Beveilig persoonsgegevens

De AVG bepaalt dat verwerkingsverantwoordelijken en gegevensverwerkers passende technische en organisatorische maatregelen moeten nemen om een niveau van beveiliging van persoonsgegevens te waarborgen dat is afgestemd op het risico.

De volgende informatie bevat de basisvoorzorgsmaatregelen die moeten worden genomen door organisaties die persoonsgegevens verwerken (d.w.z. verwerkingsverantwoordelijken en verwerkers). Het is niet bedoeld om een volledige lijst van maatregelen te verstrekken die kunnen worden geïmplementeerd om persoonsgegevens in alle contexten te beschermen. Verwerkingsverantwoordelijken en verwerkers moeten deze maatregelen aanpassen aan de context (rekening houdend met de stand van de techniek, de context van de verwerking en het risico voor personen).

Link
Art. 32 AVG

EUR-Lex

Link
Veilig midden- en kleinbedrijf

ENISA

Beveiliging: wat staat er op het spel?

De gevolgen van een gebrek aan beveiliging kunnen ernstig zijn: bedrijven kunnen hun imago zien verslechteren, het vertrouwen van hun consumenten verliezen, grote sommen geld moeten betalen om te herstellen van een beveiligingsincident (bijvoorbeeld na een datalek) of gedwongen hun activiteit zien stoppen. Beveiligde persoonsgegevens zijn in het belang van zowel personen als de organisaties die de gegevens verwerken.
Om de risico’s van elke verwerking te beoordelen, is het in de eerste plaats raadzaam de mogelijke gevolgen voor de rechten en vrijheden van de betrokken personen vast te stellen. Hoewel organisaties hun gegevens (persoonlijk of niet) moeten beschermen voor hun eigen belang, richt de volgende informatie zich op de bescherming van individuele gegevens.
Gegevensbeveiliging heeft drie hoofdcomponenten: om de integriteit, beschikbaarheid en vertrouwelijkheid van de gegevens te beschermen. Daarom moeten organisaties de risico’s voor de volgende onderwerpen beoordelen:

  1. ongeoorloofde of onopzettelijke toegang tot gegevens — schending van de vertrouwelijkheid (bv. identiteitsdiefstal na de openbaarmaking van de loonstrook van alle werknemers van een bedrijf);
  2. ongeoorloofde of onopzettelijke wijziging van gegevens — integriteitsschending (bv. een persoon ten onrechte beschuldigen van een fout of misdrijf als gevolg van de wijziging van toegangslogboeken);
  3. verlies van gegevens of verlies van toegang tot gegevens — schending van de beschikbaarheid (bv. het niet opsporen van een interactie tussen geneesmiddelen als gevolg van de onmogelijkheid om toegang te krijgen tot het elektronische dossier van de patiënt).

Het is ook raadzaam om de risicobronnen te identificeren (d.w.z. wie of wat zou aan de oorsprong kunnen staan van elk beveiligingsincident?), rekening houdend met interne en externe menselijke bronnen (bv. IT-beheerder, gebruiker, externe aanvaller, concurrent) en interne of externe niet-menselijke bronnen (bv. waterschade, gevaarlijke materialen, niet-getarget computervirus).

Deze identificatie van de risicobronnen stelt je in staat om de potentiële bedreigingen te identificeren (d.w.z. welke omstandigheden zouden een beveiligingsincident kunnen veroorzaken?) op ondersteunende activa (bv. hardware, software, communicatiekanalen, papier, enz.), die kunnen zijn:

  • gebruikt op een ongepaste manier (bv. misbruik van rechten, verwerkingsfouten);
  • gewijzigd (bv. software of hardware entrapment — keylogger, installatie van malware);
  • verloren (bv. diefstal van een laptop, verlies van een USB-sleutel);
  • waargenomen (bv. observatie van een scherm in een trein, geolocatie van voorzieningen);
  • verslechterd (bv. vandalisme, natuurlijke achteruitgang);
  • overbelast (bv. volledige opslageenheid, denial of service aanval).
  • onbeschikbaar (bijvoorbeeld in geval van ransomware).

