Passende beveiliging

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen

In de AVG is in artikel 32 opgenomen dat iedere organisatie verplicht is 'passende technische en organisatorische maatregelen' te nemen om de persoonsgegevens te beveiligen. Dit is van belang voor de bescherming van persoonsgegevens. Wanneer een organisatie persoonsgegevens verwerkt is het van belang dat deze gegevens worden beveiligd tegen bijvoorbeeld het hacken van de bestanden. Wat passend is, is afhankelijk van meerdere aspecten: de organisatie, de specifieke verwerking van persoonsgegevens en de kwetsbare onderdelen die zijn geïnventariseerd. Hiervoor is niet een 'one-size-fits-all' plan waarmee iedere organisatie voldoet.

In artikel 32 van de AVG wordt beschreven welke maatregelen dat zijn. Er wordt bijvoorbeeld gesteld dat organisaties een passend beveiligingsniveau moeten hanteren, rekening houdend met:

  • de stand van de techniek;
  • de kosten;
  • de aard, de omvang, de context en het doel van de verwerking.

Eigenlijk is het de bedoeling dat een organisatie de balans vindt tussen enerzijds het risico van de verwerking en anderzijds de maatregelen om voor een goede beveiliging te zorgen. Een organisatie moet niet alleen rekening houden met de technische aspecten van de beveiliging, maar ook met de kosten en de gevoeligheid van de gegevens. Er moet ook kritisch worden nagegaan hoe de organisaties met persoonsgegevens omgaat. De AVG maakt aldus een onderscheid tussen technische en organisatorische maatregelen.

Technische beveiligingsmaatregelen

Voorbeelden van technische beveiligingsmaatregelen:

  • 2FA (twee-factor-authenticatie). Dit houdt in dat naast het invoeren van een wachtwoord nog een extra verificatie nodig is om in te loggen op bijvoorbeeld een systeem, zoals een verificatiecode of het tonen van een personeelspas.
  • Gegevens versleutelen (encryptie).
  • Hashing gebruiken als methode om persoonsgegevens te pseudonimiseren.
  • Logische en fysieke (toegangs)beveiliging en beveiliging van apparatuur. Denk niet alleen aan kluizen en portiers, maar ook aan firewalls, autorisatie en accounts koppelen aan specifieke personen.
  • Technisch beheer van de autorisaties en het bijhouden van logbestanden.
  • Beheer van technische kwetsbaarheden ('patch management').
  • Software up-to-date houden, zoals browsers, virusscanners en besturingssystemen.
  • Back-ups maken waarmee u de beschikbaarheid en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft, zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt.
  • Verouderde gegevens automatisch verwijderen.

Organisatorische beveiligingsmaatregelen

Voorbeelden van organisatorische beveiligingsmaatregelen:

  • Mensen verantwoordelijkheden toewijzen voor informatiebeveiliging.
  • Beveiligingsbewustzijn vergroten bij bestaande en nieuwe medewerkers.
  • Procedures opstellen om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen, te evalueren eventueel aan te scherpen.
  • Regelmatig de logbestanden controleren.
  • Een protocol opstellen voor de afhandeling van datalekken en beveiligingsincidenten.
  • Geheimhoudingsovereenkomsten en verwerkersovereenkomsten afsluiten.
  • Regelmatig beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
  • Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
  • Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.

Encryptie

De AVG benadrukt in artikel 32 het belang van encryptie als potentiële beveiligingsmaatregel. Encryptie, ook wel versleuteling genoemd, is een techniek om gegevens onleesbaar te maken voor onbevoegden. Hierbij wordt een onderscheid gemaakt tussen asymmetrische en symmetrische encryptie:

  1. Asymmetrische encryptie. Deze vorm van encryptie maakt gebruik van twee verschillende sleutels:
    • Eén openbare sleutel voor versleuteling
    • Eén privé sleutel voor ontsleuteling. Alleen de bezitter van deze privé sleutel kan de informatie ontcijferen.
  2. Symmetrische encryptie. Deze vorm van encryptie maakt gebruik van één sleutel voor zowel versleuteling als ontsleuteling. Deze sleutel moet veilig gedeeld worden tussen zender en ontvanger.

In beide gevallen is het van belang een veilige methode te gebruiken voor het uitwisselen van sleutels tussen partijen. Ook is het voor beide methoden van belang dat de sleutel regelmatig wordt bijgewerkt om effectief te blijven. De sleutel dient namelijk de levensduur van de versleutelde gegevens te overleven. Dit betekent dat wat nu als veilig wordt beschouwd, binnen een paar jaar kwetsbaar kan worden. De toenemende rekenkracht van computers vereist steeds sterkere en intelligentere vormen van encryptie. Met goed versleutelde data werken kan in geval van een inbreuk in verband met persoonsgegevens (een datalek) de impact voor de verwerkingsverantwoordelijke en betrokkenen beperken en mogelijke schade minimaliseren.


HIER MOET IIG NOG INFO KOMEN OVER:

PSEUDONIMISERING / ANONIMISERING

Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=Passende_beveiliging&oldid=329"