Ga verder naar de inhoud

In­for­ma­tiema­na­ge­ment

De advocaat werkt per definitie met vervangende informatie. We vertellen u hieronder u moet voldoen om de informatie voldoende te beveiligen.

Leen Bosmans

Medewerker-specialist opleiding
Leen Bosmans
cybercriminaliteit Beveiliging Datalek

Deel dit artikel

Be­vei­li­gings­maat­re­ge­len

Norm: De advocaat werkt per definitie met vertrouwelijke informatie. Gegevens waarover u beschikt, zowel die van uzelf als die van uw cliënten, moeten afgeschermd worden van derden en onbevoegden.

Cybercriminaliteit neemt alsmaar toe, in diverse vormen:

  • besmetting met ransomware (zoals cryptolockers), waarbij ‘losgeld’ moet betaald worden om opnieuw toegang te krijgen tot de ‘gegijzelde’ systemen of informatie
  • datadiefstal
  • wachtwoorddiefstal (voor bemachtiging of doorverkopen van data)
  • manipulatie van financiële transacties
  • afluisteren
  • het toegankelijk maken van het systeem voor vervolgaanvallen
  • verstoring van technologie

Veiligheidssoftware en controles (zoals antivirus) op alle IT-systemen en hardware is aanwezig en steeds up to date.

Een systeem van toegangscontrole voor bedienden en andere personen die toegang hebben tot gevoelige data is aanwezig.

De advocaat neemt volgende beveiligingsmaatregelen:

  • Het netwerk, de servers en alle computers binnen kantoor zijn beveiligd, en informatie wordt beveiligd opgeslagen.
  • Onbevoegden hebben geen toegang tot vertrouwelijke gegevens. De toegang tot software en bestanden is geregeld met het gebruik van een sterk persoonsgebonden gebruikersnaam en wachtwoord.
  • Het kantoor houdt de geïnstalleerde software zo goed mogelijk up-to-date en geeft prioriteit aan beveiligingsupdates.
  • Het kantoor installeert geen onnodige software en maakt geen gebruik van kwetsbare software, zoals Flash (in webbrowsers). Bij Adobe Acrobat PDF reader wordt altijd gebruik gemaakt van de meest recente update.
  • Indien het kantoor werkt via cloud computing, neemt het kantoor de richtlijnen van de CCBE in acht. Lees hier de CCBE Guidelines on the use of cloud computing services by lawyers
Unsplash - Kaitlyn Baker
Unsplash - Kaitlyn Baker

Back up en recovery procedures zijn aanwezig voor de systemen, data en informatie die nodig zijn voor de kantoorwerking.

Het kantoor maakt elke dag een back-up en op iedere laatste dag van de maand een maandback-up. In veel gevallen wordt de back-up automatisch gemaakt en ontvangt de interne automatiseringsverantwoordelijke per e-mail een rapport van de back-up.

De back-ups worden brandvrij opgeborgen in de daarvoor bestemde kast (kluis). De interne automatiseringsverantwoordelijke bewaart de back-ups van andere dagen van de week buiten het kantoor en neemt die op de dag waarop de tape weer nodig is, mee naar kantoor.

Ook de maandback-up wordt (bij voorkeur buiten kantoor) in een brandvrije kast bewaard.

De interne automatiseringsverantwoordelijke test periodiek het terugzetten van de back-up.

Indien het kantoor werkt met een extern IT-bedrijf of met cloud computing, moet het duidelijk zijn welk back-upregime het kantoor hanteert.

