Implementatie ticketsysteem MKB

Hoe je de beveiliging van je ticketsysteem controleert op AVG-naleving

Hendrik Jansen Hendrik Jansen
· · 6 min leestijd

Stel: je verkoopt tickets voor een festival, een conferentie of een wedstrijd. Duizenden klanten vertrouwen je hun gegevens toe.

Inhoudsopgave
  1. Waarom AVG en je ticketsysteem niet los van elkaar bestaan
  2. Stap 1: begin met een risicoanalyse van je verwerkingen
  3. Stap 2: beperk de toegang met een autorisatiematrix
  4. Stap 3: versleutel je gegevens, zowel bij opslag als bij transport
  5. Stap 4: kies bewust je ticketleverant
  6. Step 5: test, monitor en verbeter continu
  7. De kern: beveiliging is geen technisch probleem, het is een keuzeprobleem

Naam, e-mailadres, betaalgegevens, soms zelfs hun adres. En dan? Dan hopen we maar dat alles goed zit.

Maar hopen is geen strategie. Voordat je ook maar één ticket verkoop, moet je écht weten of je systeem AVG-proof is. Niet morgen, nu. Want een datalek rondom je evenement is niet alleen een juridisch probleem, het is een reputatieknoop die je moeilijk weer kunt ontwarren.

De goede nieuws: je hoeft geen cybersecurity-expert te zijn om dit goed te doen. Je moet wel systematisch te werk gaan.

In dit artikel neem je mee door de belangrijkste stappen om de beveiliging van je ticketsysteem écht te controleren op AVG-naleving. Geen droge theorie, maar concrete dingen die je vandaag nog kunt doen.

Waarom AVG en je ticketsysteem niet los van elkaar bestaan

Laten we even helder zijn over wat er speelt. Een ticketsysteem verwerkt persoonsgegevens. Punt.

Iedereen die een ticket koopt, laat gegevens achter. Volgens de AVG ben je als organisator verantwoordelijk voor de bescherming van die gegevens. Niet je ticketleverancier, niet je IT-partner: jij.

De Autoriteit Persoonsgegevens is duidelijk: beveiliging is maatwerk. Dat betekent dat je zelf moet bepalen welke maatregelen nodig zijn, op basis van de risico's die bij jouw specifieke situatie horen.

En die risico's zijn niet denkbeeldig. Ticketsystemen zijn een geliefd doelwit voor hackers. Ze bevatten namen, e-mailadressen, betaalgegevens en soms zelfs gezondheidsinformatie (denk aan toegankelijkheidsvragen).

Een lek daarvan kan leiden tot boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. Dus: laten we het goed doen.

Stap 1: begin met een risicoanalyse van je verwerkingen

Voordat je ook maar één beveiligingsmaatregel treft, moet je weten waar je bang voor moet zijn.

Een risicoanalyse is daarom niet optioneel, het is de basis van alles. Je bekijkt welke persoonsgegevens je verzamelt, waar ze worden opgeslagen, wie er toegang heeft en wat er kan misgaan.

Stel je voor: je gebruikt een ticketsysteem dat gegevens opslaat in de cloud. Waar staat die cloud? Binnen de EU of daarbuiten? Wie heeft er toegang tot de database?

Worden er back-ups gemaakt, en zo ja, zijn die versleuteld? Dit soort vragen beantwoord je in je risicoanalyse.

De Autoriteit Persoonsgegevens raadt aan om dit niet eenmalig te doen, maar het jaarlijks te herhalen. Want je systeem verandert, je team verandert, en de dreigingen veranderen.

Stap 2: beperk de toegang met een autorisatiematrix

Hier gaat het om een van de meest onderschatte maatregelen. Een autorisatiematrix is simpelweg een overzicht van wie in jouw organisatie toegang heeft tot welke gegevens.

En ja, je moet dit al invoeren bij een vrij laag risiconiveau. Dus ook als je maar vijf medewerkers hebt.

Denk eens na: heeft jouw marketingmedewerker echt toegang tot alle klantgegevens? Heeft de vrijwilliger op de deur toegang tot het volledige ticketsysteem? Waarschijnlijk niet. Met een autorisatiematrix leg je per rol vast wat iemand wél en niet mag zien. En het belangrijkste: je houdt die matrix actueel. Wil je het inloggen voor medewerkers veiliger maken? Stel single sign-on in voor je ticketsysteem. Iemand vertrekt?

Toegang er direct uit. Iemand wisselt van functie?

Pas de rechten aan. Dit klinkt logisch, maar in de praktijk wordt het nagelaten. Vaak. Naast de autorisatiematrix is meerfactorauthenticatie (MFA) een must.

Gebruik meerfactorauthenticatie, altijd

Dat betekent dat inloggen niet alleen met een wachtwoord gaat, maar met een tweede verificatie. Bijvoorbeeld een code op je telefoen of een vingerafdruk.

