Passende beveiliging: verschil tussen versies

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen
← Oudere bewerkingNieuwere bewerking →
VisueelWikitekst
Regel 22: Regel 22:
* Back-ups maken waarmee u de beschikbaarheid en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft, zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt.
* Back-ups maken waarmee u de beschikbaarheid en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft, zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt.
* Verouderde gegevens automatisch verwijderen.
* Verouderde gegevens automatisch verwijderen.
=== Encryptie ===
De AVG benadrukt in artikel 32 het belang van encryptie als potentiële beveiligingsmaatregel. Encryptie, ook wel versleuteling genoemd, is een techniek die '''geheimhouding''' van persoonsgegevens garandeert door ze onleesbaar te maken voor onbevoegden. Deze techniek is essentieel voor het waarborgen van de '''vertrouwelijkheid''' van gegevens tijdens opslag en verzending. Het hart van encryptie is de '''sleutel''' - een unieke code die bepaalt hoe gegevens worden versleuteld en ontsleuteld. Hierbij wordt een onderscheid gemaakt tussen asymmetrische en symmetrische encryptie:
# '''Asymmetrische encryptie'''. Deze vorm van encryptie maakt gebruik van twee verschillende sleutels:
#* Eén openbare sleutel voor versleuteling
#* Eén privé sleutel voor ontsleuteling. Alleen de bezitter van deze privé sleutel kan de informatie ontcijferen.
# '''Symmetrische encryptie'''. Deze vorm van encryptie maakt gebruik van één sleutel voor zowel versleuteling als ontsleuteling. Deze sleutel moet veilig gedeeld worden tussen zender en ontvanger.
In beide gevallen is het van belang een veilige methode te gebruiken voor het uitwisselen van sleutels tussen partijen. Ook is het voor beide methoden van belang dat de sleutel regelmatig wordt bijgewerkt om effectief te blijven. De sleutel dient namelijk de levensduur van de versleutelde gegevens te overleven. Dit betekent dat wat nu als veilig wordt beschouwd, binnen een paar jaar kwetsbaar kan worden. De toenemende rekenkracht van computers vereist steeds sterkere en intelligentere vormen van encryptie. Met goed versleutelde data werken kan in geval van een inbreuk in verband met persoonsgegevens (een [[Datalekken|datalek]]) de impact voor de verwerkingsverantwoordelijke en betrokkenen beperken en mogelijke schade minimaliseren.


== Organisatorische beveiligingsmaatregelen ==
== Organisatorische beveiligingsmaatregelen ==
Regel 36: Regel 45:
* Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.
* Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.


== Encryptie ==
== Fysieke beveiligingsmaatregelen ==
De AVG benadrukt in artikel 32 het belang van encryptie als potentiële beveiligingsmaatregel. Encryptie, ook wel versleuteling genoemd, is een techniek die '''geheimhouding''' van persoonsgegevens garandeert door ze onleesbaar te maken voor onbevoegden. Deze techniek is essentieel voor het waarborgen van de '''vertrouwelijkheid''' van gegevens tijdens opslag en verzending. Het hart van encryptie is de '''sleutel''' - een unieke code die bepaalt hoe gegevens worden versleuteld en ontsleuteld. Hierbij wordt een onderscheid gemaakt tussen asymmetrische en symmetrische encryptie:
Fysieke beveiligingsmaatregelen zijn alle maatregelen die je neemt om te voorkomen dat onbevoegden fysieke toegang krijgen tot ruimtes waar persoonsgegevens worden verwerkt of bewaard. Net zoals je je huis beschermt met sloten en een alarm, moet je ook werkplekken waar met privacygevoelige informatie wordt gewerkt goed beveiligen. In de praktijk worden deze verschillende beveiligingsmethoden vaak gecombineerd. Dit wordt meerfactorauthenticatie genoemd. Je kunt bijvoorbeeld een toegangspas combineren met een code, of een vingerafdruk met een toegangspas. Deze aanpak zorgt ervoor dat zelfs als één vorm van beveiliging wordt omzeild, de ruimte nog steeds beveiligd blijft door de tweede verificatiemethode.
 
