AVG: 6 stappen richting compliance

Gepost op: 4-5-2017 16:22:08 door Simon van den Bos
Tags: AVG, DLP, DPIA, GDPR, WAF
Simon van den Bos

Vanaf 25 mei 2018 moeten bedrijven die persoonsgegevens van EU-burgers verwerken compliant zijn met de Algemene Verordening Gegevensbescherming (AVG), of in ieder geval kunnen aantonen vooruitgang te boeken. Deze vier eenvoudige technische maatregelen – en twee lastige – kunnen daarbij helpen.

Heel veel bedrijven en overheden hebben een spannend jaar voor de boeg, zeker als nu onder de Wet bescherming persoonsgegevens de zaakjes al niet volledig op orde zijn. De ‘General Data Protection Regulation’ (GDPR), zoals de AVG in het Engels heet, zadelt organisaties namelijk op met flinke administratieve lasten. In de meeste gevallen zal de impact op de bedrijfsvoering dan ook voelbaar zijn.

Zo is de kans groot dat u van alle verwerkingen van persoonsgegevens een register moet bijhouden waaraan de AVG zware eisen stelt. Heeft een verwerking een hoog beveiligingsrisico, dan bent u bovendien verplicht om een Data Protection Impact Assessment (DPIA) uit te voeren. Bij de ontwikkeling van nieuwe producten en diensten zult u de privacybescherming altijd in het achterhoofd moeten houden.

Quick wins
Kortom, de AVG dwingt organisaties tot organisatorische maatregelen die de beveiliging van persoonsgegevens op een hoger niveau brengen, maar die ook veel tijd en moeite kosten. Toch zijn er ook maatregelen denkbaar die aanzienlijk minder inspanningen vergen, maar waarmee u wel kunt aantonen dat u hard werkt aan compliance met de AVG.
 
Een van de beginselen van de AVG is dat persoonsgegevens ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is’. Wat ‘passend’ precies is, blijft in het midden. Wel stelt de Europese privacywet dat gegevens beschermd moeten zijn ‘naar de stand van de techniek’.
 
Deze vier eenvoudige en twee complexere maatregelen – die meer voeten in de aarde hebben en projectmatig moeten worden opgepakt – kunnen bijdragen aan een passende beveiliging:

  • Quick win: regel vulnerabilitymanagement in. Deze maatregel kan eenvoudig worden ingevoerd en geeft snel inzicht in kwetsbaarheden in systemen en netwerkapparatuur.
  • Quick win: voer penetratietesten uit. Hierbij onderzoekt een ethical hacker (web)applicaties op fouten in de klantspecifieke code. Hiermee kan worden bepaald of de privacyrisico’s die tijdens een DPIA naar boven zijn gekomen correct zijn beoordeeld en of privacygevoelige data in de geteste systemen daadwerkelijk veilig zijn.
  • Quick win: bescherm webapplicaties tegen volumeaanvallen en gerichte aanvallen op kwetsbaarheden in de webapplicaties. De AVG stelt dat ‘een informatiesysteem op een bepaald vertrouwelijkheidsniveau’ bestand moet zijn tegen ‘incidentele gebeurtenissen of onrechtmatige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven persoonsgegevens in het gedrang brengen’. Van een dergelijke gebeurtenis is sprake bij volumeaanvallen of hackpogingen op een webapplicatie. Deze zijn af te slaan door het inzetten van een Cloud Web Applicatie Firewall (WAF) inclusief DDoS-protectie.
  • Quick win: activeer de logging en sla de logbestanden op voor sporenonderzoek. Deze komen bijvoorbeeld van pas als u bij de Autoriteit Persoonsgegevens melding moet maken van een datalek. Dan helpt het als u kunt reconstrueren wat er is gebeurd.
  • Complex: implementeer Data Leakage Prevention (DLP). Hiermee zorgt u voor de technische maatregelen om te voorkomen dat privacygevoelige data de organisatie verlaten. Met DLP kunt u bijvoorbeeld voorkomen dat een medewerker per ongeluk vertrouwelijke gegevens naar de verkeerde persoon mailt of dat een gecompromitteerde gebruiker data naar buiten sluist.
  • Complex: zorg voor securitymonitoring ten behoeve van incident-response. Op basis van (klantspecifieke) usecases wordt dan direct alarm geslagen als bijvoorbeeld de vertrouwelijkheid van persoonsgegevens in het geding is.

Praktische leidraad
Met deze zes maatregelen zet u belangrijke stappen richting AVG-compliance. En belangrijker: de privacy van uw klanten en medewerkers is beter beschermd. De AVG is namelijk niet alleen een last, maar ook een praktische leidraad voor organisaties om de bescherming van privacygevoelige informatie beter te organiseren. Daar heeft iedereen profijt van.

------
Dit artikel is eerder verschenen op CIO.nl

Blog postsRSS