Technische maatregelen

Terug

Er zijn ontzettend veel technische maatregelen beschikbaar die ingezet kunnen worden om te helpen persoonsgegevens te beveiligen vanuit het oogpunt van beschikbaarheid, integriteit en vertrouwelijkheid (BIV). 

Een aantal van deze maatregelen behoren bij een soort basis beveiligingsniveau die de meeste organisaties hanteren. Daar bovenop worden naargelang de noodzaak aanwezig is additionele maatregelen getroffen.

De AVG spreekt over passende maatregelen op juridisch, organisatorisch en technisch vlak. Als we de maatregelen die passend zijn op technisch vlak bekijken vanuit BIV optiek dan zien we de onderstaande algemene vereisten.

  1. “Het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.”
  2. “Pseudonimisering en versleuteling van persoonsgegevens.”
  3. “Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen”

De bovenstaande passende maatregelen zijn vrij algemeen als het aankomt op de keuze van technische maatregelen/producten, een organisatie kan hiermee verschillende kanten op.

Aanpak

Om te komen tot het juiste niveau van technische maatregelen zijn er verschillende methodieken. Een veelgebruikte methode is het hanteren van een basis beveiligingsniveau dat rekening houdt met beschikbaarheid, integriteit en vertrouwelijkheid van systemen en informatie. Alle systemen en (toegang tot) informatiebronnen dienen dan minimaal te voldoen aan dit basis beveiligingsniveau.

Classificatie

Aanvullende maatregelen worden genomen op basis van classificatie van informatie. Deze classificatie wordt uitgevoerd door de data-, applicatie- of proceseigenaren. Stel je classificeert informatie in de categorieën openbaar, bedrijfsvertrouwelijk, vertrouwelijk en geheim dan kan je de benodigde maatregelen voor deze vier categorieën benoemen voor zowel beschikbaarheid, integriteit als vertrouwelijkheid. Na classificatie van  bestaande en nieuwe informatiebronnen kunnen de juiste technische maatregelen worden ingericht.

In de classificatie opzet kunnen zowel de technische als de juridische en organisatorische maatregelen meegenomen worden om tot een geïntegreerde aanpak te komen.

Maatregelen rondom Informatiebeveiliging

Het onderstaande lijstje laat de technische maatregelen zien die in basis aanwezig zouden moeten zijn om als goed huisvader om te gaan met de beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens van betrokkenen waarvoor uw organisatie verantwoordelijk is.

Beschikbaarheid
– High Availability: redundantie binnen de IT infrastructuur
– Noodstroom
– Fysieke beveiligde computerruimte
– Back-up/Restore (getest!)
– Update Services OS en software
– Anti-Malware software
– Management Tooling (Monitoring, Alerting, Capacity Management)

Integriteit
– Identity & Access Management
– User/Group Directory (AD) Management
– Alignment met HR proces
– User/Machine Policy Management (systeem hardening)
– In Applicatie Autorisatie Management
– Multifactor Authentication voor onvertouwde netwerken/devices
– Management Tooling (Logging, Accounting, Alerting)

Vertrouwelijkheid
– Firewall
– DMZ segment
– Beveiligd draadloos netwerk
– Gastnetwerk gescheiden van het eigen  productieomgeving
– Full Disk Encryptie (mobile devices)
– Encryptie Web verkeer via certificaten (HTTPS)
– VPN toegang (SSL)
– Management Tooling (Logging, Accounting, Alerting)

Maatregelen rondom rechten van betrokkenen

Betrokkenen krijgen meer rechten en zijn eigenaar van hun eigen persoonsgegevens tot zover de wet dit toestaat.

Hiervoor zullen bij veel organisaties aanpassingen doorgevoerd moeten worden binnen het applicatie- en informatielandschap ((web)applicaties, databases en datawarehouses) om de rechten van betrokkenen in te kunnen vullen.

Hieronder volgen enkele rechten die impact hebben op de wijze waarop uw applicatie- en informatielandschap ingericht zijn en de processen die u hanteert rondom het verwerken van persoonsgegevens.

Inzage en rectificatie: persoonsgegevens dienen eenvoudig en overzichtelijk gepresenteerd te kunnen worden aan de betrokkenen waarbij de betrokkenen tevens de mogelijkheid  heeft deze aan te (laten) passen. Een online profiel is daarbij een handig hulpmiddel.

Doorgifte: persoonsgegevens dienen eenvoudig en in een bruikbaar formaat opgeleverd te kunnen worden aan betrokkenen zodat deze gebruikt kunnen worden door een andere dienstverlener.

Gegevenswissing: persoonsgegevens dienen gewist te  kunnen worden als een betrokkene daarom vraagt. Dit geldt ook voor de persoonsgegevens die eerder al zijn doorgegeven aan 3de partijen. U dient in ieder geval persoonsgegevens te kunnen markeren voor wissing zodat deze niet meer gebruikt worden. Er dient een proces te zijn om deze gegevens uiteindelijk permanent te wissen en bijvoorbeeld via normale retentie uit archieven en back-ups te verwijderen

Privacy by Design & by Default: zorg ervoor dat uw applicaties transparant, behoorlijk en rechtmatig persoonsgegevens verwerken. Zorg voor toestemming van de betrokkenen in kwestie en ga voor transparantie. Denk aan tips als:

  • Gebruik simpele taal bij vragen toestemming gebruik persoonlijke data.
  • Duidelijk zijn over wat je met de informatie doet.
  • Zwijgen is niet langer geldige toestemming

Voldoe je straks niet aan de nieuwe regels dan hebben de autoriteiten het recht om je dataverwerkingsactiviteiten te stoppen. Dit vergt omvangrijke aanpassingen voor organisaties want veel van de huidige methoden zijn nu nog onvoldoende.

Aanvullende technische maatregelen

De bovenstaande basis maatregelen daarmee begint het. Uiteraard is het niet uitputtend maar een goede start. Uiteindelijk worden gegevens beschermt via een combinatie van juridische, organisatorische en technische maatregelen aan de hand van het gewenste niveau dat weer bepaald wordt door classificatie van de aanwezige (persoons)gegevens/informatie.