De Autoriteit Persoonsgegevens raadt dit aan bij alle systemen waar toegangscontrole op staat.

En een ticketsysteem staat vol met gevoelige gegevens, dus: schakel het in. De meeste moderne systemen zoals Eventbrite, Paylogic of Ticketmaster ondersteunen dit standaard. Beheer je rollen en rechten in het ticketsysteem dus goed; geen excuus dus.

Stap 3: versleutel je gegevens, zowel bij opslag als bij transport

Versleuteling is het verschil tussen een hacker die jouw database steelt en er niets mee kan doen, en een hacker die meteen honderden klantgegevens in handen krijgt.

Er zijn twee momenten waarop je gegevens moet versleutelen: wanneer ze worden opgeslade (at rest) en wanneer ze worden verzonden (in transit). Voor opslag betekent dit dat je database versleuteld is.

Voor transport betekent dit dat je ticketsysteem gebruikmaakt van HTTPS, niet HTTP. Kijk eens naar de adresbalk van je ticketverkooppagina. Zie je het slotje? Dan zit HTTPS goed.

Zie je "niet beveiligd"? Dan is het tijd om je webhoster te bellen.

Dit is geen detail, dit is fundament.

Stap 4: kies bewust je ticketleverant

Veel organisaties werken met externe partijen voor hun ticketverkoop. Dat is prima, maar het ontslaat je niet van je verantwoordelijkheid.

Je moet een verwerkersovereenkomst hebben. In die overeenkomst staat wat de leverantier wel en niet mag met je klantgegevens, hoe zij beveiliging garanderen, en wat er gebeurt bij een datalek. Stel de harde vragen.

Waar worden de gegevens opgeslagen? Worden er back-ups gemaakt?

Hoe snel wordt een lek gemeld? De AVG schrijft voor dat een lek binnen 72 uur moet worden gemeld bij de Autoriteit Persoonsgegevens. Zorg ervoor dat je leverantier dat ook doet.

En check of ze ISO 27001-gecertificeerd zijn of een vergelijkbaar beveiligingskader hanteren. Door je ticketsysteem in te richten volgens ISO of NEN-normen, versterk je de informatiebeveiliging aanzienlijk. Dat is geen garantie, maar het is een sterk signaal.

Step 5: test, monitor en verbeter continu

AVG-naleving is geen eenmalige check. Het is een continu proces.

Regelmatig moet je testen of je beveiliging ook werkt zoals je denkt. Dat kan met een penetratietest, waarbij een ethische hacker probeert in te breken in je systeem. Of met een interne audit, waarbij je naloopt of iedereen nog steeds de juiste toegangsrechten heeft.

Monitor ook je systeem op afwijkende activiteit. Als er op 3 's nachts iemand inlogt vanuit een ander land, wil je dat weten.

Veel systemen bieden hier automatische meldingen voor. Gebruik ze. En documenteer alles. Want als de Autoriteit Persoonsgegevens langskomt, wil je kunnen laten zien wat je hebt gedaan. Niet wat je van plan was te doen, maar wat je daadwerkelijk hebt gedaan.

De kern: beveiliging is geen technisch probleem, het is een keuzeprobleem

De technologie om je ticketsysteem AVG-proof te maken bestaat. De tools zijn er, de richtlijnen zijn er, de kennis is er.

Wat het vaak mist, is de discipline om het ook écht te doen. Niet als er iets misgaat, maar voordat het misgaat. Dus: doe die risicoanalyse.

Stel je autorisatiematrix op. Schakel meerfactorauthenticatie in. Versleutel je gegevens. Kies je leverantier met zorg. En blijf controleren.

Want de AVG vraagt niet of je perfect bent. Ze vraagt of je redelijkerwijs alles hebt gedaan om persoonsgegevens te beschermen. En dat, dat kun je vandaag nog beginnen.

Lees ook
Hoe je een ticketsysteem implementeert in een MKB zonder externe consultant Wat is een implementatieplan voor een ticketsysteem en hoe maak je er een Hoe je medewerkers meekrijgt bij de overstap naar een nieuw ticketsysteem Wat zijn de meest gemaakte fouten bij het inrichten van een nieuw ticketsysteem Hoe je ticketcategorieën opzet die ook over twee jaar nog logisch zijn Hoe je een proefperiode van een ticketsysteem echt nuttig gebruikt
Hendrik Jansen
Hendrik Jansen
ITSM consultant en ITIL expert

Hendrik helpt organisaties met het optimaliseren van hun IT service management processen.

Meer over Implementatie ticketsysteem MKB

Bekijk alle 22 artikelen in deze categorie.

Naar categorie →
Lees volgende
Hoe je een ticketsysteem implementeert in een MKB zonder externe consultant
Lees verder →