Het naleven van de AVG heeft voor een hoop organisaties veel voeten in aarde gehad. Sommige organisaties zijn hier nog steeds druk mee bezig. In allerijl moesten beleid en procedures worden opgesteld, werden medewerkers getraind en moest er in systemen van alles worden aangepast. Een groot deel van deze acties hadden (in meer of mindere mate) iets van doen met informatiebeveiliging.

Het gebrek aan of nastreven van privacy is al heel oud:

  • In artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) is het “recht op respect voor zijn privé leven [….] zijn woning en zijn correspondentie”
  • Elementen van privacy zijn in artikel 10 (privacy), artikel 12 (huisvrede) en artikel 13 (briefgeheim) van onze grondwet vastgelegd.
  • Tot enige tijd geleden hadden we eveneens de Wet bescherming persoonsgegevens (Wbp).

De komst van de AVG hebben velen als een ware verandering ervaren. Echter, organisaties die hun informatiebeveiliging al enigszins op orde hadden en (op een respectvolle wijze) bewust met privacy omgingen, hoefden niet eens zó veel te veranderen.

Het verband tussen privacy en informatiebeveiliging

De AVG verwijst namelijk op een aantal plekken naar actie die organisaties moeten nemen op het gebied van informatiebeveiliging. Enkele voorbeelden hiervan zijn:

  • Organisaties moeten “passende technische en organisatorische maatregelen” (artikel 24) treffen om de rechten en vrijheden van personen te beschermen. Deze maatregelen moeten zijn afgestemd op “de aard, de omvang, de context en het doel van de verwerking” van de persoonsgegevens “om een op het risico afgestemd beveiligingsniveau te waarborgen” waarbij organisaties rekening moeten houden “met de stand van de techniek, de uitvoeringskosten” (artikel 32).
  • Als voorbeeld van deze maatregelen wordt “pseudonimisering” (artikel 25) genoemd.
  • De verwerkingsverantwoordelijke moet “afdoende garanties” (artikel 28) krijgen wanneer hij deze persoonsgegevens door een verwerker laat verwerken.
  • Systemen moeten zijn voorzien van “gegevensbescherming door ontwerp en door standaardinstellingen” beter bekend als privacy by design en privacy by default (artikel 25).
  • Wanneer geen van de gronden (artikel 6) meer van toepassing zijn, dan mag een organisatie persoonsgegevens niet meer verwerken en moeten deze worden verwijderd.

Informatiebeveiliging toegelicht

Informatiebeveiliging is het vakgebied dat zich richt op de beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V) van informatie en systemen, samen BIV. Ondanks dat misschien niet álle elementen van informatiebeveiliging door de AVG worden ‘geëist’, is het verstandig om een volledig beeld van informatiebeveiliging te schetsen. De hierboven genoemde punten reiken namelijk meer dan men in eerste instantie zou denken:

  • Organisaties kunnen niet alleen werken aan “gegevensbescherming door ontwerp” (‘privacy by design’), zonder bijvoorbeeld change management (als onderdeel van informatiebeveiliging) daarin mee te nemen.
  • Evenzo is het op grond van “de stand van de techniek, de uitvoeringskosten” gebruikelijk geworden (persoons)gegevens te versleutelen, zowel op laptops, telefoons als in de Cloud.

Er zijn diverse standaarden waarin wordt ingegaan op informatiebeveiliging: sommige algemeen en anderen specifiek voor bepaalde sectoren (zoals de financiële sector of de zorg). Voorbeelden van deze algemene standaarden zijn ISO 27001, ISO 27002 en CobiT. (Standaarden in specifieke sectoren zijn hier veelal van afgeleid: door minder relevante zaken achterwege te laten of bepaalde onderwerpen extra aandacht te geven.)

We kijken op een aantal manieren naar deze standaarden:

  • Ze bevatten vaak een managementcyclus. Eerst moet beleid, procedures en beheersmaatregelen op het gebied van informatiebeveiliging worden opgesteld. Daarna moet dit in de organisatie worden opgenomen. Vervolgens zullen de resultaten worden beoordeeld. Waarna beleid, procedures en beheersmaatregelen worden aangepast.
  • Het is van belang dat organisaties op verschillende niveaus aandacht aan informatiebeveiliging besteden; niet alleen in beleid, procedures en beheersmaatregelen. Zowel op het gebied van ‘mensen’, ‘processen’ als ‘techniek’ is het van belang aandacht aan informatiebeveiliging te besteden. Anders is de kans groot dat het niet beklijft.
  • Inhoudelijk gezien hebben deze standaarden op het gebied van informatiebeveiliging veel gemeen. Ze behandelen – elk op hun eigen manier – onderwerpen als: veilig opslag, training/bewustwording van medewerkers, netwerkverkeer, leveranciers, ontwikkelen/wijzigen van software, apparaten (zoals laptops en telefoon), …

Informatiebeveiliging bevordert privacy

Binnen diverse ketens (bijvoorbeeld kleding, elektronica en doe-het-zelf) komen veelvuldig persoonsgegevens van klanten voorbij: klanten met een klantenpas, sollicitanten voor een functie in een winkel, salarisstrookjes van werknemers. Het gaat hierbij niet alleen om de winkels, maar ook de persoonsgegevens die bij bezorgers, de helpdesk, de klantenservice en monteurs terechtkomen.

De volgende persoonsgegevens kunnen binnen een retailorganisatie ‘rondzwerven’:

  • gegevens van sollicitanten, zoals sollicitatiebrieven en CV’s;
  • gegevens uit de personeelsadministratie en salarisadministratie;
  • lijsten met klantnamen, inclusief adressen en eventuele andere gegevens;
  • debiteurenlijsten met bankrekeningnummers en openstaande bedragen;
  • codes/wachtwoorden om in te loggen op de kassasystemen;
  • interactie met klanten op social media;
  • gegevens van royalty programma’s (bijvoorbeeld gespaarde punten);
  • geschiedenis van aankopen.

Deze voorbeelden raken de privacy van klanten, werknemers, sollicitanten, zakenrelaties en daarmee ook de informatiebeveiliging. Enkele praktische tips:

  • Verbeter logische toegangsbeveiliging door gebruik van complexe wachtwoorden van kassasystemen in winkels. Laat kassasystemen automatisch blokkeren, wanneer de werknemer de kassa verlaat.
  • Breng fysieke toegangsbeveiliging op orde door ruimtes waar alleen werknemers van de winkel mogen komen te beschermen tegen onbevoegden. Laat vertrouwelijke informatie en persoonsgegevens nooit slingeren in de winkel en neem deze nooit mee naar huis.
  • Bescherm kassasystemen tegen virussen, malware en phishing door antivirus software up-to-date te houden. Open nooit bijlagen (vooral niet exe, com, vbs en js bestanden) van onbekende afzenders.
  • Wees alert op datalekken en security incidenten en meld eventuele inbreuken op vertrouwelijke gegevens of persoonsgegevens of beveiligingsincidenten onmiddellijk aan een leidinggevende.
  • Wees voorzichtig met social media door bijvoorbeeld geen vertrouwelijke gegevens of persoonsgegevens (van klanten) te verspreiden.

Meer weten? Zoek Contakt!

Wil je meer informatie? Neem dan contact op met Ronald van Putten +31 6 29 09 1602  of ronald.van.putten@contakt.nl