Voorbereiden op de AVG: 3 belangrijke stappen

Op 25 mei 2018 gaat de nieuwe Privacywet, de General Data Protectoin Regulation (GDPR) in, ook wel de Algemene Verordening Persoonsgegevens (AVG). Deze Europese Privacywet vraagt om zowel technische als organisatorische maatregelen op het gebied van informatiebeveiliging. Een organisatie (Verantwoordelijke) en haar Bewerker (degene die de persoonsgegevens verwerkt in opdracht van de verantwoordelijke) moeten een drietal stappen doorlopen om datalekken te voorkomen, beveiliging te optimaliseren en zich zo voor te bereiden op de komst van de Algemene Verordening Gegevensbescherming.

Voldoen aan de Algemene Verordening Gegevensbescherming (AVG)
Om in lijn te zijn met de AVG geldt: het moet duidelijk zijn welke data de organisatie verwerkt, hoe dit binnenkomt en eventueel naar anderen (bewerkers) gaat. Ook is het van belang dat werknemers in een organisatie weten wat ze moeten doen als ze zelf denken een datalek veroorzaakt te hebben of er een hebben veroorzaakt, door bijvoorbeeld iets simpels als een USB-stick te verliezen.
Een belangrijk onderdeel van het voorkomen van datalekken is de beveiliging: niet alleen technisch gezien maar ook organisatorisch. Wie heeft bijvoorbeeld (fysiek en digitaal) toegang tot welke informatie of serverruimtes. Daarmee kunnen de risicoʼs die een bedrijf loopt zichtbaar worden gemaakt.In het kader van risico beperking kan het mogelijk goed zijn om (fysieke en digitale) toegang te beperken, evenals de wijze waarop bestanden en gegevens worden aangeleverd, om inbreuken op de beveiliging te voorkomen. Door vervolgens ook een protocol of draaiboek op te stellen hoe te handelen in het geval van het ontdekken van een datalek, kan in voorkomend geval snel en adequaat gehandeld worden.
Verwerkingsregister als vertrekpunt
Een goed vertrekpunt voor elke organisatie is het in kaart brengen van de gebruikte persoonsgegevens en
informatiestromen. Dit geeft inzicht in de verwerkingsactiviteiten betreffende persoonsgegevens, zodat
bepaald kan worden welke plichten de organisatie heeft vanuit de AVG en waar mogelijk (beveiligings)
risico’s liggen. Nota bene: volgens de AVG hebben alle organisaties die niet-incidenteel persoonsgegevens
verwerken of groter zijn dan 250 personen zelfs een registerplicht.
1. Procedure en afspraken maken
  1. Protocol melding datalekken opstellen, de organisatie voor zichzelf als Verantwoordelijk en de partij die de persoonsgegevens verwerkt als Bewerker. Wilt u een voorbeeld van een dergelijk protocol? Vraag deze dan bij ons aan.
  2. Bewerkingsovereenkomst tussen organisatie en bewerker opstellen. De organisatie moet als Verantwoordelijke in staat zijn om haar wettelijke verplichtingen na te komen. De wet schrijft niet voor wat precies tussen bewerker en organisatie moet worden afgesproken. In de bewerkingsovereenkomst zullen in ieder geval de volgende antwoorden moeten zijn vastgelegd:
  • Gaat de bewerker de organisatie daadwerkelijk informeren over alle relevante incidenten?
  • Wie doet een eventuele melding aan de Autoriteit Persoonsgegevens? (let op: klant blijft altijd eindverantwoordelijk)
  • Ontvangt de organisatie per incident alle informatie die zij nodig heeft?
  • Hoe gaat de bewerker de organisatie informeren over de incidenten?
  • Hoe snel wordt de organisatie geïnformeerd over de incidenten?
  • Wordt de organisatie op de hoogte gebracht van de maatregelen die nodig zijn of zijn toegepast rond het incident om de gevolgen van het incident te beperken en herhaling te voorkomen?
  • Kan de organisatie vaststellen dat zij daadwerkelijk op de hoogte wordt gesteld van alle relevante incidenten, en dat de verstrekte informatie klopt?
  • Waar wordt de persoonsdata verwerkt door Bewerker? Is dit in een andere lidstaat dan de EU, dan dient de Verantwoordelijke ervoor te zorgen dat de bewerker het ʻrecht van die lidstaatʼ nakomt.
  1. Informeer alle medewerkers over de meldplicht en het opgestelde protocol. Alle datalekken of verdenkingen ervan moeten op de radar. Dit zorgt voor bewustwording en dat medewerkers datalekken eerder herkennen en adequaat de juiste stappen nemen.

2. Technische maatregelen beoordelen/treffen t.a.v. beveiliging

Er zijn een aantal technische maatregelen die getroffen kunnen worden om de databeveiliging te verbeteren. Hieronder zetten we de belangrijkste maatregelen op een rij, maar dit is geen uitputtende lijst.

  1. Neem moderne beveiligingstechnieken in gebruik die inbraak op het netwerk, virusbesmetting, dataverlies voorkomen.
  2. Richt de automatisering in conform de richtlijnen van de fabrikant en zorg dat de systemen up-to-date zijn.
  3. Encryptie: versleutel gegevens die u deelt of opslaat in de cloud of op andere informatiedragers (bijvoorbeeld USB-sticks).
  4. Kies een veilige methode voor versturen van bestanden met gevoelige informatie. E-mail is onveilig.
  5. Stel een wachtwoordpolicy in voor toegang tot het bedrijfsnetwerk. Maak gebruik van sterke wachtwoorden, maximale wachtwoordduur en forceer unieke wachtwoorden.
  6. Overweeg ʻtwo factor authenticationʼ als extra stap tijdens het inlogproces (authenticatie).
  7. Leg activiteiten vast in logbestanden (zoals pogingen om ongeautoriseerd toegang).
  8. Houdt uw bedrijfsnetwerk (zo veel mogelijk) technisch afgezonderd, deel liever geen services, zodat vertrouwelijkheid is gegarandeerd en storingen door toedoen van andere klanten/organisaties zijn uitgesloten.
  9. Kies voor een bedrijfsnetwerk waarbij alle data en applicaties op één centrale plek beschikbaar zijn, zodat geen data op lokale apparaten of zelfs buiten het bedrijfsnetwerk terecht komen. Een bedrijfsnetwerk o.b.v. Remote Desktop Services biedt deze mogelijkheid.
  10. Denk ook aan de company website, laat een contactformulier versturen via https (http is makkelijk ʻaf te luisterenʼ) en bepaal hoe achtergelaten persoonsdata wordt opgeslagen.

3. Organisatorisch maatregelen beoordelen/treffen t.a.v. beveiliging

Naast technische maatregelen zijn er ook organisatorische maatregelen die getroffen kunnen worden om de databeveiliging te verbeteren. De lijst hieronder is niet uitputtend maar bevat de voornaamste maatregelen.

  1. Leg vast aan wie in de organisatie de verantwoordelijkheden zijn toegewezen voor informatiebeveiliging, zowel op sturend als uitvoerend niveau.
  2. Zorg voor beveiligingsbewustzijn bij alle medewerkers door ze te informeren over de noodzaak van informatiebeveiliging, stel hierover regels op (informatiebeveiligingsbeleid) en zorg voor de naleving daarvan (informatiebeveiligingsprocedures).
  3. Informatiebeveiliging om te voldoen aan de GDPRGeheimhoudingsovereenkomsten, leg de verplichting tot geheimhouding van persoonsgegevens vast.
  4. Persoonsgegevens die geen waarde toevoegen worden niet verzameld. Gebruik dus nooit meer gegevens dan nodig.
  5. Beperk de toegang van personen tot gegevens. Dit verkleint de kans op misbruik.
  6. Laat logbestanden periodiek controleren op indicaties van onrechtmatige toegang of onrechtmatig gebruik van de persoonsgegevens en onderneem waar nodig actie.
  7. Beheer van technische kwetsbaarheden: voor een beleid waarbij software, zoals browsers, virusscanners en operating systems, up-to-date worden gehouden.
  8. Verbiedt medewerkers het verspreiden of opslaan van persoonsgegevens via (privé) e-mail of clouddiensten met methodes die niet door de organisatie zijn goedgekeurd (zoals Dropbox, WeTransfer etc).
  9. Verplicht het gebruik van wachtwoorden en hou deze geheim door ze niet te delen met anderen of op te schrijven.
  10. Verplicht een toegangscode op mobiele devices (smartphone en tablets), waarop bijvoorbeeld bedrijfsemail ontvangen worden.

Heb je vragen over hoe jouw organisatie de informatiebeveiliging kan verbeteren? Neem dan vooral eens contact met ons op.

Overzicht merken
Alles werkt samen
Google+