens ook tweets, zijn dus persoonsgegevens. Hetzelfde met een IP- of een e-mail adres. Ze kunnen, al dan niet met aanvullende gegevens, terugkoppelen naar een persoon.

Besluit: Iedereen heeft dus persoonsgegevens op zijn/haar computer staan en doet er dus best aan basisbeveiligheidsmaatregelen te gebruiken om deze van de buitenwereld af te schermen.

Datalekken

Datalekken worden in het AVG geformuleerd als:

Artikel 4, 12 GDPR definieert een datalek als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens. 

Er doet zich met andere woorden een datalek voor zodra persoonsgegevens dreigen ongeoorloofd openbaar te worden gemaakt, verloren te gaan, vernietigd of gewijzigd te worden. Hierbij is het niet nodig dat er effectief data gebruikt worden door een derde. Het feit dat een onbevoegde toegang heeft tot de gegevens is voldoende.

Zo is er sprake van een datalek wanneer een computer gehackt wordt die persoonsgegevens bevat, los van het feit of deze gegevens gekopieerd of beschadigd worden.

Wanneer bv. een usb-stick verloren gaat of een e-mail per ongeluk naar het verkeerde adres wordt gestuurd vindt er een datalek plaats.

Hoe datalekken voorkomen

Het is hier niet de bedoeling om de volledige AVG te bespreken, maar enkele interessante tips mee te geven waarbij het risico op datalekken voor een modale thuisgebruiker verminderd kan worden.

Het is nogal wiedes dat, wanneer je persoonsgegevens op een digitaal medium staan hebt, bv. een USB-stick en je deze verliest of ergens achterlaat, dat je een datalek veroorzaakt. Het is naïef om te verwachten dat dit je nooit zal overkomen, maar de realiteit is anders.

Je kan een onderscheid maken tussen hardware, software en persoonlijke maatregelen om datalekken te voorkomen.

Op hardware gebied en daarmee bedoel ik je PC/Laptop valt er weinig te doen. Enkel wanneer je je laptop buitenshuis gebruikt kan die ontvreemd worden:

Laat je apparaat in een publieke plaats niet onbeheerd achter. Als iemand er in slaagt om het apparaat mee te gritsen heeft hij/zij uren de tijd om te proberen aan je gegevens te geraken. Iedere laptop heeft een Kessington slot waar je een beveiligingskabel aan kan bevestigen (https://www.kensington.com/nl/be/4480/beveiliging). Maak je laptop dan ergens aan vast.

 

Op software gebied kan je ook meerdere maatregelen nemen zoals:

  • Kijk na of je systeem de laatste updates heeft doorgevoerd. Linux updates voeren de updates door voor alle geïnstalleerde toepassingen.
  • Zorg dat je login met een wachtwoord beschermd wordt.
  • Als je die gegevens bijhoudt in een rekenblad (bv. LibreOffice Calc) zorg dan dat het bestand met een wachtwoord beschermd is. Een modale gebruiker zal niet te veel steken in het proberen de toegang tot het bestand te forceren.
  • Vercijfer je /home map. Dat kan je doen tijdens de installatie van je distro.
    Wens je nog verder te gaan, dan kan je eventueel je ganse partitie of harde schijf vercijferen.
  • Maakgebruik van de mogelijkheid om de toegang tot je systeem te blokkeren via een automatische schermbeveiliging die na een aantal minuten actief wordt, Ook kan je met de toetsencombinatie Alt-Ctrl-L je scherm locken.
  • Als je een e-mail moet versturen naar meerdere personen, plaats de e-mail adressen onder BCC (Blind Carbon Copy) en niet onder CC. Bij CC kan je iedereens e-mail adres zien, bij BCC niet.
  • Verwijder ‘oude’ persoonsgegevens (foto’s !!)  die je niet meer nodig hebt, of plaats die tenminste op een off-line backup apparaat.

En wat met gegevens in de cloud?

Ook daar gelden dezelfde regels. Alleen weet jij niet waar je gegevens zijn opgeslagen, wie er daar toegang tot heeft, welke de veiligheidsmaatregelen tegen digitale inbraak zijn.

Momenteel is enkel OneDrive van Microsoft de enige clouddienst die GDPR-compliant is. Van Dropbox en WeTransfer is geweten dat die nu nog niet GDPR-compliant zijn, maar je mag er van uitgaan dat ze tegen eind mei 2018 wel in orde zullen zijn.

Besluit

Als gewone gebruiker val je niet onder de AVG maar je moet je wel beschermen tegen datalekken.
Maak je dus vertrouwd met de mogelijke vercijferingsmethodes die je systeem je aanreikt en implementeer deze op alle apparaten of bestanden die je buitenshuis gaat gebruiken.

 

 

 

Spread the word. Share this post!

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: