Passende beveiliging: verschil tussen versies
Naar navigatie springen
Naar zoeken springen
k Editor heeft pagina Passende technische en organisatorische maatregelen hernoemd naar Passende beveiliging |
Geen bewerkingssamenvatting |
||
| Regel 1: | Regel 1: | ||
In de AVG is in artikel 32 opgenomen dat iedere organisatie verplicht is 'passende technische en organisatorische maatregelen' te nemen om de persoonsgegevens te beveiligen. Dit is van belang voor de bescherming van persoonsgegevens. Wanneer een organisatie [[persoonsgegevens]] [[Verwerking|verwerkt]] is het van belang dat deze gegevens worden beveiligd tegen bijvoorbeeld het hacken van de bestanden. | In de AVG is in artikel 32 opgenomen dat iedere organisatie verplicht is 'passende technische en organisatorische maatregelen' te nemen om de persoonsgegevens te beveiligen. Dit is van belang voor de bescherming van persoonsgegevens. Wanneer een organisatie [[persoonsgegevens]] [[Verwerking|verwerkt]] is het van belang dat deze gegevens worden beveiligd tegen bijvoorbeeld het hacken van de bestanden. Wat passend is, is afhankelijk van meerdere aspecten: de organisatie, de specifieke verwerking van persoonsgegevens en de kwetsbare onderdelen die zijn geïnventariseerd. Hiervoor is niet een 'one-size-fits-all' plan waarmee iedere organisatie voldoet. | ||
In artikel 32 van de AVG wordt beschreven welke maatregelen dat zijn. Er wordt bijvoorbeeld gesteld dat organisaties een passend beveiligingsniveau moeten hanteren, rekening houdend met: | |||
* de stand van de techniek; | |||
* de kosten; | |||
* de aard, de omvang, de context en het doel van de verwerking. | |||
Eigenlijk is het de bedoeling dat een organisatie de balans vindt tussen enerzijds het risico van de verwerking en anderzijds de maatregelen om voor een goede beveiliging te zorgen. Een organisatie moet niet alleen rekening houden met de technische aspecten van de beveiliging, maar ook met de kosten en de gevoeligheid van de gegevens. Er moet ook kritisch worden nagegaan hoe de organisaties met persoonsgegevens omgaat. De AVG maakt aldus een onderscheid tussen technische en organisatorische maatregelen. | |||
=== Technische beveiligingsmaatregelen === | |||
Voorbeelden van technische beveiligingsmaatregelen: | |||
* 2FA (twee-factor-authenticatie). Dit houdt in dat naast het invoeren van een wachtwoord nog een extra verificatie nodig is om in te loggen op bijvoorbeeld een systeem, zoals een verificatiecode of het tonen van een personeelspas. | |||
* Gegevens versleutelen (encryptie). | |||
* Hashing gebruiken als methode om persoonsgegevens te pseudonimiseren. | |||
* Logische en fysieke (toegangs)beveiliging en beveiliging van apparatuur. Denk niet alleen aan kluizen en portiers, maar ook aan firewalls, autorisatie en accounts koppelen aan specifieke personen. | |||
* Technisch beheer van de autorisaties en het bijhouden van logbestanden. | |||
* Beheer van technische kwetsbaarheden ('patch management'). | |||
* Software up-to-date houden, zoals browsers, virusscanners en besturingssystemen. | |||
* Back-ups maken waarmee u de beschikbaarheid en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft, zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt. | |||
* Verouderde gegevens automatisch verwijderen. | |||
=== Organisatorische beveiligingsmaatregelen === | |||
Voorbeelden van organisatorische beveiligingsmaatregelen: | |||
* Mensen verantwoordelijkheden toewijzen voor informatiebeveiliging. | |||
* Beveiligingsbewustzijn vergroten bij bestaande en nieuwe medewerkers. | |||
* Procedures opstellen om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen, te evalueren eventueel aan te scherpen. | |||
* Regelmatig de logbestanden controleren. | |||
* Een protocol opstellen voor de afhandeling van datalekken en beveiligingsincidenten. | |||
* Geheimhoudingsovereenkomsten en verwerkersovereenkomsten afsluiten. | |||
* Regelmatig beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens. | |||
* Minder mensen in uw organisatie toegang geven tot persoonsgegevens. | |||
* Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen. | |||
Versie van 6 sep 2024 17:45
In de AVG is in artikel 32 opgenomen dat iedere organisatie verplicht is 'passende technische en organisatorische maatregelen' te nemen om de persoonsgegevens te beveiligen. Dit is van belang voor de bescherming van persoonsgegevens. Wanneer een organisatie persoonsgegevens verwerkt is het van belang dat deze gegevens worden beveiligd tegen bijvoorbeeld het hacken van de bestanden. Wat passend is, is afhankelijk van meerdere aspecten: de organisatie, de specifieke verwerking van persoonsgegevens en de kwetsbare onderdelen die zijn geïnventariseerd. Hiervoor is niet een 'one-size-fits-all' plan waarmee iedere organisatie voldoet.
In artikel 32 van de AVG wordt beschreven welke maatregelen dat zijn. Er wordt bijvoorbeeld gesteld dat organisaties een passend beveiligingsniveau moeten hanteren, rekening houdend met:
- de stand van de techniek;
- de kosten;
- de aard, de omvang, de context en het doel van de verwerking.
Eigenlijk is het de bedoeling dat een organisatie de balans vindt tussen enerzijds het risico van de verwerking en anderzijds de maatregelen om voor een goede beveiliging te zorgen. Een organisatie moet niet alleen rekening houden met de technische aspecten van de beveiliging, maar ook met de kosten en de gevoeligheid van de gegevens. Er moet ook kritisch worden nagegaan hoe de organisaties met persoonsgegevens omgaat. De AVG maakt aldus een onderscheid tussen technische en organisatorische maatregelen.
Technische beveiligingsmaatregelen
Voorbeelden van technische beveiligingsmaatregelen:
- 2FA (twee-factor-authenticatie). Dit houdt in dat naast het invoeren van een wachtwoord nog een extra verificatie nodig is om in te loggen op bijvoorbeeld een systeem, zoals een verificatiecode of het tonen van een personeelspas.
- Gegevens versleutelen (encryptie).
- Hashing gebruiken als methode om persoonsgegevens te pseudonimiseren.
- Logische en fysieke (toegangs)beveiliging en beveiliging van apparatuur. Denk niet alleen aan kluizen en portiers, maar ook aan firewalls, autorisatie en accounts koppelen aan specifieke personen.
- Technisch beheer van de autorisaties en het bijhouden van logbestanden.
- Beheer van technische kwetsbaarheden ('patch management').
- Software up-to-date houden, zoals browsers, virusscanners en besturingssystemen.
- Back-ups maken waarmee u de beschikbaarheid en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft, zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt.
- Verouderde gegevens automatisch verwijderen.
Organisatorische beveiligingsmaatregelen
Voorbeelden van organisatorische beveiligingsmaatregelen:
- Mensen verantwoordelijkheden toewijzen voor informatiebeveiliging.
- Beveiligingsbewustzijn vergroten bij bestaande en nieuwe medewerkers.
- Procedures opstellen om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen, te evalueren eventueel aan te scherpen.
- Regelmatig de logbestanden controleren.
- Een protocol opstellen voor de afhandeling van datalekken en beveiligingsincidenten.
- Geheimhoudingsovereenkomsten en verwerkersovereenkomsten afsluiten.
- Regelmatig beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
- Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
- Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.
HIER MOET IIG NOG INFO KOMEN OVER:
PSEUDONIMISERING / ANONIMISERING
ENCRYPTIE