Beveiliging persoonsgegevens van MKB wordt onderschat.

beveiliging persoonsgegevens van MKB wordt onderschatDe beveiliging van persoonsgegevens is bij elk bedrijf belangrijk. Alleen wordt dit nog wel eens uit het oog verloren. Doordat gegevens snel en makkelijk toegankelijk moeten zijn.

Daarom hebben ook kleine bedrijven eigenlijk net zo’n goede beveiliging nodig als de bedrijven van 50 werknemers of meer. En dit wordt vaak niet gedaan omdat er hoge kosten voor worden gerekend. Maar dit hoeft niet!

Wat zijn Persoonsgegevens?

Dit zijn gegevens zoals naam, adres, geslacht en andere eigenschappen van een natuurlijk persoon. Bedrijven hebben hier mee te maken als ze ook diensten leveren aan particulieren of als er voorwerpen worden geregistreerd die direct aan een persoon kan gelinkt worden.

Voldoen aan de wettelijke norm.

Wanneer zijn beveiligingsmaatregelen nu ‘passend’ zoals de Wbp eist? Deze richtsnoeren leggen uit hoe het cbp bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De richtsnoeren vormen de verbindende schakel tussen enerzijds het juridisch domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen. Dat betekent dat de richtsnoeren in samenhang moeten worden gebruikt met algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging, zoals de Code voor Informatiebeveiliging of de ict-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum.

Op tijd beginnen

Het uitgangspunt om tot een passende beveiliging te komen is dat in een organisatie bestuurders en de mensen die verantwoordelijk zijn voor de informatiesystemen en -beveiliging gezamenlijk nadenken over de wijze van beveiliging, al vóórdat ze persoonsgegevens gaan verzamelen. De beveiliging van persoonsgegevens binnen een organisatie moet gedurende de gehele levensduur van een informatiesysteem punt van aandacht zijn, van het allereerste ontwerp tot aan het onomkeerbaar wissen van het laatste back-up-bestand na afloop van de bewaartermijn. De beveiliging past binnen het bredere verband van privacy by design, waarbij de bescherming van persoonsgegevens en de borging van de rechten van de betrokkenen vanaf het allereerste begin in de informatiesystemen wordt ingebouwd.

Lees nu   Open SSL verbinding nu in gevaar?

‘Plan-do-check-act’

Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Dat komt kort gezegd op het volgende neer:

  • 1. Beoordeel de risico’s Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Tref op basis daarvan gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen.
  • 2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, -standaarden en -maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare beveiligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken.
  • 3. Controleer en evalueer regelmatig Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Pas waar nodig de beveiligingsmaatregelen aan.