Inloggen Geen profiel? Registreer hier.

Persoonsgegevensbescherming in a nutshell. Stap 3: stel uw informatieveiligheidsbeleid op.

25/07/2018

In de vorige 2 stappen hebben we het al gehad over de DPO en zijn projectteam. Zij werken voor hun organisatie aan het informatieveiligheidsbeleid, dat niet alleen aspecten van informatieveiligheid toelicht, maar ook focust op het onderliggende aspect van persoonsgegevensbescherming dat nu met de AVG (GDPR) speciale aandacht krijgt.

Hoe begin ik te werken aan mijn informatieveiligheidsbeleid?

Het informatieveiligheidsbeleid vloeit grotendeels voort uit de resultaten van 3 voorafgaande analyses van uw organisatie, nl. de risicoanalyse, de maturiteitsmeting en het veiligheidsplan. Hier nog even de opzet van elke analyse:

  • Risicoanalyse: analyseer de risico’s binnen uw organisatie m.b.t. informatieveiligheid en persoonsgegevensbescherming. Welke risico’s duiken frequent op? Welke potentiële impact hebben ze op de werking van uw organisatie? Welke maatregelen neemt u om ze te voorkomen? Welke aanpak hanteert u bij elk risico?
  • Maturiteitsmeting: meet de maturiteit van uw organisatie m.b.t. informatieveiligheid en persoonsgegevensbescherming. Hoe ver staat u met uw informatieveiligheidsbeleid? Welke aspecten staan reeds op punt en welke hebben nog werk nodig?
  • Veiligheidsplan: koppel acties aan de werkpunten (lees: de aspecten met lage maturiteit) in uw informatieveiligheidsbeleid. Werk deze acties verder uit met verantwoordelijken, uitvoerders, deadlines, bijbehorende projecten, enz.

Eens u deze stappen hebt doorlopen, zal het snel duidelijk worden op welke vlak u moet inzetten om uw beleid te versterken. Het is nu zaak deze informatie in een formeel document te verwerken.

Ok, ik heb de risicoanalyse en maturiteitsmeting uitgevoerd en een veiligheidsplan uitgewerkt. Wat nu?

De volgende stap is het schrijven van een beleidsnota. De beleidsnota is een document voor intern gebruik. Het bestaat enerzijds uit een algemeen stuk (het informatieveiligheidsbeleid) waarin u het belang aankaart van informatieveiligheid binnen uw organisatie, de rollen terzake definieert (bv. informatieveiligheidsconsulent en DPO, maar ook bestuursorganen) en verwijst naar de uitgevoerde analyses. Ook de algemene principes van informatieveiligheid, de kernbegrippen en de relevante wetteksten verdienen hier een verwijzing. Anderzijds bestaat het uit een reeks bijlagen, in feite praktische documenten, waarmee u informatieveiligheid verder kunt uitrollen zowel binnen uw organisatie (denk aan procedures op de werkvloer) als daarbuiten (denk aan contact met externen). Voorbeelden hiervan zijn legio: clean desk policy, privacyverklaring, verwerkersovereenkomst, vertrouwelijkheidsverklaring, enz.

Eens de beleidsnota op punt staat, is het belangrijk om deze ter goedkeuring voor te leggen aan uw bestuur. Als de inhoud is goedgekeurd, kan de DPO en zijn projectteam de onderliggende documenten actief gaan gebruiken om zo de bescherming van persoonsgegevens op de werkvloer te garanderen.

  • Werk een algemene visie uit rond informatieveiligheid en neem die op in de beleidsnota.

Neem volgende regelgeving zeker door en verklaar hoe u ermee rekening hebt gehouden in het opstellen van uw informatieveiligheidsbeleid:

Omschrijf verder:

  • wat persoonsgegevens zijn;
  • wat gevoelige persoonsgegevens zijn;
  • wat de basisprincipes informatieveiligheid zijn (vertrouwelijkheid, integriteit, beschikbaarheid, finaliteit, proportionaliteit, transparantie).

Verwijs naar uw veiligheidsplan als het resultaat van de risicoanalyse en maturiteitsmeting. Dit plan omvat de krachtlijnen van uw informatieveiligheidsbeleid en vormt een uiterst praktisch document voor het projectteam gegevensbescherming.

