Databeveiliging: hoe ga je ermee om en waar moet je aan denken?
De wetgeving rond informatiebeveiliging wordt steeds strenger en veel organisaties komen hierdoor voor een uitdaging te staan. Waar begin je met het aanpassen van je bedrijfsvoering om aan deze wetgeving te voldoen, welke maatregelen moet je treffen en wat houden al die wetten eigenlijk in? Brisk ICT maakt het inzichtelijk voor u door praktische oplossingen, aandachtspunten, maatregelen en tips te geven. De komende weken lichten we toe wat er qua wetgeving staat te gebeuren en welke (technische) maatregelen u kunt treffen om databeveiliging binnen uw organisatie goed te organiseren en te voldoen aan deze wetgeving.
Wet Bescherming Persoonsgegevens (WBP)
De WBP bevat regels voor de omgang met persoonsgegevens. Per 25 mei 2018 vervalt deze wet en gaat de Europese privacywet, de General Data Protection Regulation (GDPR), ook wel Algemene Verordering Persoonsgegevens (AVG) in.
Algemene Verordening Gegevensbescherming (AVG)
De AVG is door het Europees Parlement aangenomen op 6 april 2016 en geldt voor elke organisatie die binnen de EU opereert en persoonsgegevens verwerkt of laat verwerken. De AVG is per 25 mei 2018 van toepassing en is vanaf dan de enige privacywet die geldt in de hele Europese Unie. De Wet Bescherming Persoonsgegevens is een nationale wet en wordt vervangen door de AVG.
In artikel 32 van de AVG wordt gesteld: De verantwoordelijk organisatie moet de beveiliging van persoonsgegevens permanent garanderen. Het permanent garanderen van de beveiliging is van belang omdat een datalek immers niet te repareren is. De AVG vraagt om Privacy by Design: al bij de ontwikkeling van producten en diensten moet aandacht besteedt worden aan privacyverhogende maatregelen, ook wel privacy enhancing technologies. Ook dient rekening gehouden te worden met dataminimalisatie: een organisatie moet zo min mogelijk persoonsgegevens verwerken, oftewel enkel de gegevens die voor het doel van de verwerking noodzakelijk zijn. Een andere maatregel is pseudonimisering: hiermee wordt volgens de verordening bedoeld dat de persoonsgegevens zodanig verwerkt worden, dat de gegevens niet meer aan een specifiek persoon gekoppeld kunnen worden. Zo kan bijvoorbeeld de naam of het burgerservicenummer vervangen worden door een code.
Voor organisaties betekent de komst van de AVG dat ze verplicht zijn tot:
- Het nemen van technische maatregelen;
- Het nemen van organisatorische maatregelen;
- Het tijdig detecteren van datalekken en het minimaliseren van gevolgen
- Het periodiek testen, beoordelen en evalueren van de beveiliging.
- Het inzichtelijk maken van welke persoonsgegevens opgeslagen worden en met welk doel dit gebeurd.
Voldoet een organisatie na 25 mei 2018 niet aan de verordering, dan kunnen hoge boetes het gevolg zijn. Deze boetes kunnen oplopen tot €20 miljoen of 4% van de jaarlijkse globale omzet per overtreding. Het is dus van belang dat u controleert in hoeverre uw informatiebeveiliging al in lijn is met deze verordening en welke maatregelen nog getroffen moeten worden om hieraan te voldoen.
Meldplicht Datalek
Deze meldplicht bestaat sinds januari 2016 en betekent dat bedrijven en overheden een datalek direct moeten melden bij de Autoriteit Persoonsgegevens. Er is sprake van een datalek als er inbreuk is op de beveiliging van persoonsgegevens. De gegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. De Meldplicht Datalek valt nu nog onder de WBP, maar blijft ook bestaan als de Algemene Verordening Gegevensbescherming ingaat.
Wat moeten u en uw bewerker doen om te voldoen aan de AVG?
Als organisatie zijn er een aantal maatregelen die u voor 25 mei 2018 moet treffen om te voldoen aan de AVG:
- Procedures en afspraken maken: stel een protocol op voor de melding van datalekken. Zowel de organisatie zelf als de bewerker moet zo’n protocol hebben. Verder is een bewerkingsovereenkomst tussen de organisatie en bewerker van belang, waarin afspraken tussen beide partijen uitgewerkt worden. Licht tot slot alle medewerkers in over de meldplicht en het opgestelde protocol, zodat de medewerkers bewust zijn van de meldplicht en zodat ze datalekken eerder herkennen en adequaat de juiste stappen kunnen nemen.
- Technische maatregelen: beoordeel welke technische maatregelen er al getroffen zijn en eventueel geoptimaliseerd of geactualiseerd moeten worden, of welke maatregelen nog getroffen moeten worden om de databeveiliging permanent te kunnen garanderen. Denk hierbij aan maatregelen als activiteiten vastleggen in logbestanden, een wachtwoordpolicy, encryptiesoftware, two factor authentication, et cetera. Over dergelijke technische maatregelen zullen we de komende periode dieper ingaan.
- Organisatorische maatregelen: leg vast wie in de organisatie verantwoordelijkheid draagt voor de informatiebeveiliging, beperk de toegang van personen tot gegevens, verzamel alleen persoonsgegevens die nodig zijn, verplicht gebruik van wachtwoorden, et cetera.
De komende periode publiceren wij een reeks artikelen waarin we ingaan op welke, met name technische, maatregelen genomen kunnen worden op het gebied van databeveiliging om compliant te worden voor de AVG. Onder andere encryptiesoftware, twee-factor-authenticatie (inloggen door wachtwoord en bijvoorbeeld naar mobiel gestuurde code) en beveiliging van apparaten zullen aan bod komen.
Heeft u vragen of wilt u meer advies over informatiebeveiliging en de maatregelen die u kunt nemen om te voldoen aan de Algemene Verordening Gegevensbescherming? Neem dan vooral eens contact op met uw technisch consultant!
Wilt u meer weten over informatiebeveiliging? De Cyber Security Raad (CSR) heeft een uitgebreid en interessant document samengesteld over cybersecurity. Hier valt ook informatiebeveiliging onder. In het artikel wordt ook de AVG verder toegelicht. Lees hier het hele document.
