Beveiligingsbeleid – AVG Stapsgewijs
Hoe blijven de gegevens veilig? In Stap 3 van AVG Stapsgewijs komt dat aan de orde.
De beveiliging van persoonsgegevens dient adequaat te zijn gezien het soort gegevens en de te verwachten risico's. Desgevraagd zal u aan de toezichthouder toe dienen te lichten waarom in uw geval voldaan is aan deze criteria. Kortom; u zal het gevoerde beleid moeten kunnen aantonen. Hoe uitvoering te geven aan deze vaag geformuleerde eisen?
Wat zegt de AVG?
De AVG geeft u de volgende handreikingen van te nemen maatregelen:
- pseudonimisering en versleuteling van persoonsgegevens;
- maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;
- maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de toegang tot persoonsgegevens bij een fysiek of technisch incident; en
- het vaststellen van adequate procedures voor het periodiek evalueren van de doeltreffendheid van de genomen veiligheidsmaatregelen.
Wat te doen?
In dit artikel zal niet stil worden gestaan bij de verschillende mogelijkheden van bijv. beveiliging van uw ICT-infrastructuur of het kantoorpand. Dat moet natuurlijk óók op orde zijn, maar in dit artikel ligt de focus op uw organisatie. De meest beveiligde faciliteiten kunnen toch geconfronteerd worden met een datalek door "slordigheid".
Naast de techniek, gaat het daarbij om de organisatie en de bewustwording daarvan. Disciplinerend optreden heeft alleen zin, als de organisatie bewust is van de risico's die gepaard gaan met datalekken en een bepaalde gedraging of nalaten. Denk bijv. ook aan een traktatiebeleid; collega's mogen onbeheerde laptops gebruiken om de organisatie een e-mail te zenden waaruit blijkt dat de betreffende collega trakteert. Het onbeheerd achterlaten wordt daarmee op een laagdrempelige manier aan de orde gebracht.
Dat laatste is geen alternatief voor bijv. trainingen of instructies aangaande veiligheid, maar draagt wel bij aan bewustwording. Andere maatregelen waaraan gedacht kan worden:
- Periodieke wijziging van wachtwoorden, met speciale vereisten aan de wachtwoorden;
- Tweefactor authenticatie;
- Pasjes - of inlogsystemen ten aanzien van ruimtes en printers;
- Beveiligde USB-sticks;
- Versleuteling van bijlagen bij e-mails:
- Vergrendeling van alle mobiele apparaten;
- Afgesloten koffers, in het geval "hard-copy" data wordt vervoerd;
- Clean desk-beleid;
- Blokkeren accounts bij lange afwezigheid en einde dienstbetrekking;
- Verschillende toegangsniveaus (getrapt) en meldingen wanneer grote hoeveelheden data worden opgevraagd;
- Beperkingen in opvraagmogelijkheden (bijv. niet kunnen zoeken op telefoonnummer).
Zie ook het stappenplan (Klik hier).
Heeft u vragen over het voorgaande en/of andere vragen over de AVG? Neem dan contact op met Hein Snijders of Simon Velthuizen.
