AVG: de ultieme reden om je bedrijfsinformatie te doorgronden en te beveiligen?
03-07-2018 | door: Blogger

AVG: de ultieme reden om je bedrijfsinformatie te doorgronden en te beveiligen?

Het kan je bijna niet ontgaan zijn: sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) is daarmee per direct komen te vervallen. In tegenstelling tot de minstens zo veel besproken millenniumbug (of Y2K problem) is de AVG here to stay!

AVG-toverbox

Organisaties zijn de afgelopen periode bijna bedolven onder de vele AVG uitingen en oplossingen – vaak met een commercieel karakter. Prachtig! Het is echter naïef te denken dat je volledig AVG-compliant wordt na het inzetten van bijvoorbeeld een next-generation firewall, een SIEM-oplossing, een datamanagement appliance/tooling – of een combinatie van diverse ‘oplossingen’. Het volledig AVG-compliant worden is een veel breder vraagstuk, dat verder gaat dan het inrichten van wat intelligente hardware en/of software. Het gaat met name over processen, awareness en heeft een juridisch aspect. Hieraan dient een goed doordacht (strategisch) plan ter grondslag te liggen. Een beweging waarbij interne stakeholders en externe specialisten hun kennis (op deelgebieden) consolideren. 

AVG zou geen pressiemiddel moeten zijn

De AVG-wetgeving is een goed instrument om de privacy van burgers beter te beschermen. Echter, dat de AVG de ultieme aanleiding voor organisaties is om (nu pas) in actie te komen, is nogal vreemd te noemen. Eigenlijk zou iedere organisatie in controle moeten willen zijn over zijn data – denk aan privacy gevoelige informatie of persoonsgegevens (zogeheten PII-gegevens), financiële- of strategische informatie (IP). Zeker ook omdat organisaties steeds meer data-driven zijn, is het van cruciaal belang om een integrale strategie te ontwikkelen en uit te voeren met als einddoel het grip hebben en houden, en het blijvend beveiligen van bedrijfsinformatie. 

Alsnog op weg naar AVG-compliancy: maar hoe dan?

In de praktijk blijkt dat veel bedrijven na 25 mei 2018 nog niet het AVG-ready stempel bezitten en ook de instanties die de wetgeving moeten gaan handhaven zijn nog niet ‘up-to-speed’. Feitelijk zien we een aantal deelgebieden waardoor je alsnog AVG-compliant kunt worden.

1. Interne activiteiten die direct aan AVG-compliancy gerelateerd zijn

De wet stelt dat in ieder geval een register van verwerking moet worden opgesteld (welke persoonsgegevens verwerk ik en met welk doel?). Maar ook dat verwerkersovereenkomsten afgesloten moeten worden met bedrijven waarmee persoonsgegevens worden uitgewisseld. Ook moeten organisaties voorbereid zijn om correct en adequaat te anticiperen op verzoeken van medewerkers en/of klanten inzake hun rechten met betrekking tot persoonsgegevens.

Het is misschien in jouw branche zelfs verplicht om een speciale functionaris voor de gegevensverwerking aan te wijzen en uiteraard dient het personeel op de hoogte te zijn van de wet, het beleid omtrent privacy en hoe men zich daarbinnen dient te gedragen. Aanvullend op alle activiteiten die een organisatie zelf ontplooit, kan de inzet van externe deskundigheid van grote toegevoegde waarde zijn.

In de praktijk kan het nuttig zijn om een AVG-checklist/assessment uit te laten voeren, waarbij de belangrijkste AVG-aandachtsgebieden samen met diverse betrokken afdelingen en stakeholders doorlopen en beoordeeld worden.

2. (Periodiek) uitvoeren van een vulnerability scan  

Eén van de pijlers waarop de AVG drijft, is die van de daadwerkelijke maatregelen die genomen moeten worden om persoonsgegevensverwerking optimaal te beveiligen.

Eén en ander uiteraard binnen de juiste context; de bakker op de hoek zal de beveiliging van zijn klantenbestand met e-mailadressen op een andere manier moeten inrichten dan van een ziekenhuis wordt verwacht bij de bescherming van haar patiëntendossier.

Om de juiste technische maatregelen te kúnnen nemen is in ieder geval een inzicht nodig in de huidige situatie. Wat is de status van mijn IT omgeving en wat zijn de kwetsbaarheden per bedrijfsmiddel? Dit inzicht kan worden verkregen met een (periodieke) vulnerability scan. Dit levert organisaties in één oogopslag een totaaloverzicht van alle kwetsbaarheden. Deze inzichten vormen het uitgangspunt voor een continue proces van verbeteringen.

3. Grip op ongestructureerde data en PII-gegevens

Denk daarbij aan bronnen als fileservers, Exchange (mail) en Sharepoint, waarbinnen persoonsgegevens, zoals bijvoorbeeld een BSN, opgeslagen kunnen zijn. Het inzicht in je ongestructureerde data biedt daarnaast interessante voordelen zoals het kunnen elimineren van ROT-data (meervoudig dubbele, verouderde en triviale informatie die niet business critical zijn).

Daarnaast wordt de opbouw van je dataset inzichtelijk gemaakt: dataverdeling per bestandstype, leeftijd (datum laatst geraadpleegd), wie de dataeigenaar is. Ook een inzicht in de rechtenstructuur op de fileserver biedt organisaties waardevolle inzichten; wie heeft toegang tot welke informatie en is dit nodig voor de uitoefening van zijn/haar rol? In basis wil je simpelweg weten wat er gebeurt met je data. Blijvend inzicht, vindbaarheid en policy management, dat is waar het uiteindelijk om gaat.

Door: Jacco Hoffer (Information Security Consultant) en Arnold Derksen (Sales Consultant), Giant ICT

Terug naar nieuws overzicht