Welke beveiligingsoplossingen helpen mij te voldoen aan de AVG?

  • 5 minuten
  • 10 oktober 2019

De beveiliging van data speelt een prominente rol in de nieuwe privacywetgeving Algemene verordening gegevensbescherming (AVG; ook wel General Data Protection Regulation of GDPR) van mei 2018. In verhouding tot de eerdere Wet Bescherming Persoonsgegevens introduceert AVG aangescherpte regels die verwerkers en verantwoordelijken van persoonsgegevens dwingen om organisatorische en technische maatregelen te nemen ten behoeve van de bescherming van persoonsgegevens. De AVG omschrijft waarom u persoonsgegevens moet beschermen, maar vervolgens zult u zelf de puzzel moeten leggen welke om te zien welke beveiligingsoplossingen u helpen te voldoen aan de AVG. Dat is gemakkelijker gezegd dan gedaan. In dit blog helpen wij u op weg.

Wat zegt de wet over het beschermen van persoonsgegevens?

Omdat de wet onderscheid maakt tussen soorten persoonsgegevens kan het zijn dat bepaalde gevoelige persoonsgegevens (denk aan BSN, seksuele voorkeur, ras, politieke voorkeur, et cetera) die u als organisatie in het bezit heeft, extra goed beschermd moeten worden.

Naast de bescherming van persoonsgegevens met gedegen beveiligingsmaatregelen is ook documentatieplicht en het kunnen voeren van voldoende bewijslast geïntroduceerd voor verwerkers van persoonsgegevens. Als een datalek zich voordoet, moet u als organisatie kunnen aantonen dat u er alles aan heeft gedaan om het lek te voorkomen. Het helpt ook als u kunt aantonen waar het lek is ontstaan. Dat vraagt van de aanwezige IT-oplossingen dat ze u aan die informatie kunnen helpen – en dat uw IT-specialisten deze informatie binnen no-time in goed leesbare rapporten kunnen aanleveren.

In het kort zegt de AVG het volgende over welke beveiligingsmaatregelen een organisatie kan nemen:

Het pseudonimiseren en versleutelen van persoonsgegevens

Dit zijn sterke maatregelen om de risico’s van datalekken en ook de risico's van bijvoorbeeld “profiling” (het verzamelen, analyseren en combineren van gegevens met als doel iemand in te delen in een bepaalde categorie) te beperken. In het bijzonder wordt gewezen op de risico’s van het opslaan en verwerken van digitale kenmerken en wachtwoorden. Hiervoor zijn aanvullende maatregelen nodig zoals versleuteling (encryptie) en segmentering van systemen of het offline opslaan van gegevens.

De mogelijkheid om de verwerkingssystemen en diensten te kunnen garanderen

Dit maakt ook duidelijk dat er zowel preventieve als detectieve maatregelen nodig zijn. Het gebruik van “security logging” en het periodiek analyseren van logging zijn belangrijke randvoorwaarden om de werking van beveiligingsmaatregelen aan te kunnen tonen. Om de permanente vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van uw verwerkingssystemen en diensten te kunnen garanderen, zijn er mogelijk ook aanvullende technologieën nodig. Technologieën als “intrusion detection en prevention” en monitoringssystemen zijn in staat hackpogingen te detecteren en ongeautoriseerde toegang tot een informatiesysteem of netwerk te voorkomen.

Wees in staat om tijdig te herstellen

Periodiek databack-ups laten maken is een handige oplossing waar u op kunt terugvallen. U wilt te allen tijde logging hebben zodat u weet wie er wanneer inlogt vanaf welke locatie op uw systemen. Zo bent u in staat om bij een fysiek of technisch incident, zoals een datalek, de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te kunnen herstellen

Zorg voor een procedure voor het testen, beoordelen en evalueren van uw genomen maatregelen

Het testen, beoordelen en evalueren op gezette tijden van de doeltreffendheid van de technische en organisatorische maatregelen die u heeft genomen, komt ten behoeve van de beveiliging van de verwerkingen die u doet. Een PIA (Privacy Impact Assessment) geeft inzicht in processen waar persoonsgegevens worden verwerkt. Daarnaast kan scanning voor periodieke kwetsbaarheden en penetratietesten meer inzicht geven in de huidige Dat staat van de beveiliging.

Zorg ervoor dat alle technische maatregelen naar de laatste stand van de techniek zijn ingericht.

Dit is nogal breed te interpreteren. Zorg er in ieder geval dat u een duidelijk standpunt inneemt over de mate van beveiliging die u toepast op persoonsgegevens. Documenteer uw standpunt en mate van beveiliging grondig zodat u te allen tijde kunt aantonen dat er een plan ten grondslag ligt aan de gekozen beveiligingsmaatregelen.

2FA: 2FA, kort voor tweefactorauthenticatie, is een extra beveiligingslaag bij het inloggen op accounts en portalen.

Encryptie: het versleutelen van volledige harde schijven en USB-sticks, maar ook van verbindingen, bestanden en mappen.

Anti-malware (ransomware, phishing): endpoint-beveiliging beschermt tegen kwaadaardige software, activiteiten en verbindingen op het systeem.

Endpoint firewall: een firewall op een endpoint (cliënt of server) helpt tegen kwaadaardige verbindingen, die anders bijvoorbeeld voor het downloaden van ransomware worden ingezet.

Data Loss Prevention: geeft inzicht in het datagebruik op systemen en kan datalekken helpen voorkomen.

Kwetsbaarhedenscan: het scannen van kwetsbaarheden vanaf het internet of op de interne netwerkomgeving helpt snel inzicht te geven in waar de grootste beveiligingsrisico’s zitten.

Software updates beheren (patch-management): geeft inzicht in waar kwetsbaarheden in aanwezige software zitten. Daarnaast laat het weten wanneer er een update of een patch beschikbaar is, zodat deze gelijk uitgevoerd kan worden en een eventuele kwetsbaarheid kan verhelpen.

VPN: Afkorting van Virtual Private Network. Een VPN-verbinding verzorgt een beveiligde tunnel over het internet tussen bijvoorbeeld een laptop en het interne netwerk van de bedrijfsomgeving. Het is ook raadzaam om dit extra te beveiligen door hier 2FA op toe te passen.

MDM: mobile device management geeft centraal beheer over het gebruik van bijvoorbeeld smartphones en tablets voor bedrijfsdoeleinden.

Aan de slag met de IT-uitdagingen van uw organisatie

Encryptie, ofwel gegevensversleuteling, is een door de wet aanbevolen technische oplossing die bijdraagt aan “compliancy” en het voldoen aan de AVG. In ons nieuwe boek Gegevensbescherming voor Dummies leggen we meer uit over versleuteling, andere beveiligingstechnologieën en praktische hulpmiddelen voor het beveiligen van uw bedrijf. Klik hier om het boek te lezen.