Het is ook raadzaam om:

  • de bestaande of geplande maatregelen vaststellen om elk risico aan te pakken (bv. toegangscontrole, back-ups, traceerbaarheid, beveiliging van gebouwen, versleuteling);
  • de ernst en waarschijnlijkheid van de risico’s in te schatten, op basis van de bovenstaande elementen (voorbeeld van een schaal die kan worden gebruikt voor de schatting: verwaarloosbaar, matig, significant, maximaal);
  • de geplande maatregelen uit te voeren en te verifiëren wanneer bestaande en geplande maatregelen passend worden geacht, ervoor zorgen dat zij worden uitgevoerd en gemonitord;
  • periodieke veiligheidsaudits uit te voeren: elke audit moet resulteren in een actieplan waarvan de uitvoering op het hoogste niveau van de organisatie moet worden gemonitord.

De AVG voert het begrip „data protection impact assessment (DPIA)” in, dat verplicht is voor elke verwerking van persoonsgegevens die tot een hoog risico voor personen kan leiden. Een DPIA moet de beoogde maatregelen bevatten om de vastgestelde risico’s aan te pakken, met inbegrip van waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming van persoonsgegevens te waarborgen.

In de praktijk

  • Om een duidelijker beeld te krijgen van de beveiligingsrisico’s, kun je bijvoorbeeld een spreadsheet voor risicobeheer maken en deze regelmatig up-to-date houden. Deze spreadsheet kan materiële en menselijke risico’s met betrekking tot servers, computers of gebouwen bevatten. Voldoende geanticipeerde risico’s kunnen helpen de gevolgen in geval van een incident te beperken.

Organisational measures

Vergroten van het bewustzijn van de gebruiker

Het is van essentieel belang om werknemers of gebruikers die omgaan met persoonsgegevens (gegevensverwerkers) bewust te maken van de privacyrisico’s, hen op de hoogte te stellen van de maatregelen die zijn genomen om de risico’s aan te pakken en de mogelijke gevolgen in het geval van falen.

In de praktijk

Het vergroten van het bewustzijn van de gebruiker kan de vorm aannemen van:

  • bewustmakingssessies;
  • regelmatige actualiseringen van procedures die relevant zijn voor de functies van werknemers en gegevensverwerkers;
  • interne communicatie, via e-mail, enz.

Een andere voorzorgsmaatregel is om de operationele procedures te documenteren, up-to-date te houden en gemakkelijk beschikbaar te maken voor alle betrokken gegevensverwerkers. Concreet moet elke verwerking van persoonsgegevens, of het nu gaat om administratieve handelingen of het eenvoudige gebruik van een aanvraag, in een duidelijke taal worden uitgelegd en aan elke verwerkingscategorie worden aangepast, in documenten waarnaar zij kunnen verwijzen.

Het opzetten van intern beleid

Het bewustzijn van interne gegevensverwerkers kan de vorm aannemen van een document, dat bindend moet zijn en moet worden geïntegreerd in interne regelgeving. Het interne beleid moet met name een beschrijving van de gegevensbeschermings- en veiligheidsvoorschriften bevatten.

Andere organisatorische maatregelen

  • Implementeer een informatieclassificatiebeleid dat verschillende niveaus definieert en markering van documenten en e-mails vereist die vertrouwelijke gegevens bevatten.
  • Maak een zichtbare en expliciete verklaring op elke pagina van een papieren of elektronisch document dat gevoelige gegevens bevat.
  • Organiseer informatiebeveiligingstrainingen en bewustmakingssessies. Periodieke herinneringen kunnen worden verstrekt via e-mail of andere interne communicatiemiddelen.
  • Voorzie in de ondertekening van een vertrouwelijkheidsovereenkomst of een specifieke vertrouwelijkheidsclausule met betrekking tot persoonsgegevens opnemen in contracten met werknemers en andere gegevensverwerkers.

 

Technische maatregelen

Veilige apparatuur

Vertrouwen in de betrouwbaarheid van je informatiesystemen is een belangrijk thema, en de implementatie van passende beveiligingsmaatregelen, die de AVG verplicht heeft gesteld, is een van de manieren om dit te bereiken.