Verwijs naar de basisbeginselen informatieveiligheid m.b.t. risico’s, nl.:

  • vertrouwelijkheid: hou persoonsgegevens geheim, respecteer privacy;
  • integriteit: zorg voor een juiste, tijdige en complete presentatie van persoonsgegevens wanneer vereist (bv. bij controles, audits…);
  • beschikbaarheid: zorg dat data beschikbaar is wanneer het nodig is, en zorg voor een plan B (redundantie, back-up…).

Verwijs tevens naar de basisprincipes informatieveiligheid die uit de privacywetgeving voortvloeien, nl.:

  • finaliteit: de verwerking van persoonsgegevens moet steeds een bepaalde gerechtvaardigde doelstelling dienen;
  • proportionaliteit: verwerk gegevens slechts in zoverre ze toereikend, ter zake dienend en niet overmatig zijn;
  • transparantie: informeer betrokkenen op een duidelijke en transparante wijze over welke persoonsgegevens juist worden verwerkt.

Vermeld wie de rol van informatieveiligheidsconsulent en de rol van DPO binnen uw organisatie opneemt (naam + functie).

Vermeld alle bestuursorganen binnen uw organisatie. Deze hebben een significante invloed op uw informatieveiligheidsbeleid, aangezien zij de initiatieven van de informatieveiligheidscel kunnen goed- en afkeuren.

Vermeld alle leden van het projectteam/informatieveiligheidscel (naam + functie).

Vermeld dat u de documenten in de nota zal voorleggen aan uw bestuur ter goedkeuring.

  • Voeg bijlagen toe aan de beleidsnota waarmee het projectteam persoonsgegevensbescherming (of de informatieveiligheidscel als de DPO en informatieveiligheidsconsulent dezelfde zijn) aan de slag kan.

Voorbeelden die wij vanuit V-ICT-OR meegeven in onze begeleiding informatieveiligheid zijn: clean desk policy, vertrouwelijkheidsverklaring, wachtwoordbeheer, gedragscode IT-beheerder en verwerkersovereenkomst.

Opmerking: Zorg dat er na elke bijlage een tabel staat waarin elk lid van de informatieveiligheidscel zijn naam en handtekening kan zetten ter goedkeuring. Zo heb je als DPO een bewijs dat ieder lid van de cel zijn goedkeuring verleent m.b.t. de toepassing van die documentatie.

Hoe kan V-ICT-OR mij hierbij helpen?

Organisaties die van start gaan met informatieveiligheid kunnen via V-ICT-OR een 3-daags traject informatieveiligheid volgen. Daarin maken ze kennis met de basisprincipes van de materie, leren ze hoe ze de tool van V-ICT-OR kunnen gebruiken, doorlopen ze de maturiteitsmeting en het veiligheidsplan, en krijgen ze op het einde van de rit een beleidsnota en veiligheidsplan waarmee ze van start kunnen gaan.

De begeleiding hoeft daar niet te stoppen. V-ICT-OR biedt nog 2 mogelijke vervolgtrajecten aan.

  • Premiumabonnement

Het premiumabonnement biedt lokale besturen vanuit V-ICT-OR 10 dagen begeleiding aan die vrij mogen worden opgevuld. Mogelijke onderwerpen zijn: begeleiding fusietraject, uitwerking nieuwe informatiearchitectuur, opbouw nieuwe website… Maar dus ook informatieveiligheid.

  • (Tijdelijke) begeleiding door onze DPO

V-ICT-OR stelt zijn DPO ter beschikking om voor beperkte tijd het informatieveiligheidsteam te ondersteunen. Bedoeling is dat de DPO van V-ICT-OR uw interne/externe DPO gaandeweg gaat opleiden zodat hij/zij de taken zelfstandig kan gaan uitoefenen.

De tool informatieveiligheid van V-ICT-OR kan u helpen om veel aspecten van uw informatieveiligheidsbeleid uit te werken of te versterken. Zo kan u een risicoanalyse uitvoeren, een maturiteitsmeting uitvoeren en een veiligheidsplan opstellen. Verder kan u statistieken opvragen m.b.t. deze analyses, kunt u gestandaardiseerde vragenlijsten gebruiken of eigen vragenlijsten opstellen (bv. voor bewustzijnscampagnes), kunt u de leden van de veiligheidscel toevoegen aan de omgeving, de kalender van de veiligheidscel uitwerken, bestanden delen met alle leden van de cel… Binnenkort wordt het ook mogelijk om via de tool datalekken te melden aan de Gegevensbeschermingsautoriteit en de betrokkene, om via de tool datalekken in een register bij te houden en om verzoeken van betrokkenen bij te houden en op te volgen.