AVG (GDPR): van papieren tijger naar automatisering

In 2018 werd de AVG geboren: EU-wetgeving waardoor bedrijven en organisaties gedwongen worden om goed na te denken over het gebruik van persoonsgegevens. Ze moeten nadenken of de juiste technische en organisatorische maatregelen zijn genomen om persoonsgegevens te beveiligen.

De implementatie van deze wet is niet eenvoudig. Bedrijven hebben geen idee hoe ze compliant kunnen zijn en wat een datalek is. Dit blijkt uit het grote aantal klachten. Uit onderzoek blijkt dat meer dan de helft van de organisaties niet voldoet aan de AVG-regels. De groep denkt daar ‘misschien wel nooit aan te kunnen voldoen‘. Een van de belangrijkste aspecten is de verantwoordingsplicht (‘accountability’). Er worden strenge eisen gesteld aan databescherming, het voorkomen van datalekken en het opstellen van een ICT-beveiligingsbeleid.

De AP kan organisaties die de AVG overtreden een boete opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Deze bevoegdheid heeft de AP sinds 25 mei 2018, de datum dat de AVG van toepassing werd.

Autoriteit Persoonsgegevens

Recent werd het OLVG ziekenhuis beboet om onvoldoende beveiliging van de medische dossiers. De Autoriteit Persoonsgegevens (AP) legde een boete van 440.000 euro op aan het Amsterdamse ziekenhuis OLVG. Het ziekenhuis had tussen 2018 en 2020 te weinig maatregelen genomen om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. 

De AVG vraagt, vooral bij een mogelijke datalek, naar bewijslast. Het is van belang dat je binnen je eigen organisatie er alles aan hebt gedaan om een datalek te voorkomen. Skopos houdt de bewijslast automatisch voor je bij zodat je informatie altijd up-to-date is. Wij zien dat de sleutel tot een correct beleid op drie terreinen ligt: preventie, monitoring+detectie & bewijslast.

Preventie: Bewustwording van risico’s

Goede datahygiëne begint bij een plan van aanpak. Het stappenplan ‘Kom in actie bij een datalek’ van de Autoriteit Persoonsgegevens geeft hierbij duidelijke richtlijnen. Beveiligen is een continu proces (plan, do, check, act). Je moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Speciale aandacht gaat uit naar de rol van de medewerkers in dit proces.

Zijn medewerkers zich bewust van privacy beleid en data-bescherming? Houden ze zich aan de richtlijnen van de organisatie? Preventie betekent direct antwoord geven op informatiebeveiligingsvragen. Heeft de medewerker:

  • Bewustzijn van de informatie beveiligingsrisico’s van zijn of haar rol
  • Vertoont de medewerker het juiste gedrag omtrent werken met informatie
  • Gebruikt de medewerker de juiste applicaties voor het werk
  • Werkt de medewerker vanaf een veilige laptop en smartphone

Het Skopos platform meet cyber bewustzijn risico’s onder medewerkers

Monitor & detect: van een juridisch probleem naar een technologisch probleem.

De meest belangrijke stap is de analyse van de situatie. Waar staan we nu, welke gegevens worden waar, hoe en waarom verwerkt? In dit register van verwerkingsactiviteiten worden technische- en organisatorische maatregelen uitgewerkt. In het geval van een datalek komen er nieuwe vragen boven: wat is er gebeurd en hoe groot is de schade? Overzicht is enorm belangrijk. De AVG vraagt, vooral bij een mogelijke datalek, naar bewijslast. Dan is het altijd van belang dat je binnen je eigen organisatie er alles aan hebt gedaan om een datalek te voorkomen.

‘Monitor & detect’ betekent continue inzicht hebben in de actuele risico’s. Met Skopos analyseer je gedrag, persoonlijk risico en technisch risico.’

