Door de digitale transformatie verwerken organisaties meer persoonsgegevens dan ooit. De Algemene Verordening Gegevensbescherming (AVG), ook wel bekend als de General Data Protection Regulation, (GDPR) helpt u om de privacy van uw klanten en medewerkers te beschermen. De AVG zorgt echter ook voor de nodige uitdagingen, onder andere op het gebied van ICT-security. Waar moet u tijdens de voorbereidingen op de AVG op letten?
Organisaties hebben nog ongeveer een jaar om zich voor te bereiden op de AVG. Op 25 mei 2018 vervangt de Europese privacywet definitief de Wet bescherming persoonsgegevens. Op het niet naleven van de AVG staan vanaf die dag boetes tot maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.
De AVG zadelt organisaties die persoonsgegevens van Europese burgers verwerken echter met behoorlijke administratieve lasten op. Zo is de kans groot dat de privacywetgeving u verplicht om:
- Een register bij te houden van alle verwerkingen van persoonsgegevens. Deze verplichting geldt bijvoorbeeld als u ‘stelselmatig’ persoonsgegevens verwerkt of als uw organisatie meer dan 250 medewerkers telt. Uit onderzoek blijkt dat 90 procent van de organisaties inzicht heeft in de verwerking van persoonsgegevens, maar dat slechts 35 procent de verwerkingen documenteert.
- Data Protection Impact Assessments uit te voeren. Dit is het geval als een verwerking van persoonsgegevens een groot privacyrisico oplevert voor de betrokkenen. Van een ‘groot privacyrisico’ kan al snel sprake zijn. Volgens een recent gepubliceerd ‘richtsnoer’ is dit risico bijvoorbeeld al aanwezig als u op een marketingwebsite het gedrag van de bezoekers monitort.
- Een Data Protection Officer (DPO) aan te stellen. Bijvoorbeeld overheidsinstanties en organisaties die op grote schaal bijzondere persoonsgegevens zoals medische data verwerken, moeten een DPO aanstellen. Deze DPO is intern de onafhankelijke toezichthouder en onderhoudt het contant met de Autoriteit Persoonsgegevens.
Consequenties voor ICT-security
De AVG heeft ook impact op de manier waarop u uw ICT en IT-security inricht. Zo vestigt de nieuwe Europese privacywetgeving meer dan ooit de aandacht op de volgende vijf punten:
1. Datamanagement
Zonder inzicht is het onmogelijk om data te beveiligen, of om persoonsgegevens op verzoek te wissen. U moet weten welke data persoonlijk zijn en welk beveiligingsniveau daarbij hoort. Ook moet u erop toezien dat data correct zijn en tijdens een verwerking niet worden gewijzigd. Dit kan alleen als u een goed inzicht heeft in alle persoonsgegevens, ook de gegevens die zich in de cloud en op mobiele devices bevinden.
2. Identity & Access Management
Het instellen van een strikt beleid ten aanzien van toegang tot databestanden, identitymanagement en security- en compliancemonitoring zijn manieren om te achterhalen wie toegang heeft tot data en wanneer data mogelijk zijn gewijzigd. Dit inzicht is bijvoorbeeld nodig als u bij (het vermoeden van) een datalek een melding moet doen bij de Autoriteit Persoonsgegevens. Het beperken van de toegang voorkomt ook incidenten.
3. Beschermende maatregelen
De AVG gaat veel meer dan de Wbp in op het belang van informatiebeveiliging en dwingt een ‘passende beveiliging’ van persoonsgegevens af. Daarbij kunt u denken aan het beveiligen van persoonsgegevens op mobiele devices met behulp van een Enterprise Mobility Management (EMM)-oplossing, het continu monitoren van de netwerkinfrastructuur op nieuwe kwetsbaarheden en het beveiligen met een firewall.
Deze zaken waren al belangrijk, maar komen door de AVG nog eens extra onder het vergrootglas te liggen.
4. Monitoring
Securityincidenten, datalekken en ‘gewone’ privacyincidenten zijn nooit helemaal uit te sluiten. Een goede monitoring van al het netwerkverkeer – dus ook het verkeer van en naar mobiele devices – helpt organisaties om bedreigingen proactief te detecteren en erop te reageren. Een goed inzicht in wat er is gebeurd, komt ook van pas bij het melden van een datalek. Security Information and Event Monitoring (SIEM) kan hierbij helpen.
5. Security-awareness
De AVG biedt ook alle aanleiding om security-awarenessprogramma’s nog eens kritisch tegen het licht te houden. Iedereen – van werkvloer tot management, en ook uw leveranciers – moet zich er bewust van zijn wat de impact is van het werken met privacygevoelige informatie. Bij het bepalen van een eventuele boete zal de Autoriteit Persoonsgegevens zeker ook de investeringen in security-awarenessprogramma’s meewegen.
Compliance flinke opgave
Hoewel mei 2018 nog ver weg lijkt te zijn, is compliance met de AVG voor veel organisatie nog een hele opgave. Uit onderzoeken blijkt zelfs dat een groot deel van de organisaties nog helemaal niet klaar is voor de nieuwe privacywetgeving.
Voor deze organisaties is het op orde hebben van de beveiliging een goede eerste stap. Met bovenstaande vijf maatregelen legt u de basis om datalekken te voorkomen.
Meer weten
Whitepaper: 'Bescherm de privacy van uw klanten'
Wilt u weten hoe u persoonsgegevens adequaat beveiligt en miljoenboetes voorkomt? Lees dan het whitepaper.
Download
