Goed omgaan met privacy betekent ook zorg dragen dat de persoonsgegevens die u worden toevertrouwd goed worden beveiligd. Het is dan ook niet gek dat dit een verplichting is vanuit de Algemene Verordening Gegevensbescherming (AVG). Het treffen van passende organisatorische en technische beveiligingsmaatregelen noemt de AVG dit. Maar wat is het verschil tussen organisatorische en technische beveiligingsmaatregelen? En hoe bepaal je welke maatregelen nou passend zijn voor een organisatie?
De meeste informatiebeveiligingsnormenkaders zijn gebaseerd op de NEN-ISO/IEC 27001 en 27002. Veel branches hebben een eigen baseline informatiebeveiliging ontwikkeld, een normenkader waarin technische en organisatorische beveiligingsmaatregelen zijn opgesomd. Zo’n normenkader wordt ook gebruikt bij audits. Zonder kennis van deze normenkaders wordt het lastig om deze maatregelen juist toe te passen. Het probleem dat hierin schuilt is dat normenkaders vaak erg uitgebreid zijn. Zo bestaat de BIC, de baseline informatiebeveiliging voor woningcorporaties, uit 18 hoofdstukken die elk weer opgedeeld zijn in verschillende secties. Welke hoofdstukken moet u prioriteit geven? Begint u met het implementeren van maatregelen uit hoofdstuk 1, dan hoofdstuk 2 en zo maar door? Of is het toch beter om bijvoorbeeld bij hoofdstuk 13 (Communicatiebeveiliging) te beginnen?
Technisch of organisatorisch?
Technische beveiligingsmaatregelen treffen draait om het toepassen van moderne techniek in de informatiebeveiliging. Het gaat hierbij over de ICT-beveiliging, zoals het beveiligen van het netwerk, mobile device management of encryptie van gegevens. Organisatorische maatregelen zijn meer gericht op hoe een organisatie met persoonsgegevens omgaat: wie kan welke gegevens inzien of bewerken? Hoe gaan medewerkers om met zaken als clean desk en clear screen? Wat is het wachtwoordenbeleid? Zijn medewerkers bewust van de risico’s die het zomaar binnenlaten van een vreemde met zich mee kan brengen? En wat doet u met een USB stick? Steekt u die zo in de computer om te kijken wat er op staat (met alle risico’s van dien), of wordt deze direct naar de IT-manager gebracht voor verdere verwerking?
De Security Officer
Een Security Officer is een werknemer die gespecialiseerd is in informatiebeveiligingsprogramma’s en op de hoogte is van de relevante informatiebeveiligingsnormen waar uw organisatie aan dient te voldoen. Deze persoon geeft een organisatie inzicht in welke maatregelen passend zijn in het kader van de verwerkingsactiviteiten; dit wordt bepaald door de aard en omvang van de te beveiligen persoonsgegevens. Daarnaast is de Security Officer natuurlijk ook verantwoordelijk voor de beschikbaarheid, integriteit en vertrouwelijkheid van de overige informatie in de organisatie. Heeft u iemand binnen de organisatie die inzicht heeft in uw informatiebeveiliging, sturing kan bieden in de ontwikkeling hiervan, en ook kan acteren binnen uw informatiebeveiligingsprogramma?
Handhaving van de AVG zal dit jaar steeds strenger worden, kondigde de Autoriteit Persoonsgegevens aan in januari 2019. Heeft u nog geen idee welke passende technische en/of organisatorische maatregelen u moet treffen of welke nog moeten worden toegepast binnen uw organisatie: geen nood! Dennis, Jorrit of Ralph staan paraat om u meer te vertellen over onze werkwijze en hoe u uw huidige informatiebeveiligingsbeleid inzichtelijk krijgt en beter kunt beveiligen. Vraag vooral naar het Compliance Management Framework, een cloud-based tool waarin u uw hele informatiebeveiligingsbeleid kunt vastleggen. Inclusief branche-specifieke normenkaders en gekoppeld aan uw privacyprogramma als u dat wilt.