GDPR (15) Maatregelen voor de bescherming van persoonsgegevens

1 december 2017

In de vorige aflevering bespraken we het belang van een impactanalyse. De omvang van het risico bepaalt welke beveiligingsmaatregelen noodzakelijk zijn. Vandaag komen de maatregelen voor de bescherming van persoonsgegevens zelf aan bod. Het is duidelijk dat een kleine firma dit anders zal aanpakken dan een grote. Toch is het leerzaam het stramien van een systeem als ISO 27001 kort voor te stellen. De gedachtegang en de logica die je moet volgen blijft immers dezelfde.

De eerste blokken binnen ISO 27001 gaan over beleid en organisatie. Je moet de uitgangspunten van je beleid formuleren.  Twee zinnen kunnen hiervoor volstaan. Het gebruik van persoonsgegevens moet legaal zijn en een gewettigd doel hebben. Je moet de gegevens adequaat beschermen. Dit beleid vormgeven is de verantwoordelijkheid van de bedrijfsleider. Hij kan die taak delegeren maar hij blijft verantwoordelijk en hij moet ook jaarlijks de doelmatigheid van het beleid beoordelen.

Daarna volgen maatregelen in een aantal domeinen, die in elk type bedrijf of organisatie op één of andere manier invulling moeten krijgen.

  • Personeel (screening / training & awareness / uit dienst)
    • Let bij aanwervingen op de verantwoordelijkheidszin van je medewerkers.
    • Als je gevoelige gegevens verwerkt, vraag dan een Uittreksel uit het strafregister (dat je dan vervolgens zelf ook als gevoelige informatie moet behandelen!).
    • Neem in de arbeidsovereenkomst een vertrouwelijkheidsclausule op. Dat kan één simpele zin zijn: ‘Alle persoonsgegevens die je gebruikt in je werkomgeving, zijn vertrouwelijk en mag je enkel gebruiken voor de taak die je uitvoert’.
    • Train je medewerkers (en jezelf) regelmatig over data privacy.
    • Zorg ervoor dat een medewerker die uit dienst gaat, geen toegang meer heeft tot data en geen bedrijfsmiddelen bijhoudt (ook geen data op papier of digitaal).
  • Classificatie en gebruik van middelen.
    • Stel een register van gegevensverwerkingen op en vul dit aan met een risicoanalyse.
    • Let op met verwijderbare media (bijvoorbeeld geheugensticks met data) en met toestellen die afgevoerd worden. Voorkom dat data in verkeerde handen komen.
  • Toegangsrechten
    • Stel wachtwoorden in die complex genoeg zijn en hou ze strikt persoonlijk.
    • Geef je medewerkers enkel toegang tot informatie die nodig is voor hun functie. Werk hiervoor met ‘functiegroepen’.
    • Beperk de administrator rechten op systemen tot bevoegde personen.
  • Cryptografie
    • De GDPR propageert expliciet encryptie van data als beschermingsmaatregel. Dit is zeker aangewezen bij het uitwisselen van data en bij langdurige bewaring.
    • Voorbeelden zijn het https-protocol op websites, het sftp-protocol voor datatransfers, email encryptie….
    • Een ICT partner kan je hierbij helpen. Maar vergeet niet ook met die partner goede afspraken te maken, zodat hij geen nieuw veiligheidsrisico wordt!
  • Fysieke beveiliging
    • Schakel de schermbeveiliging van je PC in als je niet op je plek zit
    • Laat op het einde van de werkdag geen documenten rondslingeren (clean desk)
    • Stel een sleutelplan op voor burelen (en kasten)
    • Misschien heb je nood aan hekken, een alarmsysteem, camerabewaking of een badgesysteem (en aparte zones binnen je gebouwen)
    • Beveilig je apparatuur tegen stroomuitval. Voorkom pannes.
    • Begeleid altijd je bezoekers en geef hen richtlijnen omtrent vertrouwelijkheid
    • Besteed extra aandacht aan de ruimten waar gevoelige data beschikbaar zijn, zoals een serverroom of een archief met vertrouwelijke dossiers
  • Netwerkbeveiliging
    • Bescherm je netwerk tegen risico’s van buitenaf door een firewall, door virusprotectie en door content filtering.
    • Splits grotere netwerken op in zones. Voorkom uitval van systemen. Monitor en log de activiteiten op het netwerk.
  • Veiligheidsmaatregelen bij het ontwikkelen van toepassingen of systemen
    • Scheid testomgeving en productie en werk een regeling uit voor overzettingen
    • Denk altijd vooraf na over de beveiliging van systemen en test deze voor gebruik
  • Controle over verwerkingen door derden
    • Maak contractuele afspraken over beveiliging en data privacy met je leveranciers
    • Beoordeel de goede werking bij je leverancier en volg deze regelmatig op
  • Continuïteit
    • Beperk de kans dat systemen uitvallen door goed onderhoud en door ontdubbeling
    • Zorg voor veiligheidskopieën van gegevens en stel een plan op om je systemen te herstellen als er zich ernstige problemen voordoen
  • Incidentbeheer
    • Registreer altijd incidenten die een risico inhouden op inbreuken tegen data privacy
    • Bij datalekken met impact geldt een meldingsplicht.
  • Audits
    • Controleer of je beveiliging afdoende is en laat ze evalueren

De opgesomde maatregelen zijn uiteraard voorbeelden. De invulling zal bij iedereen wat verschillend zijn. Maar het overzicht kan een goede hulp zijn om aan alle domeinen te denken waar je actief risico’s kunt beperken. Enkele aspecten werken we in de komende afleveringen nog verder uit, omdat de GDPR er extra aandacht aan besteedt. Dit is het geval voor de controle op onderaannemers of andere derde partijen en ook voor de verplichtingen die je hebt in het geval er zich een datalek zou voordoen.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING