AVG: Hoe toon je nou aan dat je het goed voor elkaar hebt?
19 april 2018 11:40
Het van kracht worden van de AVG wordt door veel partijen aangegrepen om ondernemers te waarschuwen voor de negatieve gevolgen van deze wetgeving. Natuurlijk is het zo dat, wanneer je je zaken niet op orde hebt, er een mogelijkheid bestaat dat de Autoriteit Persoonsgegevens je daarvoor op de vingers tikt. Dat is echter niet nieuw, binnen de huidige Wet Bescherming Persoonsgegevens moeten organisaties ook al het nodige doen om persoonsgegevens veilig op te slaan en te verwerken. In dit artikel licht Guardian360 toe hoe je eenvoudig aan kunt tonen dat je een aantal zaken best goed voor elkaar hebt!
Mens, proces en technologie
Hoewel de AVG slaat op het beschermen van privacy van personen, zijn er een aantal vergelijkingen te maken met informatiebeveiliging. Binnen de informatiebeveiliging moeten de elementen mens, proces en technologie alle drie aandacht krijgen. Heb je alleen aandacht voor techniek, dan kan het zijn dat mensen een interessant doelwit worden van online criminelen. Heb je wel je ISO27001 certificering en daarmee je processen beschreven, maar heb je de technische controlemiddelen niet goed geregeld, dan zou er toch een incident plaats kunnen vinden.
Ten aanzien van privacy en de AVG is het net zo. Er is helaas geen ‘magisch product’ dat ervoor zorgt dat een organisatie in een keer voldoet aan de AVG. Een organisatie moet het nodige doen om haar medewerkers te instrueren om op een veilige manier om te gaan met persoonsgegevens. Niet alleen moeten hier procedures bij bedacht worden, deze moeten ook gehandhaafd worden. Als ondernemer heb je daarbij een bijzondere taak: je moet het goede voorbeeld geven! Ten aanzien van de technologie moet je ook een aantal zaken regelen: zijn rollen en rechten goed ingeregeld? Gebruiken mensen sterke wachtwoorden? Zijn alle servers en werkplekken up to date? Hoe staat je website ervoor? Zijn er afwijkingen van informatiebeveiliging normen?
Heb je het technisch op orde?
Veel organisaties hebben het IT-beheer van hun organisatie uitbesteed aan een gespecialiseerde managed services partij. Andere organisaties hebben daar een eigen IT-team voor in huis. Deze beheerders zijn de afgelopen jaren gevraagd om gebruikers met vragen binnen een bepaalde tijd te woord te staan. Ook zijn er waarschijnlijk afspraken gemaakt over wanneer updates en patches doorgevoerd worden en wat de beschikbaarheid van systemen zou moeten zijn. Firewalls, anti-malware en antivirus zijn in veel organisaties ook al geïnstalleerd. Op zich goed, er is dan al een hoop gedaan om de continuïteit van de IT-omgeving te waarborgen.
Wat we echter ook moeten constateren, is dat veel organisaties nog geen preventieve scanning uitvoeren op de IT-omgeving. “Waar gehakt wordt, vallen spaanders” en laat een kwaadwillende hacker nou net gebruik maken van de foutjes die wij mensen maken. Daarom is het zaak om continu aandacht te hebben voor medewerkers met zwakke 
wachtwoorden, verouderde systemen in het netwerk en bijvoorbeeld ‘achterdeurtjes’ die (onbedoeld) open staan in het netwerk. Door continu scanning en monitoring kunnen tienduizenden kwetsbaarheden in IT-omgevingen opgespoord worden, waarna de beheerders deze kunnen verhelpen voordat een computercrimineel er misbruik van maakt. Guardian360 brengt deze kwetsbaarheden en andere relevante inzichten in kaart via het Guardian360 management dashboard.
Met behulp van dit dashboard kan de organisatie zich niet alleen beter beveiligen, je kunt ook eenvoudig aantonen dat je je bovengemiddeld ingespannen hebt om de IT-omgeving en de daarin aanwezige persoonsgegevens zo veilig mogelijk te houden.
Kanarie bij datalekken?
Een van de zaken die je volgens de AVG, maar ook al binnen de Meldplicht Datalekken, moet doen is het ‘onverwijld melden van een datalek’. Wanneer je ervan op de hoogte bent dat er een datalek heeft plaatsgevonden, dan moet je dat dus binnen 72 uur melden. De uitdaging is dat veel organisaties niet weten dat er een datalek is geweest! Guardian360 lost dat op met haar Canary. Deze digitale lokvogel detecteert kwaadwillenden in netwerken en alarmeert de IT-beheerders zodat zij de criminele hacker de pas af kunnen snijden. Tegelijkertijd kan er dan ook onderzocht worden of zich een datalek heeft voorgedaan en of dat gemeld moet worden.
Nog meer tips om te voldoen aan de AVG?
Download dan onze whitepaper! Deze whitepaper biedt u een helder overzicht van wat u te wachten staat.
Met onze whitepaper AVG ontvangt u een praktische handreiking voor de Algemene Verordening Gegevensbescherming. Download direct onze whitepaper om zo optimaal mogelijk voorbereid te zijn om deze nieuwe regelgeving.
Guardian360 BV
Schouwburgplein 30-34
3012 CL Rotterdam
Reacties op dit artikel
Reactie plaatsen? Log in met uw account.