  • Er zijn specifieke maatregelen genomen om apparaten als smartphones en tablets veilig te maken. De advocaten en medewerkers gebruiken altijd ten minste een pincode of wachtwoord om een computer of smartphone te ontgrendelen. De apparaten kunnen alleen via een sterke authenticatie contact maken met het bedrijfsnetwerk, en worden volledig gescand voordat ze met het netwerk worden verbonden.
  •  Het kantoor gaat zorgvuldig om met het gebruik van draadloze netwerken binnen of buiten kantoor, om het risico van afluisteren of ‘hacking’ zo beperkt mogelijk te houden.
  • Buiten kantoor gebruikt de advocaat geen internetverbinding of netwerk van derden, maar wel bijvoorbeeld de eigen telefoon om de laptop aan internet te koppelen (‘tethering’). Bij voorkeur via een VPN-verbinding, omdat mobiele datanetwerken niet per definitie veilig zijn.
  • Het kantoor gebruikt geen privécomponenten (zoals USB-sticks, extern geheugen, privé tablet of privé smartphone) in het zakelijke netwerk.                             
  • Het kantoor monitort het internetverkeer om aanvallen op de kantoorsystemen te kunnen detecteren.
  • Het kantoor controleert binnenkomend internetverkeer en e-mailverkeer door firewalls, speciale antivirus- en antispyware software zo goed mogelijk op virussen, spyware, ransomware en soortgelijk ongerief. Bevat een e-mailbericht een virus of spy-/ransomware, dan wordt het automatisch tegengehouden en licht het kantoor de verzender en ontvanger daarover in via het virusprogramma. Het kantoor beschermt gevoelige informatie altijd met een login.                       
  • Het kantoor maakt bij het versturen of ontvangen van persoonsgegevens of bij het inloggen op systemen uitsluitend gebruik van een versleutelde verbinding.  
  • In alle uitgaande berichten via de e-mail is een disclaimer opgenomen. Daarvoor is een standaard bericht opgesteld dat verschijnt bij het aanmaken van een nieuw bericht:

    "De informatie verzonden met dit e-mailbericht is uitsluitend bestemd voor de geadresseerde[n] en kan persoonlijke of vertrouwelijke informatie bevatten, beschermd door een beroepsgeheim. Gebruik van deze informatie door anderen dan de geadresseerde[n] en gebruik door hen die niet gerechtigd zijn van deze informatie kennis te nemen, is verboden. Indien u niet de geadresseerde bent of niet gerechtigd bent tot kennisneming, is openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking van deze informatie aan derden niet toegestaan en wordt u verzocht dit bericht terug te sturen en het origineel te vernietigen.''   
  • Het kantoor controleert het beveiligingsbeleid jaarlijks.

Ook in het kader van de GDPR is beveiliging noodzakelijk.

Richtlijnen van de CCBE m.b.t. cloud computing binnen een kantoor

Acties bij een in­for­ma­tie­be­vei­li­gings­in­ci­dent

Dit moet u doet bij een informatiebeveiligingsincident:

  • Allereerst – al dan niet via technische ondersteuning – de controle terugwinnen over de systemen, informatie en werkzaamheden
  • Onderzoek doen naar wat er heeft plaatsgevonden en passende maatregelen te nemen. Dat kan inhouden dat ik de systemen tijdelijk buiten gebruik stel, om verdere invloed van buitenaf te voorkomen en met meer zekerheid te kunnen vaststellen wat er precies is gebeurd
  • Beveiligingsincidenten administreren (als ik niet kunnen aantonen dat ik verantwoord met informatiebeveiliging omga, kan dat invloed hebben op mijn aansprakelijkheid)
  • Een crisis- en communicatieplan opstellen om betrokkenen op de hoogte te brengen
  • Indien noodzakelijk melding maken van het incident

Per 1 januari 2016 geldt de meldplicht datalekken. Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. Denk daarbij aan een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. Aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt, bijvoorbeeld cliënten of werknemers van ons kantoor) moet het lek in beginsel ook worden gemeld. U moet elk datalek melden aan de Gegevensbeschermingsautoriteit, tenzij het onwaarschijnlijk is dat het een risico inhoudt voor de betrokkenen.

Indien een melding aan de Gegevensbeschermingsautoriteit vereist is, moet de melding gebeuren uiterlijk binnen 72 uur nadat u kennis heeft genomen van het datalek.

U moet een datalek verder onverwijld melden aan de betrokkenen zelf wanneer het waarschijnlijk is dat het datalek een hoog risico inhoudt voor die betrokkenen. Er moet geen melding worden gedaan wanneer de corrigerende maatregelen ervoor zorgen dat het waarschijnlijk hoog risico voor de betrokkenen zich niet (langer) kan voordoen.

Ook interessant

Cybersecurity

Beveiliging

Advocaten moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een beveiligingsniveau waarborgen dat is afgestemd op het risico dat gepaard gaat met hun verwerkingen van persoonsgegevens.

Meer lezen
Code
GDPR Digitalisering

Datalekken

Indien zich een datalek of “inbreuk in verband met de persoonsgegevens” voordoet, hebt u als advocaat een documentatie- en (in bepaalde gevallen) meldplicht aan zowel de Gegevensbeschermingsautoriteit als de betrokkenen. Daarom is het raadzaam om een procedure op te stellen.