In het bijzonder, is het raadzaam om de beveiliging in orde te hebben vanr:

  • hardware (bv. servers, werkstations, laptops, harde schijven);
  • software (bv. besturingssysteem, bedrijfssoftware);
  • communicatiekanalen (bv. glasvezel, wifi, internet);
  • papieren documenten (bv. gedrukte documenten, kopieën);
  • gebouwen.

Veilige werkplekken

Bij de beveiliging van werkplekken kunnen de volgende acties worden overwogen:

  • voorzie in een automatisch sessievergrendelingsmechanisme wanneer het werkstation gedurende een bepaalde periode niet wordt gebruikt;
  • firewallsoftware installeren en de opening van communicatiepoorten beperken tot die welke strikt noodzakelijk zijn voor de goede werking van op het werkstation geïnstalleerde toepassingen;
  • regelmatig bijgewerkte antivirussoftware gebruiken en een beleid hanteren om software regelmatig bij te werken;
  • software configureren om de beveiliging waar mogelijk automatisch bij te werken;
  • het aanmoedigen van de opslag van gebruikersgegevens op een regelmatig geback-upte opslagruimte die toegankelijk is via het netwerk van de organisatie in plaats van op werkstations. Als gegevens lokaal worden opgeslagen, bied gebruikers dan synchronisatie- of back-upmogelijkheden en train ze in hun gebruik;
  • de aansluiting van mobiele media (USB-sticks, externe harde schijven, enz.) beperken tot de essentiële elementen;
  • schakel autorun uit van verwijderbare media.

Wat niet te doen

  • verouderde besturingssystemen gebruiken;
  • beheerdersrechten geven aan gebruikers die geen computerbeveiligingsvaardigheden hebben.
     

 

Om verder te gaan

  • verbied het gebruik van gedownloade applicaties die niet afkomstig zijn van beveiligde bronnen;

  • beperk het gebruik van applicaties waarvoor beheerdersrechten moeten worden uitgevoerd;

  • wis veilig de gegevens op een werkstation voordat je deze aan een andere persoon toewijst;

  • in het geval dat een werkstation wordt gecompromitteerd, zoek naar de bron en eventuele sporen van indringing in het informatiesysteem van de organisatie, om vast te stellen of andere elementen zijn aangetast;

  • doe aan beveiligingsmonitoring van software en hardware die in het informatiesysteem van de organisatie worden gebruikt;

  • werk applicaties bij wanneer kritieke kwetsbaarheden zijn geïdentificeerd en opgelost;

  • installeer zonder vertraging kritieke updates van het besturingssysteem door een wekelijkse automatische controle in te plannen;

  • verspreid onder alle gebruikers de juiste handelwijze en de lijst van personen om contact op te nemen in het geval van een beveiligingsincident of ongebruikelijke gebeurtenis die van invloed is op de informatie- en communicatiesystemen van de organisatie.

In de praktijk

  • Je kantoor heeft een open ruimteconcept en je hebt veel medewerkers, maar ook veel bezoekers. Dankzij een automatische sessievergrendeling heeft niemand buiten het bedrijf toegang tot de computer van een medewerker tijdens pauze of kan gezien worden waar ze aan werken. Bovendien beschermen een firewall en een up-to-date antivirus het surfen op het internet van je werknemers en beperken ze de risico’s van inbraak in je servers. Hoe meer maatregelen worden genomen, hoe moeilijker het wordt voor personen met kwaadwillige bedoelingen of een nalatige werknemer om schade te veroorzaken.

Bescherm de gebouwen van het bedrijf

De toegang tot de gebouwen moet worden gecontroleerd om directe, ongeautoriseerde toegang tot papieren bestanden of tot computerapparatuur, met name servers, te voorkomen of te vertragen.

Wat te doen

  • installeer inbraakalarmen en controleer ze periodiek;
  • installeer rookmelders en brandbestrijdingsapparatuur en inspecteer deze jaarlijks;
  • beveilig de sleutels die worden gebruikt om toegang te krijgen tot de gebouwen en alarmcodes;
  • onderscheid gebouwgebieden op basis van risico’s (bv. specifieke toegangscontrole bieden voor de computerruimte);
  • hou een lijst bij van personen of categorieën personen die gemachtigd zijn om een specifiek gebied binnen te komen;
  • stel regels en middelen vast om de toegang van bezoekers te controleren, ten minste door bezoekers buiten de openbare ruimtes door een persoon van de organisatie te laten begeleiden;
  • zorg voor fysieke bescherming van de computerapparatuur met specifieke middelen (specifiek brandbestrijdingssysteem, hoogte tegen mogelijke overstromingen, enz.).

