Het is allemaal prima om goede bedoelingen te hebben om persoonlijke gegevens veilig te houden, maar om echt compliant te zijn moeten organisaties ervoor zorgen dat ze passende technische en organisatorische maatregelen nemen.
Laten we, nu de eerste echte wijziging in de Wet bescherming persoonsgegevens in twintig jaar is, eens kijken naar wat de Algemene Verordening Gegevensbescherming (GDPR) zegt over veiligheidsprincipes.
De beveiliging van persoonlijke gegevens is niets nieuws. De Data Protection Act (DPA) 1998 beveelt aan dat de beste praktijk onder meer het beoordelen van het risico voor informatie en het nemen van passende beveiligingsmaatregelen omvat. Maar met de komst van de AVG zijn deze aanbevelingen nu een wettelijke vereiste.
In de nieuwe regelgeving spreekt artikel 5, lid 1, onder f). integriteit en vertrouwelijkheid van persoonsgegevens, nu bekend als het ‘veiligheidsprincipe’ van de AVG:
“Verwerkt op een manier die een passende beveiliging van de persoonsgegevens garandeert, inclusief bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of schade, met behulp van passende technische of organisatorische maatregelen.”
Het doel van het beveiligingsprincipe is ervoor te zorgen dat de beveiligingsmaatregelen van uw organisatie helpen voorkomen dat de persoonlijke gegevens die u bewaart, verloren gaan, worden gestolen of op welke manier dan ook in gevaar worden gebracht. Dus als we het erover hebben informatiebeveiliging, nemen we ook cyber-, fysieke en organisatorische beveiliging mee.
Het Information Commissioner's Office (ICO) beveelt aan dat het beveiligingsbeginsel in overweging wordt genomen naast artikel 32 van de AVG, met name artikel 32, lid 1.
“Rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking, evenals het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zullen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen implementeren om een op het risico afgestemd beveiligingsniveau te garanderen.”
Als organisaties en individuen niet volgen informatiebeveiliging processen en principes kan het risico voor eigendommen en levens aanzienlijk zijn. Enkele voorbeelden van schade zijn:
Bovenal is informatiebeveiliging een wettelijke vereiste die u ook helpt om goed databeheer in de praktijk te brengen en aan uw klanten te laten zien toeleveringsketen en klanten waarop u kunt vertrouwen.
Bovendien geldt: hoe meer werk u hier in steekt, hoe beter, aangezien de ICO de technische en organisatorische maatregelen beoordeelt die u heeft genomen bij het overwegen van een boete – als het ergste zou gebeuren.
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
Met ISMS.online behoren uitdagingen rondom versiebeheer, beleidsgoedkeuring en beleidsdeling tot het verleden.
Zoals we al hebben besproken, omvatten de beveiligingsprincipes elk aspect van de verwerking van persoonlijke gegevens (cyber en fysiek).
De beveiligingsmaatregelen zullen er dus voor zorgen dat persoonlijke gegevens alleen toegankelijk zijn voor geautoriseerde personen met het oog op openbaarmaking of verwijdering. De maatregelen zorgen ervoor dat de gegevens juist en volledig zijn en toegankelijk en bruikbaar blijven. Hierbij wordt verwezen naar het beginsel van 'vertrouwelijkheid, integriteit en beschikbaarheid'.
Hoewel de AVG geen specifieke aanbevelingen of definities geeft van uw beveiligingsmaatregelen, wordt van uw organisatie verwacht dat zij een ‘passend’ beveiligingsniveau implementeren. Om te bepalen wat voor u passend wordt geacht, moet u eerst het risico meten en de waarde van de persoonsgegevens beoordelen.
Een organisatorische maatregel zou onder meer het uitvoeren van een risicobeoordeling van informatie. Ook het opbouwen van een cultuur van informatie en internetveiligheid in uw organisatie is essentieel om de principes dagelijks in praktijk te brengen. Dit kan de verantwoordelijkheid zijn van a Functionaris voor gegevensbescherming (DPO) of een ander personeelslid dat verantwoordelijk is gesteld voor het communiceren van beveiligingsbewustzijn.
De ICO stelt ook voor dat u het volgende opneemt wanneer u stappen onderneemt om aan het beveiligingsprincipe te voldoen:
- coördinatie tussen sleutelfiguren in uw organisatie (de beveiligingsmanager moet bijvoorbeeld op de hoogte zijn van de inbedrijfstelling en afvoer van IT-apparatuur);
- toegang tot gebouwen of apparatuur die aan iemand buiten uw organisatie wordt gegeven (bijvoorbeeld voor computeronderhoud) en de extra beveiligingsoverwegingen die dit met zich meebrengt;
- bedrijfscontinuïteit regelingen die bepalen hoe u de persoonlijke gegevens die u in uw bezit heeft, beschermt en herstelt; En
- periodieke controles om ervoor te zorgen dat uw beveiligingsmaatregelen passend en actueel blijven.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
De eerste stap bij het naleven van het principe van vertrouwelijkheid, integriteit en beschikbaarheid is weten waar al uw persoonlijke gegevens zich bevinden. Gelukkig ISMS.online heeft een oplossing daarom.
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering