Beveilig persoonlijke gegevens

De AVG bepaalt dat gegevensbeheerders en gegevensverwerkers passende technische en organisatorische maatregelen moeten nemen om een op het risico afgestemd beveiligingsniveau van persoonsgegevens te waarborgen.

De volgende informatie bevat de basisvoorzorgsmaatregelen die moeten worden overwogen door organisaties die persoonsgegevens verwerken (d.w.z. gegevensbeheerders en gegevensverwerkers). Het is niet de bedoeling om een volledige lijst te geven van maatregelen die kunnen worden geïmplementeerd om persoonsgegevens in alle contexten te beschermen. Verwerkingsverantwoordelijken en verwerkers moeten deze maatregelen aanpassen aan de context (rekening houdend met de stand van de techniek, de context van de verwerking en het risico voor individuen).

De gevolgen van een gebrek aan beveiliging kunnen ernstig zijn: bedrijven kunnen hun imago aangetast zien worden, het vertrouwen van hun consumenten verliezen, grote sommen geld moeten betalen om te herstellen van een beveiligingsincident (bijvoorbeeld na een datalek) of hun activiteit gestopt. Veilige persoonsgegevens zijn in het belang van zowel individuen als de organisaties die de gegevens verwerken.

Om de risico’s van elke verwerking te beoordelen, is het raadzaam om eerst de mogelijke impact op de rechten en vrijheden van de betrokken personen te identificeren. Hoewel organisaties hun (persoonlijke of niet-persoonlijke) gegevens voor hun eigen belang moeten beschermen, richt de volgende informatie zich op de bescherming van de gegevens van individuen.

Gegevensbeveiliging heeft drie hoofdcomponenten: de integriteit, beschikbaarheid en vertrouwelijkheid van de gegevens beschermen. Daarom moeten organisaties de risico’s voor het volgende beoordelen:

ongeoorloofde of onopzettelijke toegang tot gegevens – schending van de vertrouwelijkheid (bijvoorbeeld identiteitsdiefstal na openbaarmaking van de loonstroken van alle werknemers van een bedrijf);
ongeoorloofde of onopzettelijke wijziging van gegevens – inbreuk op de integriteit (bijv. een persoon valselijk beschuldigen van een overtreding of misdrijf als gevolg van de wijziging van toegangslogboeken);
verlies van gegevens of verlies van toegang tot gegevens – schending van beschikbaarheid (bijv. het niet detecteren van een geneesmiddelinteractie vanwege de onmogelijkheid om toegang te krijgen tot het elektronische dossier van de patiënt).
Het is ook raadzaam om de risicobronnen te identificeren (d.w.z. wie of wat kan de oorzaak zijn van elk beveiligingsincident?), rekening houdend met interne en externe menselijke bronnen (bijv. IT-beheerder, gebruiker, externe aanvaller, concurrent), en interne of externe niet-menselijke bronnen (bijv. waterschade, gevaarlijke materialen, niet-gericht computervirus).

Deze identificatie van de risicobronnen stelt u in staat om de potentiële bedreigingen te identificeren (d.w.z. onder welke omstandigheden kan een beveiligingsincident optreden?) op ondersteunende bedrijfsmiddelen (bijv. hardware, software, communicatiekanalen, papier, enz.), die kunnen zijn:

op een ongepaste manier gebruikt (bijv. misbruik van rechten, afhandelingsfout);
gewijzigd (bijv. insluiting van software of hardware – keylogger, installatie van malware);
verloren (bijvoorbeeld diefstal van een laptop, verlies van een USB-stick);
waargenomen (bv. observatie van een scherm in een trein, geolocatie van apparaten);
verslechterd (bijv. vandalisme, natuurlijke achteruitgang);
overbelast (bijv. volle opslageenheid, denial of service-aanval).
niet beschikbaar (bijvoorbeeld in het geval van een ransomware).
Het is ook raadzaam om:

de bestaande of geplande maatregelen bepalen om elk risico aan te pakken (bijv. toegangscontrole, back-ups, traceerbaarheid, beveiliging van gebouwen, encryptie);
de ernst en waarschijnlijkheid van de risico’s inschatten op basis van bovenstaande elementen (voorbeeld van een schaal die gebruikt kan worden voor de inschatting: verwaarloosbaar, matig, significant, maximaal);
implementeer en verifieer geplande maatregelen als bestaande en geplande maatregelen passend worden geacht, zorg ervoor dat ze worden uitgevoerd en gecontroleerd;
voer periodieke beveiligingsaudits uit: elke audit moet resulteren in een actieplan waarvan de uitvoering moet worden gecontroleerd op het hoogste niveau van de organisatie.
De AVG introduceert het begrip “gegevensbeschermingseffectbeoordeling (DPIA)”, die verplicht is voor elke verwerking van persoonsgegevens die waarschijnlijk een hoog risico voor personen met zich meebrengt. Een DPIA (Data Protection Impact Assessment) moet de beoogde maatregelen bevatten om de geïdentificeerde risico’s aan te pakken, waaronder waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming van persoonsgegevens te waarborgen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *