07 dec. 2017 | Wet & Regelgeving | Edwin Somhorst

Maatregelen en controle

Maatregelen en controle

Nadat in kaart is gebracht welke persoonsgegevens en risico’s op kunnen treden bij verwerking, is het zaak om maatregelen te nemen voor de bescherming. Van groot belang voor de controle is om periodiek de genomen maatregelen te evalueren en zo nodig optimalisaties door te voeren.

Maatregelen voor beveiliging

De bescherming van persoonsgegevens staat of valt met de beoordeling of de genomen maatregelen een passend beschermingsniveau garanderen. Dit kan daadwerkelijk worden bepaald als de gekozen maatregelen onderdeel van de dagelijkse praktijk in een organisatie zijn. Voordat het zo ver is moeten eerst de maatregelen worden bepaald.

Maatregelen worden bepaald vanuit de beveiligingsrisico’s die in de PIA zijn geconstateerd. Het ontwikkelen van maatregelen die een passende beveiliging gaan vormen start met een documentatiefase. Alle documentatie moet worden ingevuld en uitgewerkt, denk hierbij aan:

  • het specificeren van beveiligingsmaatregelen,
  • integreren van deze maatregelen in functionele technische beschrijvingen bij ICT-systemen,
  • het opmaken van gebruikershandleidingen,
  • werkinstructies,
  • contracten,
  • dienstniveau-overeenkomsten,
  • en andere relevante documenten.

Geef ook aandacht aan een aantal specifieke onderwerpen, zoals:

  • Ongeoorloofde toegang tegengaan
    Hiervoor kunnen documenten worden opgesteld over onderwerpen als het beveiligingsbewustzijn, toegangsbeveiliging, loggingbestanden en controle.
  • Geheimhouding van gegevens.
    Bij geheimhouding is bijvoorbeeld aandacht voor onderwerpen als e-waste, geheimhoudingsbeleid en geheimhoudingsovereenkomsten.

De Autoriteit Persoonsgegevens geeft voorbeelden van gebruikelijke maatregelen bij informatiebeveiliging in hun richtsnoeren ‘Beveiliging in de praktijk’. (nog op basis van de WBP)

Na het vormen van een geheel van maatregelen ga je de implementatiefase in. Deze eindigt rond het punt dat maatregelen onderdeel worden van de dagelijkse praktijk van de organisatie.

Controle, evaluatie en aanpassing

Een verantwoordelijke voor de beveiliging van gegevensverwerking moet na het opzetten en implementeren van de beveiligingsmaatregelen en het beveiligingssysteem toezicht houden. Daarbij horen (periodieke) controles, evaluaties en eventueel aanpassingen in het beveiligingssysteem en de maatregelen.

Bepaal wie verantwoordelijke is voor de beveiliging van het informatieverwerkingssysteem. Dit kan één persoon zijn, maar ook een heel team. Een verantwoordelijke houdt zich bezig met (onder andere) de volgende controlevragen:

  • Zijn de nodige maatregelen getroffen?
  • Worden de maatregelen nageleefd?
  • Wordt er aan de betrouwbaarheidseisen voldaan?

De conclusies van deze controlevragen kunnen tot aanpassingen leiden.

Naast een periodieke controle kan een controle op basis van een aanleiding of een gebeurtenis plaatsvinden. Denk aan :

  • een nieuw bedrijfs- of verwerkingslocatie,
  • nieuwe taken,
  • nieuwe functionaliteiten,
  • nieuwe werkwijzen of technologieën,
  • of andere grote veranderingen

Voldoen de maatregelen niet langer, maak dan aanpassingen die beveiliging van een passend niveau waarborgen.

Betreffende de controle, evaluatie en aanpassingen moet een verantwoordelijke:

  • deze plannen,
  • uitvoeren als daar aanleiding voor is,
  • middelen kiezen.

Maak een beleid op voor controle na implementatie. Op deze wijze houdt u het beveiligingsniveau in de gaten en kunt u een passende beveiliging behouden.

Een systeem kan niet zonder onderhoud om het juiste niveau te behouden.

Volgende week meer info over ‘Bewerkingsovereenkomst’

Vorige week Privacy Impact Assessment , PIA

 

Wil je reageren op dit artikel? Dat kan via de CRM Community. Deel jouw ervaringen op het gebied van CRM en alles wat er mee te maken heeft.