 

Wat niet te doen

Verwaarlozing of ondermaats onderhoud van de serverruimte-omgeving (airconditioning, UPS, enz.). Een storing in deze installaties leidt vaak tot het afsluiten van de machines of het openen van de toegang tot de ruimten (luchtcirculatie), waardoor de beveiligingsmaatregelen in feite worden geneutraliseerd.

Om verder te gaan

Het kan nuttig zijn een register bij te houden van de toegang tot kamers of kantoren die materiaal bevatten dat persoonsgegevens bevat en die ernstige negatieve gevolgen kunnen hebben voor de betrokken personen. Informeer de gegevensverwerkers over een dergelijk systeem, na de vertegenwoordigers van het personeel te hebben geïnformeerd en geraadpleegd.

Zorg er ook voor dat alleen geautoriseerd personeel is toegestaan in gebieden waarvoor beperkingen gelden. Bijvoorbeeld:

 

  • binnen gebieden waarvoor beperkingen gelden, moeten alle personen een zichtbaar identificatiemiddel (badge) dragen;
  • bezoekers (technisch ondersteunend personeel, enz.) moeten beperkte toegang hebben. De datum en het tijdstip van aankomst en vertrek moeten worden vermeld;
  • regelmatig bekijken en bijwerken van toegangsrechten om gebieden te beveiligen en deze indien nodig te verwijderen.

In de praktijk

  • Je bedrijf is gespecialiseerd in e-commerce. Je bewaart persoonsgegevens van klanten die worden gehost op servers in afzonderlijke gebouwen. Om de toegang tot deze gegevens veilig te stellen, wordt de ingang van deze gebouwen beschermd door een badgelezer. Echter, een brand breekt uit als gevolg van een kortsluiting. Dankzij een rookmelder werd de brandweer snel gewaarschuwd en kon het verlies van gegevens worden beperkt.

Authenticeer gebruikers

Om ervoor te zorgen dat gebruikers alleen toegang hebben tot de gegevens die zij nodig hebben, moeten zij een unieke identificatiecode krijgen en zich verifiëren voordat zij gebruik maken van de computerfaciliteiten.

Mechanismen om persoonsauthenticatie te bereiken worden gecategoriseerd op basis van de vraag of het gaat om:

  • wat we weten, bijvoorbeeld een wachtwoord;
  • wat we hebben, bijvoorbeeld een smartcard;
  • een kenmerk dat specifiek is voor de persoon, bijvoorbeeld de manier waarop een handgeschreven handtekening wordt getraceerd.

De keuze van het mechanisme hangt af van de context en verschillende factoren. De authenticatie van een gebruiker wordt als sterk beschouwd wanneer deze een combinatie van ten minste twee van deze categorieën gebruikt.

In de praktijk

  • Om toegang te krijgen tot een beveiligde ruimte met vertrouwelijke informatie, kun je een badgelezer installeren („wat we hebben”) samen met een toegangscode („wat we weten”).

Autorisaties beheren

Gedifferentieerde niveaus van autorisatieprofielen moeten worden toegepast afhankelijk van de behoeften. Gebruikers moeten alleen toegang hebben tot gegevens op basis van de behoefte om te weten.

Goede praktijken voor authenticatie en beheer van autorisaties:

  • definieer een unieke identificatiecode voor elke gebruiker en verbied accounts die door meerdere gebruikers worden gedeeld. In het geval dat het gebruik van generieke of gedeelde accounts onvermijdelijk is, vereis interne validering en implementeer middelen om deze te volgen (logboeken);
  • het gebruik van voldoende strenge regels voor de complexiteit van wachtwoorden opleggen (bv. ten minste 8 tekens, hoofdletters en speciale tekens);
  • veilig wachtwoorden opslaan;
  • verouderde toegangsrechten verwijderen;
  • regelmatig een evaluatie uit te voeren (bv. om de zes maanden);

 

Wat niet te doen

  • accounts aanmaken of gebruiken die door meerdere personen worden gedeeld;
  • beheerdersrechten verlenen aan gebruikers die ze niet nodig hebben;
  • een gebruiker meer rechten toekennen dan nodig is;
  • vergeten de tijdelijke machtigingen die aan een gebruiker zijn verleend (bv. voor een vervanging) te verwijderen;
  • vergeten de gebruikersaccounts te verwijderen van mensen die de organisatie hebben verlaten of van baan zijn veranderd.