=== Toegangspassen ===
Toegangspassen zijn een van de meest gebruikte methoden om toegang tot gebouwen en ruimtes te controleren. Ze werken met speciale technologie die het mogelijk maakt om bij te houden wie wanneer waar naar binnen gaat. Met een toegangspassysteem kunnen organisaties verschillende toegangsniveaus instellen voor verschillende medewerkers. Zo krijgt niet iedereen toegang tot dezelfde ruimtes, maar alleen tot die ruimtes die nodig zijn voor het werk.
 
Een groot voordeel van toegangspassen is de flexibiliteit in beheer. Als een pas kwijtraakt of wordt gestolen, kan deze direct worden geblokkeerd. Ook is het mogelijk om de toegangsrechten aan te passen als iemand van functie verandert. Het systeem houdt bovendien automatisch bij wie wanneer welke ruimtes heeft bezocht, wat handig is voor beveiligingscontroles en in het geval van incidenten.


# '''Asymmetrische encryptie'''. Deze vorm van encryptie maakt gebruik van twee verschillende sleutels:
=== Biometrische toegangscontrole ===
#* Eén openbare sleutel voor versleuteling
Vingerafdrukherkenning is een vorm van biometrische toegangscontrole die steeds vaker wordt toegepast. Deze technologie gebruikt unieke kenmerken van iemands vingerafdruk om toegang te verlenen. Het grote voordeel hiervan is dat een vingerafdruk niet kan worden uitgeleend of doorgegeven aan anderen, zoals dat wel kan met een toegangspas of code.
#* Eén privé sleutel voor ontsleuteling. Alleen de bezitter van deze privé sleutel kan de informatie ontcijferen.
# '''Symmetrische encryptie'''. Deze vorm van encryptie maakt gebruik van één sleutel voor zowel versleuteling als ontsleuteling. Deze sleutel moet veilig gedeeld worden tussen zender en ontvanger.


In beide gevallen is het van belang een veilige methode te gebruiken voor het uitwisselen van sleutels tussen partijen. Ook is het voor beide methoden van belang dat de sleutel regelmatig wordt bijgewerkt om effectief te blijven. De sleutel dient namelijk de levensduur van de versleutelde gegevens te overleven. Dit betekent dat wat nu als veilig wordt beschouwd, binnen een paar jaar kwetsbaar kan worden. De toenemende rekenkracht van computers vereist steeds sterkere en intelligentere vormen van encryptie. Met goed versleutelde data werken kan in geval van een inbreuk in verband met persoonsgegevens (een [[Datalekken|datalek]]) de impact voor de verwerkingsverantwoordelijke en betrokkenen beperken en mogelijke schade minimaliseren.
Het gebruik van vingerafdrukken brengt echter ook uitdagingen met zich mee. Omdat een vingerafdruk een bijzonder persoonsgegeven is, moet de opslag en verwerking ervan extra goed worden beveiligd. Ook is het belangrijk om te bedenken dat als een vingerafdruk wordt gekopieerd, deze niet kan worden veranderd zoals een wachtwoord. Bovendien werkt het systeem niet altijd even goed bij mensen met verwonde of versleten vingers, bijvoorbeeld bij mensen die veel handwerk doen.


HIER MOET IIG NOG INFO KOMEN OVER:
=== Toegangscode ===
Een toegangscode is een van de oudste maar nog steeds veel gebruikte beveiligingsmethoden. Het werkt met een combinatie van cijfers of letters die toegang geeft tot beveiligde ruimtes. Voor een effectieve beveiliging met toegangscodes is het belangrijk dat deze regelmatig worden veranderd en dat ze lang genoeg zijn - minimaal zes cijfers is tegenwoordig de standaard.


PSEUDONIMISERING / ANONIMISERING
Bij het gebruik van toegangscodes is het belangrijk dat medewerkers begrijpen dat ze de codes niet mogen delen met anderen en dat ze geen voor de hand liggende combinaties mogen gebruiken. Ook moet er een duidelijk proces zijn voor het wijzigen van codes, vooral als er personeelswisselingen zijn.

Versie van 19 nov 2024 16:46

In de AVG is in artikel 32 opgenomen dat iedere organisatie verplicht is 'passende technische en organisatorische maatregelen' te nemen om de persoonsgegevens te beveiligen. Dit is van belang voor de bescherming van persoonsgegevens. Wanneer een organisatie persoonsgegevens verwerkt is het van belang dat deze gegevens worden beveiligd tegen bijvoorbeeld het hacken van de bestanden. Wat passend is, is afhankelijk van meerdere aspecten: de organisatie, de specifieke verwerking van persoonsgegevens en de kwetsbare onderdelen die zijn geïnventariseerd. Hiervoor is niet een 'one-size-fits-all' plan waarmee iedere organisatie voldoet.

