Het lijkt misschien voor de hand liggend om informatiebeveiliging naast gegevensprivacy te beschouwen, maar wat bepaalt de nieuwe, aanstaande Algemene Verordening Gegevensbescherming (AVG) precies?
Eigenlijk bevat de AVG geen specifieke beveiligingseisen. Op grond van artikel 32, getiteld “Beveiliging", slechts 135 woorden beschrijven ze:
“Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking, evenals het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen de verwerkingsverantwoordelijke en de verwerker passend implementeren technische en organisatorische maatregelen om een passend beveiligingsniveau te garanderen op het risico, met inbegrip van, indien van toepassing, onder meer:
(a) de pseudonimisering en encryptie van persoonsgegevens;
(b) het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen;
(c) het vermogen om de beschikbaarheid van en de toegang tot persoonlijke gegevens tijdig bij een fysiek of technisch incident;
(d) een proces voor het regelmatig testen, beoordelen en het evalueren van de effectiviteit van technische en organisatorische maatregelen ter waarborging van de veiligheid van de verwerking."
Het woord ‘passend’ wordt hier drie keer genoemd. Terwijl dit een zekere mate van flexibiliteit geeft bij het bepalen van de organisatie beveiligingsmaatregelenbrengt dit ook het risico met zich mee dat de mening van een toezichthouder kan verschillen van de uwe als het gaat om de beveiligingsmaatregelen die u heeft getroffen.
Dit betekent dat je er klaar voor moet zijn demonstreer en verdedig uw aanpak en de operationele effectiviteit van de aanwezige veiligheidscontroles.
Chris Zoladz*, oprichter van informatie- en privacyadviseurs, Navigate LLC, en voormalig voorzitter van de International Association of Privacy Professionals (IAPP) biedt…
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
1. Gebruik een erkend beveiligingskader — Als uw organisatie nog geen beveiligingsframework zoals ISO 27001/2 gebruikt Om uw beveiligingsprogramma te begeleiden, selecteert u een raamwerk of een combinatie van bekende raamwerken die de componenten van het algehele beveiligingsprogramma zullen informeren.
2. Beveiliging beherenrisico — Niet alle veiligheidsrisico's zijn gelijk en niet alle risico's kunnen of moeten worden geëlimineerd. Het is eenvoudigweg niet realistisch, kosteneffectief of noodzakelijk. Gelukkig is de GDPR onderkent die werkelijkheid. U moet dit echter nog steeds doen veiligheidsrisico’s inschatten en redelijke stappen ondernemen om significante risico's te beperken, compenserende controles te implementeren of te rechtvaardigen waarom een absoluut risico zal worden aanvaard. Elke organisatie zou een risicoraamwerk moeten gebruiken en een proces moeten hebben om risico's te evalueren en te beheersen. Als uw organisatie momenteel geen formeel proces heeft voor het identificeren, documenteren en beveiliging beheren risico's, maak gebruik van ISO 27001, NIST of een ander raamwerk om verbeteringen aan te brengen. Dit betekent niet dat uw organisatie nodig heeft om elk element in een bepaald raamwerk te implementeren, maar in plaats daarvan zal het dienen als startpunt of referentie om ervoor te zorgen dat de noodzakelijke elementen van risicobeheer worden aangepakt.
3. Documentatie is je vriend — Wanneer er een kwestie is die uitmondt in een onderzoek of audit, zal het succes van de verdediging van de organisatie rechtstreeks verband houden met de kracht van de “show and tell” die aan de toezichthouder of auditor wordt gepresenteerd. Documentatie is het ‘showonderdeel’ van de verdediging dat kan worden gebruikt om aan te tonen dat er beveiligingscontroles zijn uitgevoerd (bijvoorbeeld een lijst van alle werknemers die de beveiligingstraining hebben voltooid) en effectief werken (bijvoorbeeld de toegangscontrole Uit logboeken blijkt dat ongeautoriseerde toegangspogingen tot een systeem met persoonsgegevens zijn geïdentificeerd en onderzocht). Zorg voor een redelijk niveau van documentatie om de aanwezige beveiligingscontroles aan te tonen en te verdedigen.
4. Continu “lezen en reageren” — Technologie, zakelijke vereisten en wettelijke vereisten zullen in de loop van de tijd voortdurend veranderen. Als gevolg hiervan zullen nieuwe risico's ontstaan en zullen nieuwe of andere beveiligingsmaatregelen nodig zijn. Dit zal een eindeloze cyclus zijn en vereist dat de organisatie zich voortdurend aanpast en verfijnt veiligheidshouding om te kunnen reageren op nieuwe risico's. Beveiliging is, net als privacy, een voortdurend proces en geen eenmalig project.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Normen als ISO 27001:2013 moedigen continu aan verbetering. Door extern auditingMet onafhankelijke certificering geeft u uw klanten het vertrouwen dat ze nodig hebben om te zien dat u het ISMS handhaaft en voldoet aan de vereisten voor regelmatige beoordelingen en doorlopend beheer.
Omdat klanten waarschijnlijk ook verschillende opvattingen hebben over welke beveiligingsmaatregelen passend zijn, zal het implementeren van één algemeen erkende standaard helpen voorkomen dat ze in verschillende richtingen worden getrokken.
ISMS.online maakt het eenvoudig om uw gegevensprivacy te beschrijven, aan te tonen en te verdedigen en informatiebeveiligingspraktijken en bedieningselementen.
Gebruik onze kant-en-klare AVG- en ISO 27001-frameworks, ISO 27001-beleid en -controles met tools voor risicobeheer en tools voor het beheren van andere werkprocessen vereist door de AVG.
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering