Heb je een vraag? Ons team zit voor je klaar!

Professionele servicedesk, snelle reactieSUPPORT

Referentiecase Hawedo over écht veilig werken
3 april 2018
Vanaf 25 mei is veilig werken écht noodzakelijk!
4 april 2018

GDPR: Welke ‘passende’ technische maatregelen neem jij?

Je bent bezig met de werkzaamheden rondom de GDPR. Een van de stappen die volgt is dat je op basis van de inventarisatie van jouw persoonsgegevens -en aansluitend de analyse hiervan- weet welke risico’s je loopt. Voor deze risico’s dien je in de huidige situatie passende maatregelen te treffen en hierin rekening houden met ‘de stand van techniek’. Deze omschrijving van een wettelijke plicht heeft uitleg nodig. Toch? We zetten daarom graag een set van maatregelen voor je op een rij in dit artikel.

  “Pas wanneer je de persoonsgegevens geïnventariseerd, geanalyseerd en gecategoriseerd heeft, weet je welke risico’s jouw organisatie loopt. Pas wanneer je dit in beeld hebt kunnen er passende (beveiligings)maatregelen bepaald worden.”

Pieter Franken, Technisch directeur / CISO bij IT Support Groep

 

  1. Inventarisatie, PIA & risico analyse

Als eerste stap dient een organisatie vast te stellen voor welke persoonsgegevens ze verantwoordelijk zijn én welke informatie bewerkt wordt. Tevens moeten deze persoonsgegevens geclassificeerd worden op basis van privacy risico’s. Een goed hulpmiddel hiervoor is een PIA, een Privacy Impact Assessment. De beroepsorganisatie voor IT auditors heeft hiervoor een handige handreiking gepubliceerd: https://www.norea.nl/download/?id=522

 

Om de juiste beveiligingsmaatregelen te bepalen, die passend zijn bij het privacy risico, dient een risico analyse te worden uitgevoerd. Deze risico inventarisatie kan worden uitgevoerd op basis van het ISO 27001 model.

Nu we weten welke concrete risico’s jouw organisatie loopt kan worden nagedacht over de ‘passende maatregelen’.

  1. Concrete beveiligingsmaatregelen

Het staat elke organisatie vrij om aan de hand van de risicoanalyse ‘passende maatregelen gezien de stand van de techniek’ te nemen. Hieronder een kort overzicht van mogelijke technische beveiligingsmaatregelen die IT Support Groep regelmatig adviseert.

                 Identity & access management

In dit kader valt te denken aan een beleid rondom wachtwoorden. Het beleid dient in ieder geval iets te zeggen over het aanvragen, gebruiken en wijzigen van wachtwoorden. Bij belangrijke of gevoelige persoonsgegevens kan gebruik gemaakt worden van bijvoorbeeld tweefactor authenticatie. Een andere mogelijkheid, om personen selectief toegang te geven tot persoonsgegevens, is het (fysiek) scheiden van netwerken. Zo is toegang tot bepaalde persoonsgegevens alleen vanaf bepaalde fysieke locaties/computers mogelijk.

                Controls

Het is tegenwoordig (bijna) vanzelfsprekend dat er een firewall aanwezig is die zowel het interne als het externe verkeer monitort. Het is goed om te weten dat je de verplichting hebt de logfiles van deze firewall periodiek te analyseren.

Bij de passende maatregelen voor het beveiligen van persoonsgegevens behoort ook de plicht om een log bij te houden. Het gaat hier om alle activiteiten met betrekking tot de persoonsgegevens. Dit geldt tevens voor (on)geautoriseerde toegang tot de persoonsgegevens. Je hebt natuurlijk ook de verplichting deze logfiles periodiek te beoordelen.

                Vulnerabillities

Een vulnerabillity scan is een preventieve maatregel om ongeoorloofde toegang -mogelijk gemaakt door door ontwerpfouten in netwerken of software-  te detecteren. Bekende voorbeelden hiervan zijn Cross Site Scripting (XXS) en SQL-injection.

Bij deze maatregel voor het beheer van deze technische kwetsbaarheden, gaat het om een oplossing die als resultaat heeft om alleen software (denk aan virusscanners, browsers, operating systems ), maar ook firmware van jouw hardware up-to-date te houden.

                Privacy Enhancing Technologie (PET)

In sommige gevallen zijn technieken als ‘Hashing’, ‘Encryptie’ en ‘Anonimisering’ passende maatregelen. Dit soort beveiligingsmaatregelen vallen onder de noemer ‘Privacy Enhancing Technologies’ (PET). De doorontwikkeling van deze technieken gaat echter zeer snel. Het is belangrijk periodiek te toetsen of de gebruikte techniek nog passend is gezien de stand van de techniek.

 

Congres GDPR Live!

Op uitnodiging van Microsoft spreekt Pieter Franken, Technisch directeur en Chief Information Security Officer tijdens het evenement GDPR Live! Op 25 april staat hij in Den Bosch op het podium om bezoekers meer te vertellen over de gewenste uitwerking van organisatorische maatregelen na 25 mei, dé dag dat de wet GDPR in gaat. Hij belicht vanuit verschillende hoeken het belang van het toetsen én meetbaar maken van de genomen maatregelen. Het complete programma en een overzicht van alle sprekers lees je hier: https://gdpr.heliview.nl/.

Lijkt het je interessant om kosteloos het congres als relatie van IT Support Groep te bezoeken? Dat kan! Neem dan contact op met Marc Franken  via m.franken@itsupportgroep.nl of bel naar 013-5784300.

Dit congres richt zich op: Functionarissen Gegevensbescherming, Privacy Officers, Data Protection Officers, Legal: Bedrijfsjuristen, Compliance officers, Risk managers, Security: CISO, ISO, IT Security manager en IT management.

Meer weten over GDPR en/of het congres GDPR Live? Stel jouw vragen aan Marc!

Heb je vragen?

Wil je iets weten over één van onze diensten? Laat je gegevens achter en wij nemen snel contact met je op.














place