In artikel 32 van de AVG wordt beschreven welke maatregelen dat zijn. Er wordt bijvoorbeeld gesteld dat organisaties een passend beveiligingsniveau moeten hanteren, rekening houdend met:

  • de stand van de techniek;
  • de kosten;
  • de aard, de omvang, de context en het doel van de verwerking.

Eigenlijk is het de bedoeling dat een organisatie de balans vindt tussen enerzijds het risico van de verwerking en anderzijds de maatregelen om voor een goede beveiliging te zorgen. Een organisatie moet niet alleen rekening houden met de technische aspecten van de beveiliging, maar ook met de kosten en de gevoeligheid van de gegevens. Er moet ook kritisch worden nagegaan hoe de organisaties met persoonsgegevens omgaat. De AVG maakt aldus een onderscheid tussen technische en organisatorische maatregelen.

Technische beveiligingsmaatregelen

Voorbeelden van technische beveiligingsmaatregelen:

  • 2FA (twee-factor-authenticatie). Dit houdt in dat naast het invoeren van een wachtwoord nog een extra verificatie nodig is om in te loggen op bijvoorbeeld een systeem, zoals een verificatiecode of het tonen van een personeelspas.
  • Gegevens versleutelen (encryptie).
  • Hashing gebruiken als methode om persoonsgegevens te pseudonimiseren.
  • Veilige wachtwoordpraktijken. Dit houdt onder meer in dat er eisen worden gesteld aan de lengte van een wachtwoord, dat de wachtwoorden periodiek gewijzigd dienen te worden en dat er gebruik wordt gemaakt van een veilige password manager.
  • Logische en fysieke (toegangs)beveiliging en beveiliging van apparatuur. Denk niet alleen aan kluizen en portiers, maar ook aan firewalls, autorisatie en accounts koppelen aan specifieke personen.
  • Technisch beheer van de autorisaties en het bijhouden van logbestanden.
  • Beheer van technische kwetsbaarheden ('patch management').
  • Software up-to-date houden, zoals browsers, virusscanners en besturingssystemen.
  • Back-ups maken waarmee u de beschikbaarheid en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft, zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt.
  • Verouderde gegevens automatisch verwijderen.

Encryptie

De AVG benadrukt in artikel 32 het belang van encryptie als potentiële beveiligingsmaatregel. Encryptie, ook wel versleuteling genoemd, is een techniek die geheimhouding van persoonsgegevens garandeert door ze onleesbaar te maken voor onbevoegden. Deze techniek is essentieel voor het waarborgen van de vertrouwelijkheid van gegevens tijdens opslag en verzending. Het hart van encryptie is de sleutel - een unieke code die bepaalt hoe gegevens worden versleuteld en ontsleuteld. Hierbij wordt een onderscheid gemaakt tussen asymmetrische en symmetrische encryptie:

  1. Asymmetrische encryptie. Deze vorm van encryptie maakt gebruik van twee verschillende sleutels:
    • Eén openbare sleutel voor versleuteling
    • Eén privé sleutel voor ontsleuteling. Alleen de bezitter van deze privé sleutel kan de informatie ontcijferen.
  2. Symmetrische encryptie. Deze vorm van encryptie maakt gebruik van één sleutel voor zowel versleuteling als ontsleuteling. Deze sleutel moet veilig gedeeld worden tussen zender en ontvanger.

In beide gevallen is het van belang een veilige methode te gebruiken voor het uitwisselen van sleutels tussen partijen. Ook is het voor beide methoden van belang dat de sleutel regelmatig wordt bijgewerkt om effectief te blijven. De sleutel dient namelijk de levensduur van de versleutelde gegevens te overleven. Dit betekent dat wat nu als veilig wordt beschouwd, binnen een paar jaar kwetsbaar kan worden. De toenemende rekenkracht van computers vereist steeds sterkere en intelligentere vormen van encryptie. Met goed versleutelde data werken kan in geval van een inbreuk in verband met persoonsgegevens (een datalek) de impact voor de verwerkingsverantwoordelijke en betrokkenen beperken en mogelijke schade minimaliseren.