Om verder te gaan

Stel een toegangscontrolebeleid vast, documenteren deze en herzie deze regelmatig, aangezien het betrekking heeft op de door de organisatie uitgevoerde handelingen, met inbegrip van:

  • de procedures die systematisch moeten worden toegepast bij aankomst, vertrek of wijziging van de toewijzing van een persoon met toegang tot persoonsgegevens;
  • de gevolgen voor personen met rechtmatige toegang tot de gegevens in geval van niet-naleving van de veiligheidsmaatregelen;
  • maatregelen om de toewijzing en het gebruik van de toegang tot de verwerking te beperken en te controleren.

In de praktijk

  • Wanneer een nieuwe werknemer bij het bedrijf gaat werken, moet je een nieuw gebruikersaccount aanmaken met een sterk wachtwoord. Werknemers mogen hun inloggegevens niet met elkaar delen, vooral als ze niet over dezelfde toegangsrechten beschikken. In het geval dat ze van functie veranderen, moet je hun toegangsrechten voor bepaalde bestanden of systemen bekijken.

Pseudonimiseer gegevens

Pseudonimisering is de verwerking van persoonsgegevens op zodanige wijze dat het niet langer mogelijk is om de persoonsgegevens toe te schrijven aan een bepaalde natuurlijke persoon zonder het gebruik van aanvullende informatie. Deze aanvullende informatie moet afzonderlijk worden bewaard en onderworpen zijn aan technische en organisatorische maatregelen.

In de praktijk bestaat pseudonimisering uit het vervangen van direct identificerende gegevens (naam, voornaam, persoonlijk nummer, telefoonnummer, enz.) in een gegevensset met indirect identificerende gegevens (alias, volgnummer, enz.). Het maakt het mogelijk om de gegevens van individuen te verwerken zonder ze op een directe manier te kunnen identificeren. Het is echter mogelijk om de identiteit van deze personen te traceren dankzij de aanvullende gegevens. Gepseudonimiseerde gegevens zijn dus nog steeds persoonsgegevens en vallen onder de AVG. Pseudonimisering is ook omkeerbaar, in tegenstelling tot anonimisering.

Pseudonimisering is een van de door de AVG aanbevolen maatregelen om de risico’s in verband met de verwerking van persoonsgegevens te beperken.

Link
Art. 32 AVG

EUR-Lex

Gegevens versleutelen

Encryptie (versleuteling) is een proces dat bestaat uit het omzetten van de informatie in een code om ongeoorloofde toegang te voorkomen. Die informatie kan alleen opnieuw worden gelezen met behulp van de juiste sleutel. Encryptie wordt gebruikt om de vertrouwelijkheid van gegevens te waarborgen. Versleutelde gegevens zijn nog steeds persoonsgegevens. Als zodanig kan encryptie worden beschouwd als een van de pseudonimiseringstechnieken.

Daarnaast kunnen hash-functies worden gebruikt om gegevensintegriteit te waarborgen. Digitale handtekeningen zorgen niet alleen voor integriteit, maar maken het ook mogelijk om de herkomst van de informatie en de authenticiteit ervan te verifiëren.

 

Anonimiseren van gegevens

 

Persoonsgegevens kunnen zodanig geanonimiseerd worden dat de persoon niet of niet meer identificeerbaar is. Anonimisering is een proces dat bestaat uit het gebruik van een reeks technieken om persoonsgegevens zodanig anoniem te maken dat het onmogelijk wordt om de persoon te identificeren op enige wijze die redelijkerwijs waarschijnlijk zal worden gebruikt.

