Regelgeving

Mei: de maand van de Privacy, passende technische en organisatorische beveiligingsmaatregelen

Passende technische en organisatorische beveiligingsmaatregelen dienen te worden genomen tegen verlies of enige vorm van onrechtmatige verwerking op basis van een risico-analyse. Dat kunnen zowel preventieve als detectieve of repressieve maatregelen zijn. Plan-Do-Check-Act

Door
Albert Smit
,
op
26
-
4
-
2019

Bron: AVGdesk

Maak periodieke rapportage over de gerealiseerde beveiligingsmaatregelen en de effectieve werking daarvan. (Executive Health Scores)

Organisaties dienen volgens de eisen van de AVG over het vermogen te beschikken om de veiligheid van gegevens permanent te garanderen en periodiek nalevingsprogramma’s uit te voeren. (tip: gebruik een Managed Security Service Provider MSSP om delen uit te besteden)

Organisatorische maatregelen richten zich op het realiseren en implementeren van een informatiebeveiligingsbeleid en een informatiebeveiligingsplan. Gebruik hiervoor ook een autorisatiematrix van bijvoorbeeld de ISO 27001.

Het informatiebeveiligingsplan dient te voorzien in voldoende handvatten voor de medewerkers over de manier waarop zij om dienen te gaan met de verwerking van persoonsgegevens. Uiteindelijk dienen begrijpelijke, werkbare en controleerbare procedures te zijn ingericht.


Het periodiek evalueren van de werking van de organisatorische maatregelen dient een onderdeel te zijn van het totale beveiligingsplan. Hierbij verdient het aanbeveling om acties te ondernemen rond beveiligingsbewustzijn door bijvoorbeeld tests uit te voeren, waarbij door daartoe aangewezen functionarissen wordt vastgesteld of onrechtmatige toegang tot persoonsgegevens mogelijk is. Denk hierbij aan vooropgezette phising campaigns, security audits en penetratietesten.

Informatiebeveiliging vereist vooral ook technische maatregelen. Vaak wordt gesteld dat de mens de zwakste schakel is en daarmee de techniek minder belangrijk is. Dit wekt helaas een verkeerde indruk. Immers, een slecht beveiligd gedigitaliseerd systeem kan niet worden  gecompenseerd door een mens. tip: zorg voor technische maatregelen op ALLE lagen van de systemen, door de lagen goed in kaart te brengen kan je hier eenvoudig een risico analyse op uitvoeren.

Dat kan worden vergeleken met het besturen van een auto zonder remmen, veiligheidsriemen en achterlichten door een automobilist met een goede rijinstructie. De auto moet veilig zijn. Dit geldt hetzelfde voor een geautomatiseerde verwerking van persoonsgegevens. (Awareness trainingen)

De AVG stelt dat persoonsgegevens moeten worden beveiligd naar de stand van de techniek en dat daarbij een kostenafweging moet worden gemaakt.

Hier geldt het proportionaliteitsprincipe. Naarmate de gevoeligheid en het volume van gegevens toenemen zijn meer stringente beveiligingsmaatregelen vereist.
                                           
Het treffen van beveiligingsmaatregelen met het oog op netwerk- en informatiebeveiliging, het monitoren van die informatiebeveiliging en het handhaven van een bepaald vertrouwelijkheidsniveau is de taak/verantwoordelijkheid van de verwerkingsverantwoordelijke.

Doel:  bescherming tegen onrechtmatige toegang, kwaadaardige acties en incidentele gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de verzamelde gegevens in het gedrang brengen en beveiliging van de hiermee verband houdende diensten die door netwerken of systemen worden geboden.

​Hieronder vallen ook beveiligingsmaatregelen tegen virussen, malware, denial of service en andersoortige aanvallen op computers en netwerken. Middelen die hiervoor kunnen worden ingezet zijn firewalls, intrusion detection en/of prevention systemen, antimalware software. Zogenaamde remote wipe services kunnen worden toegepast om gegevens op gedistribueerde systemen en remote devices te kunnen wissen indien deze in mogelijk verkeerde handen zijn gevallen.