Organisatorische beveiligingsmaatregelen

Voorbeelden van organisatorische beveiligingsmaatregelen:

  • Mensen verantwoordelijkheden toewijzen voor informatiebeveiliging.
  • Beveiligingsbewustzijn vergroten bij bestaande en nieuwe medewerkers.
  • Procedures opstellen om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen, te evalueren eventueel aan te scherpen.
  • Regelmatig de logbestanden controleren.
  • Een protocol opstellen voor de afhandeling van datalekken en beveiligingsincidenten.
  • Geheimhoudingsovereenkomsten en verwerkersovereenkomsten afsluiten.
  • Regelmatig beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
  • Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
  • Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.

Fysieke beveiligingsmaatregelen

Fysieke beveiligingsmaatregelen zijn alle maatregelen die je neemt om te voorkomen dat onbevoegden fysieke toegang krijgen tot ruimtes waar persoonsgegevens worden verwerkt of bewaard. Net zoals je je huis beschermt met sloten en een alarm, moet je ook werkplekken waar met privacygevoelige informatie wordt gewerkt goed beveiligen. In de praktijk worden deze verschillende beveiligingsmethoden vaak gecombineerd. Dit wordt meerfactorauthenticatie genoemd. Je kunt bijvoorbeeld een toegangspas combineren met een code, of een vingerafdruk met een toegangspas. Deze aanpak zorgt ervoor dat zelfs als één vorm van beveiliging wordt omzeild, de ruimte nog steeds beveiligd blijft door de tweede verificatiemethode.

Toegangspassen

Toegangspassen zijn een van de meest gebruikte methoden om toegang tot gebouwen en ruimtes te controleren. Ze werken met speciale technologie die het mogelijk maakt om bij te houden wie wanneer waar naar binnen gaat. Met een toegangspassysteem kunnen organisaties verschillende toegangsniveaus instellen voor verschillende medewerkers. Zo krijgt niet iedereen toegang tot dezelfde ruimtes, maar alleen tot die ruimtes die nodig zijn voor het werk.

Een groot voordeel van toegangspassen is de flexibiliteit in beheer. Als een pas kwijtraakt of wordt gestolen, kan deze direct worden geblokkeerd. Ook is het mogelijk om de toegangsrechten aan te passen als iemand van functie verandert. Het systeem houdt bovendien automatisch bij wie wanneer welke ruimtes heeft bezocht, wat handig is voor beveiligingscontroles en in het geval van incidenten.

Biometrische toegangscontrole

Vingerafdrukherkenning is een vorm van biometrische toegangscontrole die steeds vaker wordt toegepast. Deze technologie gebruikt unieke kenmerken van iemands vingerafdruk om toegang te verlenen. Het grote voordeel hiervan is dat een vingerafdruk niet kan worden uitgeleend of doorgegeven aan anderen, zoals dat wel kan met een toegangspas of code.

Het gebruik van vingerafdrukken brengt echter ook uitdagingen met zich mee. Omdat een vingerafdruk een bijzonder persoonsgegeven is, moet de opslag en verwerking ervan extra goed worden beveiligd. Ook is het belangrijk om te bedenken dat als een vingerafdruk wordt gekopieerd, deze niet kan worden veranderd zoals een wachtwoord. Bovendien werkt het systeem niet altijd even goed bij mensen met verwonde of versleten vingers, bijvoorbeeld bij mensen die veel handwerk doen.

Toegangscode

Een toegangscode is een van de oudste maar nog steeds veel gebruikte beveiligingsmethoden. Het werkt met een combinatie van cijfers of letters die toegang geeft tot beveiligde ruimtes. Voor een effectieve beveiliging met toegangscodes is het belangrijk dat deze regelmatig worden veranderd en dat ze lang genoeg zijn - minimaal zes cijfers is tegenwoordig de standaard.

Bij het gebruik van toegangscodes is het belangrijk dat medewerkers begrijpen dat ze de codes niet mogen delen met anderen en dat ze geen voor de hand liggende combinaties mogen gebruiken. Ook moet er een duidelijk proces zijn voor het wijzigen van codes, vooral als er personeelswisselingen zijn.

Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=Passende_beveiliging&oldid=437"