De Algemene verordening gegevensbescherming (AVG) verplicht organisaties persoonsgegevens te beschermen met ‘passende technische en organisatorische maatregelen’. Maar over welke maatregelen hebben we het dan? We fileren artikel 32 om tot het antwoord te komen.
88 pagina’s tekst, onderverdeeld in 99 artikelen. Daarin zal toch wel staan welke ‘passende organisatorische en technische maatregelen’ organisaties moeten treffen om persoonsgegevens te beschermen? Niet in detail. In artikel 32 staan wel enkele typen maatregelen omschreven die organisaties ‘waar passend’ kunnen inzetten:
1. Pseudonimisering en versleuteling van persoonsgegevens
Het is gelukkig niet zo dat de AVG (of GDPR in het Engels) organisaties helemaal in het duister laat tasten. Zo is ‘lid 1a’ van artikel 32 glashelder: pseudonimisering en versleuteling van persoonsgegevens is een maatregel die organisaties ‘waar passend’ moeten inzetten.
Vanuit de privacywetgeving is encryptie een van de belangrijkste beveiligingsmaatregelen. Encryptie zorgt ervoor dat gelekte gegevens onleesbaar blijven voor onbevoegden. Dan kan worden gedacht aan versleuteling van e-mailberichten, bestanden en mappen of de harde schijf met tools als Microsoft BitLocker en Apple FileVault. Met een Mobile Device Management (MDM)-oplossing is encryptie ook af te dwingen op mobiele apparaten.
Bij pseudonimisering gaat het bijvoorbeeld om het voor bepaalde medewerkers niet herleidbaar maken van gegevens zoals contactgegevens en kopieën van identiteitsbewijzen. Die mogelijkheid zit vaak standaard in HRM- en CRM-systemen.
2. Borgen BIV
Informatiebeveiliging gaat over het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Het borgen van deze aspecten wordt gedaan door het hanteren van een raamwerkstructuur, waar continuïteit in zit. Maatregelen als encryptie, MDM en Data Loss Prevention (DLP) komen dan vrijwel altijd naar voren. Het selecteren van de juiste maatregelen houdt volgens de wetgever nauw verband met het risico van de verwerking.Ook DLP is hier een voor de hand liggende oplossing. Na classificatie van de data kun je met behulp van beslisregels bepalen wat gebruikers wel en niet mogen. Zo kan een beslisregel zijn dat alleen de financeafdeling creditcardgegevens mag versturen, maar marketing en sales niet. Of dat gebruikers met minder rechten bepaalde data wel kunnen inzien, maar deze niet mogen wijzigen of versturen.
Het selecteren van de juiste maatregelen houdt volgens de wetgever nauw verband met het risico van de verwerking. Maar ‘borgen’ gaat verder dan het aanschaffen en implementeren van technische tools. Voor compliance is een raamwerk, een ‘Privacy Governance Framework’, nodig waarin aandacht is voor beleid en governance, techniek en proces, maar ook voor controle op naleving.
3. Bedrijfscontinuïteit
Na een incident moeten persoonsgegevens zo snel mogelijk weer beschikbaar zijn en het gegevensverlies beperkt blijven. Binnen security hebben we het dan over bedrijfscontinuïteitsplanning en incident-responsemanagement.
Dit vraagt van organisaties onder andere dat ze analyseren wat de impact is van het niet beschikbaar zijn van persoonsgegevens. Bovendien moeten ze plannen opstellen voor het snel herstellen van de toegang tot persoonsgegevens. Goede back-ups en geteste recoveryprocedures zijn hiervoor cruciaal.
4. Identity & Access Management
Persoonsgegevens mogen alleen toegankelijk zijn voor personen die van de ‘verwerkingsverantwoordelijke’ de opdracht hebben gekregen om ze te verwerken. Processen voor autorisatie en authenticatie moeten die toegang beperken.
Medewerkers krijgen bijvoorbeeld op basis van hun rol rechten toegewezen waarmee ze wel of niet toegang hebben tot persoonsgegevens. Zaken als een strikt wachtwoordbeleid en multifactorauthenticatie zorgen voor de controle ‘aan de poort’. Welke maatregelen worden toegepast, hangt af van het risico.
5. Controle effectiviteit maatregelen
De AVG dwingt organisaties om te controleren of de geïmplementeerde maatregelen effectief genoeg zijn. Dit kan onder andere door het uitvoeren van in- en externe audits en penetratietesten. Zwakheden in de beveiliging komen ook door logging en monitoring aan het licht.
Logging en controle is ook van belang voor het onderzoek na een melding. Neem het voorbeeld van de bekende Nederlander Samantha de Jong (Barbie). Meerdere onbevoegde personen gluurden na haar opname in het HagaZiekenhuis in haar medisch dossier. Door de logging te analyseren, kon het ziekenhuis nagaan hoeveel en welke personen dit binnen en buiten het ziekenhuis zijn geweest.
Continu proces
Uit dit laatste punt blijkt duidelijk dat het treffen van de passende maatregelen geen eenmalige actie is, maar een continu proces van ‘plan, do, check, act’. Hiermee komen we terug op het belang van een Privacy Governance Framework dat alle stappen omvat.
Nandenie Moenielal, Sr. Security Consultant bij DearBytes/KPN