De meest effectieve manier om gedrag te meten, is door vragen en testen. Hoe scoort de medewerker op informatiebeveiligingsrisico’s? Begrijpt de medewerker rol specifieke risico’s (bijvoorbeeld gebruik van BSN). De uitkomst kun je vast leggen en gebruiken om gericht training op te zetten . Hiermee wordt medewerker awareness vergroot en vindt gedragsverandering plaats op de werkvloer. Skopos implementeert dit onderdeel door met regelmaat vragen uit te zetten en phishing tests uit te voeren.

Naast mens is er techniek. Als organisatie wil je op elk moment weten: werkt de medewerker vanaf een veilige laptop en smartphone? Gebruikt de medewerker de juiste tools? Is er geen ongewenste software geïnstalleerd zoals BitTorrent of browser bars?

Bewijslast: aantoonbaar gericht op preventie

De AVG vereist bewijslast wanneer een persoon een verzoek indient, met name bij een mogelijke datalek. Bij iedere datalek is het van belang dat binnen de organisatie er alles aan gedaan is, binnen de mogelijkheden, om een datalek te voorkomen. Met Skopos geef je de bewijslast via digitale dossiers dat je medewerkers:

  • De juiste applicaties gebruiken
  • Geen ongeoorloofde applicaties op hun werkplek hebben
  • Encryptie toepassen op data communicatie

Daarnaast is in een oogopslag zichtbaar dat je:

  • Beleidsmatig actief gemeten hebt hoe het met de kennis gesteld is & bewustzijn hebt gecreëerd
  • Kwetsbaarheden actief identificeert en verhelpt
  • Kwetsbaarheden management meetbaar op orde is
  • Actief zoekt naar credentials die misbruikt kunnen worden

De AVG en ISO27701 leunen in het opzicht van technische- en organisatorische maatregelen grotendeels op de ISO27002. De AVG vraagt bovenop de bekende controles (audits) van de ISO27001, op opzet, bestaan en werking, ook op ‘Effectiviteit’. Met Skopos scan je op effectiviteit van de genomen maatregelen in relatie tot de AVG. Dit geeft rust en zekerheid binnen de organisatie.

Samengevat

Je kunt aanzienlijke boetes ontlopen vanuit een Autoriteit Persoonsgegevens. Dit doe je door middel van het aantoonbaar kunnen maken dat je als organisatie alle inspanningen hebt geleverd om een datalek te voorkomen!

De oplossing van het AVG-monster is daarmee met één klik van je muis te installeren. Technologie kan een Functionaris Gegevensbescherming (FG) helpen om deze stappen in kaart te brengen, volautomatisch en continue geüpdate. Het wordt zo eenvoudig alle benodigde data van het platform te downloaden en daarmee voldoe je aan de verplichtingen. Daardoor wordt het risico op boetes verminderd en handmatig werk overbodig gemaakt. Ook het behalen van certificaten of de verantwoording van persoonsgegevens in een jaarverslag kan in een platform verwerkt worden.

Maar bedrijven moeten voorzichtig zijn. Niet elke oplossingsgerichte aanpak is per se ook toekomstgericht. Misschien ben je op dit moment compliant, maar blijf je dat ook? Wetgeving in verschillende landen verandert, en problemen die nu nog niet bestaan kunnen in de toekomst een rol gaan spelen. Technologie die 24×7 jouw organisatie AVG-proof houdt bereidt je organisatie voor op deze veranderingen.

Op het Skopos platform worden alle tools, applicaties, netwerken en systemen continu gescand zodat kwetsbare software, werkstations en servers direct zichtbaar worden. Data-lek detectie voorkomt problemen voordat ze er zijn. Het Skopos platform geeft je de bewijslast dat je bewustzijn hebt gecreëerd onder je medewerkers. Ook toont het Skopos platform aan dat kwetsbaarheden verholpen worden en dat je actief zoekt naar credentials die misbruikt kunnen worden. Met Skopos scan je op effectiviteit van de genomen maatregelen voor de AVG. Dit geeft rust en zekerheid binnen de organisatie en geeft je de controle over het AVG-beleid.

Geinteresseerd in een demonstratie van het Skopos platform? Lees hier meer of neem voor meer informatie contact op via nl@skoposlab.eu of via 0852005579