Anonimisering, wanneer correct geïmplementeerd, kan je in staat stellen om gegevens te gebruiken op een manier die de rechten en vrijheden van personen respecteert. Anonimisering opent immers het potentieel voor hergebruik van gegevens die aanvankelijk niet zijn toegestaan vanwege de persoonlijke aard van de gegevens, en kan organisaties dus in staat stellen om gegevens voor aanvullende doeleinden te gebruiken zonder de privacy van personen te verstoren. Anonimisering maakt het ook mogelijk om gegevens langer te bewaren dan de bewaartermijn.

Wanneer de anonimisering correct wordt geïmplementeerd, is de AVG niet langer van toepassing op de geanonimiseerde gegevens. Het is echter belangrijk om in gedachten te houden dat de anonimisering van persoonsgegevens in de praktijk niet altijd mogelijk of gemakkelijk te bereiken is. Er moet worden nagegaan of de anonimisering op de betrokken gegevens kan worden toegepast en met succes kan worden gehandhaafd, rekening houdend met de specifieke omstandigheden van de verwerking van de persoonsgegevens. Aanvullende juridische of technische expertise zou vaak nodig zijn om de anonimisering met succes te implementeren in overeenstemming met de AVG.

Hoe controleer je de effectiviteit van anonimisering?

De Europese gegevensbeschermingsautoriteiten hanteren drie criteria om ervoor te zorgen dat een dataset echt anoniem is:

  1. Singling out: het mag niet mogelijk zijn om informatie over een persoon in de dataset te isoleren.
  2. Linkbaarheid: het mag niet mogelijk zijn om afzonderlijke gegevensstukken met betrekking tot dezelfde persoon te koppelen.
  3. Gevolgtrekking: het mag niet mogelijk zijn om met vrijwel zekerheid informatie over een individu af te leiden.
     

In de praktijk

  • Singling out: in een databank van cv’s waar alleen de voor- en achternaam van een persoon zijn vervangen door een nummer (dat alleen overeenkomt met die persoon), is het nog steeds mogelijk om een bepaalde persoon te selecteren op basis van andere kenmerken. In dit geval worden de persoonsgegevens beschouwd als gepseudonimiseerd en niet als geanonimiseerd.
  • Linkbaarheid: een toewijzingsdatabank met de adressen van personen kan niet als anoniem worden beschouwd indien andere databanken, die elders bestaan, dezelfde adressen bevatten met andere gegevens die de identificatie van personen mogelijk maken.
  • Gevolgtrekking: als een zogenaamd anonieme dataset informatie bevat over de belastingplicht van respondenten voor een vragenlijst en alle mannelijke respondenten tussen de 20 en 25 jaar niet-belastbaar zijn, kan worden afgeleid dat een specifieke respondent al dan niet belastbaar is, wanneer hun leeftijd en geslacht bekend zijn.
Link
Advies 05/2014 over Anonimiseringstechnieken

WP29

Specifieke situaties

Veiligheidsmaatregelen voor telewerken

In het kader van telewerken is het noodzakelijk om de veiligheid van de verwerkte gegevens te waarborgen met inachtneming van de privacy van personen.

Wat te doen:

  • Een telewerkbeveiligingsbeleid uitvaardigen of ten minste een reeks minimumregels die in acht moeten worden genomen, en dit document aan werknemers meedelen overeenkomstig je interne voorschriften;
  • Als je de bedrijfsregels van je informatiesysteem moet wijzigen om telewerken mogelijk te maken (bijv. wijziging van de inklaringsregels, toegang tot beheerders op afstand, enz.), rekening houden met de risico’s en, indien nodig, stappen ondernemen om het beveiligingsniveau te handhaven;
  • Rust alle werkstations van je werknemers uit met ten minste een firewall, antivirussoftware en een tool om de toegang tot kwaadaardige sites te blokkeren. Als de werknemers hun eigen apparatuur kunnen gebruiken, geef het advies om deze te beveiligen (zie „Beveiligingsmaatregelen voor BYOD”);
  • Stel een VPN in om waar mogelijk directe blootstelling van je diensten aan het internet te voorkomen. Schakel twee-factor VPN-authenticatie in indien mogelijk;
  • Geef je medewerkers een lijst van communicatie- en samenwerkingstools die geschikt zijn voor werkzaamheden op afstand, die de vertrouwelijkheid van uitwisselingen en gedeelde gegevens garanderen. Kies tools die je beheert en zorg ervoor dat deze ten minste state-of-the-art authenticatie en encryptie van communicatie bieden en dat de gegevens niet worden hergebruikt voor andere doeleinden (productverbetering, reclame, enz.). Sommige consumentensoftware kan gebruikersgegevens doorgeven aan derden en is daarom bijzonder ongeschikt voor zakelijk gebruik.

