Informatieveiligheid wordt al snel beschouwd als technische materie en als dusdanig naar IT geschoven. Het klopt dat informatieveiligheid (deels) technisch is, maar het is evengoed een zaak die het managementteam aanbelangt. In stap 7 nemen we de beveiliging van persoonsgegevens onder de loep. Als we spreken over de beveiliging van persoonsgegevens, dan maken we de opsplitsing tussen technische en organisatorische beveiligingsmaatregelen.
Wat zijn technische beveiligingsmaatregelen?
Technische beveiligingsmaatregelen kunnen we omschrijven als de technische maatregelen die erop zijn gericht om verlies of onrechtmatige verwerking van persoonsgegevens te voorkomen of beperken, dan wel de ernst van de gevolgen daarvan zo beperkt mogelijk te houden. Denk aan:
- pseudonomisering en versleuteling van persoonsgegevens;
- two-factor authenticatie;
- logging;
- firewalls;
- virusscanners;
- software tegen malwareaanvallen;
- periodiek maken van back-ups;
- veilige opslag op de server;
- goed wachtwoordbeleid;
- encryptie;
- software waarmee de verantwoordelijke of verwerker wordt verwittigd m.b.t. een bewaartermijn die op het punt staat te verstrijken.
De implementatie van dit type technische beveiligingsmaatregelen wordt best vooraf onderzocht door de IT-medewerkers. Zo moet er bijvoorbeeld worden nagegaan of encryptie compatibel is met de huidige werking van de organisatie. De IT-dienst kan tests opzetten om te zien of de beveiligingsmaatregelen naar behoren werken.
Wat zijn organisatorische beveiligingsmaatregelen?
Bij organisatorische beveiligingsmaatregelen komt het erop neer dat de verantwoordelijke er dient voor te zorgen dat persoonsgegevens alleen toegankelijk zijn voor die personen binnen de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken. Dit soort maatregelen kan door de medewerkers zelf (dus niet louter de IT-dienst) worden opgezet. Daarbij kan onder meer worden gedacht aan:
- het beperken van de kring van functionarissen die toegang hebben tot bepaalde persoonsgegevens tot die personen die de gegevens nodig hebben voor de uitoefening van hun werkzaamheden;
- het verlenen van toegang aan deze personen tot enkel de persoonsgegevens die zij nodig hebben voor de uitoefening van hun werkzaamheden (‘need-to-know’ principle);
- het overeenkomen van een geheimhoudingsbeding incl. boeteclausule met alle personen aan wie toegang tot persoonsgegevens zal worden verleend;
- het bewaren van persoonsgegevens op servers in een afgesloten ruimte;
- het bewaren van papieren dossiers in afsluitbare kasten;
- het creëren van informatieveiligheidsbewustzijn onder medewerkers;
- het mooi wegsteken van losliggende papieren in mappen en niets op de bureau laten slingeren (clean desk);
- pas automatische schermbeveiliging toe wanneer u weg bent van uw scherm (clean screen);
- het opstellen van duidelijke protocollen en procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging;
- het houden van adequaat toezicht op de naleving van protocollen en wet- en regelgeving.
Welke rol spelen de bestuurders?
Ook het managementteam moet actief meedenken over wat mogelijk en wenselijk is. Zij nemen immers de beslissingen, trekken een zeker budget uit en werken de visie uit van de organisatie.
Wat als er een derde wordt ingeschakeld voor de verwerking van persoonsgegevens?
Als de verwerkingsverantwoordelijke ervoor opteert de verwerking van persoonsgegevens uit te besteden aan een derde (de verwerker), dan moet de verwerkingsverantwoordelijke kunnen garanderen dat de verwerker een passend beveiligingsniveau biedt voor de verwerking. De verwerkingsverantwoordelijke moet ook actief toezien op de realisatie van dit laatste element. De uitbesteding van de verwerking van persoonsgegevens mag geenszins leiden tot een lager beveiligingsniveau. De verwerkersovereenkomst, het contract tussen de verwerkingsverantwoordelijke en de verwerker, moet volgens art. 28 lid 3c (AVG) verplicht vermelden dat de verwerker zorg moet dragen voor de passende technische en organisatorische maatregelen, om zo een op het risico afgestemd beveiligingsniveau te kunnen waarborgen. Op grond van datzelfde artikel moet er in de verwerkersovereenkomst worden overeengekomen dat de verwerker waarborgt dat alle personen die in het kader van hun werkzaamheden kennis zullen nemen van door de verantwoordelijke aan de verwerker ter beschikking gestelde persoonsgegevens zijn gebonden aan een wettelijke of contractuele verplichting tot geheimhouding, hetgeen een schoolvoorbeeld is van een organisatorische beveiligingsmaatregel.
Heeft V-ICT-OR nog tips hieromtrent?
- Beveiligingsmaatregelen moeten steeds proportioneel zijn t.o.v. het risico dat ze moeten indekken. Een kinderdagverblijf dat werkt met papieren documenten maar zonder computer heeft geen baat bij de aankoop van een antivirusprogramma. In dat geval moet er eerder gekeken worden naar klassieke klasseersystemen: mappen, ordners, archiefkasten. Dergelijke papieren in een map steken, waardoor ze niet zomaar rondslingeren in het kinderdagverblijf, is al een degelijke, adequate maatregel.
- Het opzetten van beveiligingsmaatregelen is een balansoefening. Hoe strenger de maatregelen, des te lager het gebruiksgemak. Hoe minder maatregelen, des te groter het gebruiksgemak. Identificeer de risico’s binnen je organisatie en pak ze passend aan met de nodige maatregelen, maar zorg geenszins voor overkill. Het lijkt misschien aanlokkelijk om maatregelen te omzeilen, maar weet dat je dan je verantwoordelijkheid als werknemer ontloopt m.b.t. informatieveiligheid.
- Weet dat veel beveiligingsmaatregelen quasi automatisch kunnen lopen. Dat betekent het volstaat om, eens het proces op punt staat, de resultaten te overlopen en het proces waar bij te sturen. Logging, het proces waarbij er automatisch wordt bijgehouden wie wanneer toegang had tot welke informatie, is een instelling die kan worden aangezet binnen bepaalde softwaresystemen. Updates voor firewalls, antivirussystemen, lokale software… kunnen automatisch worden ingesteld. Voor software die niet automatisch kan worden geüpdatet gebruik je bv. software update management systems.
- Veiligheidsmaatregelen zijn an sich niet verplicht. Weet wel dat, als je ervoor kiest om een maatregel niet te gebruiken, dat je je keuze moet kunnen verantwoorden op vraag van de Gegevensbeschermingsautoriteit. Het is toegestaan om encryptie niet te hanteren als technische beveiligingsmaatregel, bv. omdat de werking van de organisatie er niet geschikt voor is. Dan kun je bijvoorbeeld ter compensatie wel sterk inzetten op pseudonimisering.