Passende maatregelen volgens de AVG

Terug

De AVG zegt ook iets over de beveiliging van de door u verwerkte persoonsgegevens en verwacht dat u deze richtlijnen als referentie gebruikt bij het vermelden van toegepaste beveiligingsmaatregelen in het verwerkingsregister.

De AVG stelt: “Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:”

  • Pseudonimisering en versleuteling van persoonsgegevens.

Onbruikbaar/onherkenbaar maken van persoonsgegevens is belangrijk in bijv. ontwikkel en test (non-productie) omgevingen of bij het doorgeven van persoonsgegevens voor statistische analyses waar vaak meerdere leveranciers toegang tot de persoonsgegevens hebben en waar de beveiliging mogelijk minder zwaar opgetuigd is. Pseudonimisering levert de betrokkenen vertrouwelijkheid op doordat persoonsgegevens die normaliter herleidbaar zijn naar de betrokkenen en die niet direct nodig zijn voor de verwerking vervangen worden door een reeks onbruikbare gegevens. Pseudonimisering kan i.t.t. anonimisering ongedaan gemaakt worden door de onbruikbare gegevens te koppelen aan bestanden/databases  waarin de originele persoonsgegevens gescheiden bewaard worden. Hiermee wordt een relatie opgezet waarna een match kan worden gemaakt. Dit kan alleen uitgevoerd worden met de juiste beveiligde technische inrichting en personen met de juiste privileges.

Anonimisering is ook een optie echter worden de gegevens dan permanent onbruikbaar gemaakt 

Bij versleuteling worden de persoonsgegevens onleesbaar gemaakt voor personen die geen privileges hebben om de persoonsgegevens te mogen verwerken. Versleuteling/encryptie kan toegepast worden op opgeslagen gegevens zoals  in databases, op laptops/desktops/usb/file shares of in de Cloud. Ook gegevens die getransporteerd worden kunnen we versleutelen, we zien dit als we via het Internet communiceren zoals bij het werken met beveiligde (https) Websites of bij het verzenden van bestanden via Secure FTP of het versturen van versleutelde e-mail berichten.

  • Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.

Denk hierbij aan een schaalbaar, flexibel en redundant uitgevoerd IT platform, betrouwbare Identity & Access Management systemen, het gebruik van data encryptie op end user devices, goed uitgewerkt beleid, procedures en standaarden en het trainen van gebruikers in het correct omgaan met de procedures plus het trainen op het vlak van awareness/gedragsverandering.

  • Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.

Redundantie binnen fysieke systemen verhoogt de beschikbaarheid, het hebben van een betrouwbare back-up vergezeld met het uitvoeren van reguliere restore tests verzekerd het tijdig kunnen herstellen van persoonsgegevens. Uiteraard worden het beleid en de bijbehorende instructies beschreven als onderdeel van de organisatorische maatregelen.

  • Een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. 

Een dergelijke procedure beschrijft de controlemiddelen en de wijze waarop deze ingezet worden. Vanuit techniek zien we hier bijvoorbeeld risico analyses, vulnerability scans en penetration tests en vanuit organisatie optiek kunnen er online tests gehouden worden om na te gaan of de kennis op peil is bij de gebruikers over hoe te handelen bij incidenten, bijvoorbeeld wat te doen bij datalekken en of zij nog voldoende aware zijn van de diverse digitale en non-digitale risico’s.

  • Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

Laat de data eigenaar (of applicatie/proces eigenaar) aan de hand van een classificatie proces en risico analyse bepalen hoe belangrijk de gegevens zijn. De pakketten aan juridische, organisatorische en technische maatregelen kunnen dan aan de diverse classificatieniveaus gekoppeld worden zodat de organisatie direct weet wat er ingeregeld moet worden.

  • Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat bovenstaande bedoelde vereisten worden nageleefd.

Stel dat uw organisatie gecertificeerd is volgens de ISO27001/2:2013 normering en gedragscode of in ieder geval aantoonbaar volgens een dergelijk security framework werkt (COBIT5 is ook een bekende) dan helpt dit enorm bij het compliant worden met de AVG en het invullen van de passende maatregelen.

  • De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

Zorg ervoor dat de verwerkersovereenkomsten op orde zijn tussen verwerkingsverantwoordelijke en verwerker. Dit is belangrijk of u nu de verantwoordelijke of de verwerker bent.