 

Veiligheidsmaatregelen voor BYOD (Bring you own device: Breng uw eigen apparaat)

Met de ontwikkeling van BYOD, met name in het MKB, verdwijnt de grens tussen beroeps- en privéleven. Zelfs als BYOD op zichzelf geen verwerking van persoonsgegevens vertegenwoordigt, is het nog steeds noodzakelijk om de gegevensbeveiliging te waarborgen.

Het acroniem „BYOD” staat voor „Bring Your Own Device” en verwijst naar het gebruik van personal computer apparatuur in een professionele context. Een voorbeeld hiervan is een werknemer die persoonlijke apparatuur zoals een computer, tablet of smartphone gebruikt om verbinding te maken met het bedrijfsnetwerk.

De mogelijkheid om persoonlijke instrumenten te gebruiken is in de eerste plaats een kwestie van keuze van de werkgever en nationale wetgeving. De AVG vereist dat het beveiligingsniveau van de verwerkte persoonsgegevens hetzelfde is, ongeacht de gebruikte apparatuur. Werkgevers zijn verantwoordelijk voor de beveiliging van de persoonsgegevens van hun bedrijf, ook wanneer deze worden opgeslagen op terminals waarover zij geen fysieke of juridische controle hebben, maar waarvan zij toestemming hebben om toegang te krijgen tot de IT-bronnen van het bedrijf.

De risico’s waartegen het essentieel is om je organisatie te beschermen variëren van een eenmalige aanval op de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens tot een algemeen compromis van het informatiesysteem van het bedrijf (inbraak, virus, enz.).

Voorbeeld checklist

Een voorbeeld van hoe een checklist om het beveiligingsniveau in je organisatie te verbeteren eruit zou kunnen zien:

  • Gegevensverwerkers regelmatig informeren en informeren over privacygerelateerde risico’s
  • Stel een intern beleid op en geef het bindende kracht
  • Implementeren van ‘privacy by design’ en ‘privacy by default’
  • Zorg ervoor dat de verwerkte gegevens adequaat, relevant en beperkt zijn tot wat nodig is (gegevensminimalisatie)
  • Implementeer een informatieclassificatiebeleid voor vertrouwelijke gegevens
  • Geef een specifieke indicatie op documenten die gevoelige gegevens bevatten
  • Organiseer  informatiebeveiligingstrainingen en bewustmakingssessies, samen met periodieke herinneringen.
  • Teken een vertrouwelijkheidsovereenkomst met je werknemers of voeg specifieke vertrouwelijkheidsclausules toe
  •  Zorg voor automatische sessievergrendeling, up-to-date firewall en antivirus, back-upopslag voor gebruiker
  • Beperk fysieke verbinding (USB-sticks, externe harde schijven, enz.) aan de essentiële onderdelen
  • De bedrijfsruimten van het bedrijf beschermen (bv. inbraakalarmen, rookmelders, beschermde sleutels, onderscheiden ruimte naar gelang van het risico, machtigingen om toegang te krijgen tot specifieke gebieden, speciaal brandbestrijdingssysteem)
  • Geef een unieke ID aan gebruikers
  • Authenticatie vereisen om toegang te krijgen tot computerfaciliteiten
  • Autorisaties beheren (bv. gescheiden profielen op basis van behoeften, unieke identificatiecode, sterke wachtwoorden)
  • Opstellen van een telewerkveiligheidsbeleid
  • Verouderde toegangsrechten verwijderen
  • Regelmatige evaluatie van de vergunningen uitvoeren
  • Pseudonimiseren of anonimiseren van gegevens om de heridentificatie van personen te beperken
  • Versleutel gegevens om ongeoorloofde toegang te voorkomen
  • Installeer een VPN voor telewerke
  • Zorg ervoor dat persoonlijke apparaten die gebruikt worden voor het werk (BYOD) goed beveiligd zijn