Het treffen van dit soort beveiligingsmaatregelen tegen ongeautoriseerde toegang en andere incidenten impliceert dat medewerkers en betrokkenen actief in systemen worden gemonitord en dat securityloggings worden aangelegd om inbreuken en ongeautoriseerde toegang te kunnen vaststellen. Hoewel dit een inbreuk tot gevolg kan hebben op de privacy van individuen kan sprake zijn van een gerechtvaardigd belang om deze instrumenten in te zetten en dergelijke verzamelingen van persoonsgegevens aan te leggen. Hier geldt overigens dat de privacy principes onverkort van toepassing blijven. De risico’s van dergelijke verwerkingen van persoonsgegevens dienen juist te worden ingeschat en de beveiliging van beveiligingslogbestanden zelf dient aan hoge eisen te voldoen. De praktijk leert dat dergelijke monitoring en het aanleggen van securitylogs in zekere zin ook weer security risico’s introduceren. Zorgvuldigheid blijft hierbij  zeer belangrijk. Het afschermen van beveiligingsmaatregelen en logbestanden tegen misbruik en manipulatie is essentieel. Een systemadministrator mag logfiles niet kunnen wijzigen of weggooien. Handhaving van functiescheidingen binnen de IT-organistatie en -systemen is een belangrijke maatregel (Segregation of Duties).

De AVG vermeldt dat zij technologieneutraal is. De digitale technologie is nog steeds in ontwikkeling. Wat vandaag veilig is, kan morgen achterhaald zijn. De AVG stelt dat de beveiliging naar de stand van de technologie moet zijn opgezet en dat daarbij een kosten-/batenafweging moet worden gemaakt. Toch biedt de AVG, zij het zeer beperkt, wel enige aanwijzingen.


Zo worden pseudonimisering en versleuteling van persoonsgegevens als maatregelen verplicht gesteld waar dit als passend wordt geacht om de privacybescherming van betrokkenen te verhogen. Daarbij wordt tevens de aanwijzing gegeven dat het beheer van sleutels of andere attributen die een pseudoidentiteit of geanonimiseerde gegevens kunnen herleiden, in een andere omgeving dienen te worden bewaard en alleen toegankelijk mogen zijn voor daartoe gemachtigde functionarissen. Beveiliging van deze sleutels en attributen is  essentieel alsook een passende ‘sleutelprocedure’.

Een andere belangrijke verplichting in de AVG is ‘het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te garanderen’. Dit betreft ook het vermogen om fysieke of technische incidenten als het gaat om de beschikbaarheid van de toegang tot persoonsgegevens te herstellen.  
Het bovenstaande impliceert dat maatregelen worden getroffen die het mogelijk maken dat de beveiliging én de kwaliteit van persoonsgegevens periodiek worden getoetst, danwel dat er voorzieningen zijn getroffen die de beveiliging en kwaliteit van de persoonsgegevens monitoren. Het implementeren van mechanismen en technische voorzieningen om  afwijkingen en inbreuken  realtime te signaleren, kunnen hierbij zowel effectief als efficiënt zijn. Hier geldt wederom dat een risicoafweging en een afweging van uitvoeringskosten moet worden gemaakt. Voor het afleggen van verantwoording of voor het uitvoeren van privacy en security audits is het essentieel dat voldoende bewijsvoering uit de technische systemen zelf kan worden verkregen.

 

Hulp nodig bij het bepalen of uw organisatie voldoende technische en organisatorische beveiligingings maatregelen heeft getroffen? Mail of Bel AVGdesk.nl

Recente berichten

24
Apr
Apr
12
Regelgeving

Het huidige niveau van privacy awareness in Nederland is niet hoog bij kleine en middelgrote organisaties. Met de huidige Europese privacywetgeving is het van groot belang dat deze awareness er snel komt en ook wordt bijgehouden. Start met een Awareness jaar- en inwerkplan en blijf verbeteren!

24
Apr
Apr
12
Tips

Een jaar na de start van de AVG ziet de wereld op gebied van de gegevensbescherming er een stuk beter uit. De consument denkt beter na over zijn/haar privacy. Bedrijven beoordelen vaker of informatie bewaren echt nodig en informatiebeveiliging is hot. Tijd dus voor de AVG Compliance Check

Terug naar alle adviezen