Print:

Passende maatregelen voor het beveiligen van persoonsgegevens: met open vizier en als gezamenlijk doel!

Joris Bijvoets , FG

LinkedIn profiel

De AVG verplicht tot passende en technische maatregelen voor het beveiligen van persoonsgegevens. Maar wanneer zijn maatregelen ‘passend’, hoe meet u dat en hoe weet u dat u als organisatie van passende maatregelen gebruik maakt? Wij stelden Joris Bijvoets, expert en oprichter van AVG Compleet, een aantal vragen omtrent passende maatregelen.

Wat zijn passende maatregelen voor het beveiligen van persoonsgegevens?

In één zin: “passende maatregelen zijn getroffen als alle risico’s voldoende verminderd zijn.”. Bij de verwerking van persoonsgegevens is het essentieel dat je de beveiligingsrisico’s en de juridische risico’s in kaart brengt die met de betreffende verwerkingen gepaard gaan. Deze risico’s moet je vervolgens gaan inschalen naar Kans en Impact. Vaak kom je erachter dat je al bepaalde maatregelen hebt genomen, maar dat er nog steeds een te groot risico is. Risico’s die te groot zijn om te aanvaarden, moet je verder omlaag brengen door het treffen van maatregelen. Pas als alle risico’s omlaag zijn gebracht naar een aanvaardbaar niveau is sprake van ‘passende maatregelen’.

Hoe komt het dat organisaties vaak niet goed weten of ze gebruik maken van passende maatregelen?

Het blijkt in de praktijk moeilijk om alle risico’s te bepalen. Ook wordt het vaak als lastig ervaren om te bepalen hoe hoog een risico nu precies is. En dat is niet raar: hoe groot is bijvoorbeeld de kans dat je binnen nu en een jaar te maken krijgt met een ransomware aanval? Op welke manier bepaal je de criteria om de risico’s correct in te schatten?

Pas als je de risico’s goed in kaart hebt, kun je bepalen welke maatregelen je kunt nemen. Je kiest die maatregelen, waarvan bekend is dat die de bijbehorende maatregelen omlaag zouden moeten brengen. Vervolgens moet je de maatregelen ook nog eens gaan implementeren. Dit kan correct gebeuren, maar fouten of onvolledige invoering van de maatregel kan ook plaatsvinden.

Om zeker te zijn dat passende maatregelen genomen zijn, moet je daarom ook controleren of de maatregelen werkelijk de risico’s hebben gemitigeerd. Een ‘controle risico analyse’ dus.

Er zijn veel stappen te nemen. Het is duidelijk dat er veel kennis en ervaring bijkomt kijken om altijd alle maatregelen op de juiste wijze te kiezen, te implementeren en te controleren. Het meest vervelende is natuurlijk, dat je als organisatie op alle borden moet schaken tegen de cybercrime en een hacker maar één gaatje hoeft te vinden om de organisatie in de problemen hoeft te brengen.

Door welke ontwikkelingen zijn (passende) maatregelen voor het beveiligen van persoonsgegevens in een stroomversnelling terecht gekomen?

De Schrems II uitspraak in juli 2020 lijkt de aandacht voor passende maatregelen naar een volgend niveau te brengen. Als je internationale data-uitwisseling via de Standard Contractual Clauses hebt geregeld, ben je nu verplicht om nog beter naar de genomen maatregelen te kijken. Feitelijk zegt de Schrems II uitspraak, dat je met bepaalde extra risico’s rekening moet houden (wetgeving in de derde landen, mogelijkheid van overheden om toegang te eisen tot gegevens).

Hoe weet je als organisatie dat passende security maatregelen niet meer voldoende zijn? En wat moet je dan doen?

Als je bij een risico analyse er achter komt dat een bepaald risico hoger is dan aanvaardbaar, dan heb je (dus) geen passende maatregelen (meer). Het kan best zijn, dat in een vorige analyse alles onder controle leek of was. Maar de wereld verandert, techniek verandert, de organisatie evolueert, producten wijzigen, nieuwe klanten worden aangesloten… er zijn zo veel factoren die effect hebben op de risico’s. Daarom is het ook zo belangrijk om voorafgaand aan je risico analyse een context analyse te maken. Met welke stakeholders heb je te maken, in welke omgeving bevind je je, etc.

Wat zijn kritische succesfactoren voor het operationaliseren van passende security maatregelen?

Belangrijk bij het operationaliseren van passende security maatregelen is dat je meerdere partijen betrekt in de implementatie. Je kunt een nog zo mooie procedure bedenken en verplichten, als de mensen niet de noodzaak van de procedure inzien, of ernstig in hun werk worden belemmerd, loop je het risico dat er niet wordt gehouden aan de procedure. Daarom is het belangrijk bij de invoering van alle maatregelen ook te bepalen, wie betrokken is bij die bepaalde oplossing en feedback te vragen vóórdat de oplossing wordt ingevoerd.

Wat ook vaak wordt vergeten of onvolledig wordt uitgevoerd, is de controle achteraf. Aansluitend aan de invoering moet je zeker stellen dat de maatregel ook werkelijk het beoogde effect heeft. Een goede terugkoppeling naar de werkvloer is essentieel. Anders denkt een Security Officer dat hij/zij het onder controle heeft, maar wordt er achter zijn/haar rug om iets anders gedaan.

Essentieel is dus, dat iedereen met open vizier met elkaar om gaat en de beveiliging oppakt als een gezamenlijk doel. De ellende die we zien bij geslaagde ransomware aanvallen toont elke keer weer aan hoe beveiliging niet iets is dat alleen een security en privacy afdeling aangaat, maar de hele organisatie. Eerst is het aan de organisatie om een klimaat te scheppen waar iedereen een geluid kan laten horen als er iets niet lekker gaat in de beveiliging. De maatregelen zijn er om alle betrokkenen te beschermen, maar ook het bedrijf of de organisatie. Misschien is het niet sjiek om te zeggen, maar wel waar: doe je niet aan beveiliging voor de betrokkenen, doe het dan ieder geval voor je eigen baan of organisatie.

Zelf aan de slag met passende security maatregelen of hiervoor noodzakelijke kennis opdoen? Zie het programma van de verkorte opleiding Informatiebeveiliging of kijk op de website van AVG Compleet

Verder lezen?

Laat uw e-mail achter en ontvang de brochure van de Opleiding Informatiebeveiliging direct in uw mailbox.