Meer lezen
Kantoororganisatie

Peer review

Een peer review is een collegiale toetsing waarbij een advocaat als auditor oordeelt of uw kantoor aan de kwaliteitseisen voldoet. Zo gaat u op een grondige manier na of uw kantoor op de juiste manier werkt en of u uw dienstverlening kunt optimaliseren. U krijgt een gedetailleerd en strikt vertrouwelijk rapport met eventuele verbeterpunten.

Meer lezen

Gerelateerd nieuws

Deze berichten verschenen recent:
GDPR

GDPR-wijzer geactualiseerd

De GDPR-wijzer is een volledige toolkit voor u als advocaat over de praktische implementatie van de GDPR. De GDPR is geen statisch document. De interpretatie ervan en de concrete to do’s die daaruit volgen hebben daarom soms nood aan een herziening met een frisse blik. Om die reden zijn er recent tien GDPR-wijzeronderwerpen geüpdatet en is één extra onderwerp toegevoegd. Elk onderwerp bestaat uit een beknopte toelichting, concrete to do’s, praktische modellen en antwoorden op uw veelgestelde vragen.

Meer lezen
Collectieve voorzieningen Cybercriminaliteit

Identiteitsfraude: laat u of uw medewerker niet vangen met valse e-mails voor betalingsverzoeken

We waarschuwen u voor een groeiende bedreiging in de vorm van identiteitsfraude via e-mail en CEO-fraude, waarbij oplichters misleidende e-mails sturen die lijken te zijn verzonden door vertrouwde leidinggevenden die een betalingsopdracht geven of vertrouwde begunstigden (cliënten of advocaten van de tegenpartij).

Meer lezen
GDPR Kantoororganisatie Witwaspreventie

Herziene modelovereenkomst en informatieformulieren voor advocaten en cliënten

We actualiseerden de modelovereenkomst tussen advocaat en private cliënt (consument). Daarnaast stellen we een bijgewerkte versie ter beschikking van diverse formulieren om te voldoen aan uw informatieverplichtingen die voortvloeien uit het Wetboek van Economisch Recht, de GDPR, de witwaspreventiewet, de Codex Deontologie en het Gerechtelijk Wetboek.

Meer lezen
Cybercriminaliteit Digitalisering

Gebruik vanaf 1 januari 2024 itsme® om veilig in te loggen via DPA

Vanaf 1 januari 2024 is het verplicht om in te loggen via DPA met uw advocatenkaart gekoppeld aan itsme® of met een sterk wachtwoord dat elke 60 dagen wijzigt. Dat geldt niet alleen voor alle DPA-applicaties, maar voortaan ook voor alle OVB-applicaties en onze website www.ordevanvlaamsebalies.be. Deze nieuwe aanpak vloeit voort uit ons streven naar veilige cybersecurity en draagt bij aan zowel uw eigen online bescherming als die van uw cliënten. Bovendien is het een verplichting die de cyber-verzekeraars ons opleggen willen we überhaupt nog gedekt zijn.

Meer lezen
GDPR Digitalisering Podcast

Hoe kunnen advocaten intelligent omspringen met artificiële intelligentie?

Digitalisering is een van de speerpunten in het beleidsplan van de OVB, ontwikkelingen zoals ChatGPT doen advocaten nadenken over een zinvol en vooral verantwoord gebruik van artificiële intelligentie in de uitoefening van hun beroep. In deze podcast Ten Gronde schetst Olivier Sustronck, advocaat maar ook gecertificeerd Data Protection Officer de digitale toekomst van de advocatuur.

Meer lezen
Man op kantoor
Cybercriminaliteit

Opgelet: fraude onder de valse naam van ING

We kregen bericht dat er cybercriminelen de advocatuur in het vizier nemen vanuit een nep ING-hoedanigheid.

Meer lezen
Gerechtelijk recht GDPR

Databank van vonnissen en arresten: een gemiste kans

Meer lezen
Persoonsgegevens
Europees & internationaal recht GDPR

Klacht van Avocats.be over overname persoonsgegevens van advocaten op externe website

Meer lezen
Europees & internationaal recht GDPR

Boete aan advocatenkantoor wegens openbaar maken van een dossier van cliënt via WhatsApp-groep

Meer lezen
Ontdek alle nieuwsberichten