06-02-2017

De AVG komt en dat duurt niet lang meer

Deze Europese wetgeving, die de meer bekende Wet Bescherming Persoonsgegevens (WBP) gaat vervangen, is van toepassing met ingang vanaf 25 mei 2018. De wet is voor iedereen die met persoonsgegevens werkt. Het verschil ten opzichte van de eerdere wetgeving (WBP) zit met name op de volgende drie punten:

  1. Meer rechten voor de personen om wie het gaat;
  2. Meer plichten voor de organisaties die met deze gegevens omgaan (verwerken, verzamelen, gebruiken);
  3. Meer controle van de toezichthouder (in de vorm van hoge boetes).

Eigenlijk komt het erop neer dat nu in de wet verankerd is dat er op een verantwoordelijke manier moet worden omgegaan met persoonsgegevens. Met nog meer aandacht, met nog meer focus! Een belangrijk architectuurprincipe dat hieraan ten grondslag ligt is het Privacy by design principe waarin veel aandacht is geschonken in de Privacy Baseline die onlangs is gepubliceerd. Deze richtlijn geeft praktische handvaten om het begrip Privacy een gewenste plek te kunnen geven in de architectuur van de organisatie. Dit door het benadrukken van de volgende doelstellingen:

  1. Afscherming persoonsgegevens
    Afscherming zorgt ervoor dat persoonsgegevens niet op een onrechtmatige manier kunnen worden verwerkt, zoals het gebruiken, doorgeven of koppelen van persoonsgegevens voor andere doelen dan de oorspronkelijke of voor onbekende doeleinden.
  2. Corrigeerbaarheid persoonsgegevens
    Tijdens en na elke verwerking van persoonsgegevens is het mogelijk om de persoonsgegevens en de uitkomsten van de verwerking aan te passen, indien deze niet voldoen aan de doelbinding of de kwaliteitsvereisten en daardoor de betrokkene (kunnen) benadelen.
  3. Transparantie verwerking persoonsgegevens
    Voor, tijdens en na de elke verwerking van persoonsgegevens is duidelijkheid over de doelbinding, de wettelijke grondslag en de organisatorische en technische inrichting van verwerking van de persoonsgegevens.

Wat vooral nieuw is, is het laatste punt, namelijk transparantie. Transparantie (zie ook eerder door collega Erwin Oord gepubliceerd volwassenheidsmodel over Transparantie) vereist een verantwoordingsplicht en dat betekent dat degene die verantwoordelijk is voor de gegevensverwerking niet alleen verantwoordelijk is voor een goede naleving ervan, maar dit ook moet kunnen aantonen! Dit vereist een goede invulling aan het begrip intern toezicht waarin voldoende zicht is op relevante wet- en regelgeving, privacybeleid, juiste verbinding met gegevensmanagement en organisatorische inbedding van het geheel. Maar dat niet alleen! Afnemers krijgen het recht op transparantie, wat grofweg inhoudt dat zij een beeld moet krijgen van de kwaliteit van de gegevens en inzicht moeten krijgen in het gebruik. De boetes zijn aanzienlijk, dus het is verstandig om tijdig maatregelen te nemen. Daarom zijn veel organisaties momenteel bezig met een impact analyse.

Een Privacy Management Systeem is een goede oplossing hiervoor, maar maak geen nieuw ICT eiland! Privacy en informatiebeveiliging kunnen niet los van elkaar gezien worden, dus het nauw laten samenwerken van een Privacy Management Systeem met een Information Security Management Systeem (ISMS) lijkt heel verstandig. Ook al is het omdat in de praktijk vaak beide afdelingen (Security en Privacy) ook goed met elkaar samenwerken, maar wel beide een iets andere focus hebben.

ArchiXL biedt met de ISMS Wiki een kickstart voor organisaties die snel en effectief een ISMS (Information Security Management Systeem) willen opzetten. Of voor organisaties die hun bestaande ISMS toegankelijker en pragmatischer willen maken om zo het bewustzijn van de medewerkers op het gebied van informatiebeveiliging te laten groeien.

Het product combineert een op de informatiebeveiligingsstandaarden (ISO27001 / NEN7510) gebaseerd kennismodel met de kracht van het WikiXL semantisch platform. Aangevuld met bedrijfsspecifieke content en praktijkinformatie ontstaat een actuele, effectieve en raadpleegbare weergave van het informatiebeveiligingsbeleid van een organisatie. En dit kunnen we in goed overleg uitbreiden met een Privacy Management Systeem zodat geïntegreerd naar alle aspecten van beveiliging en privacy gekeken kan worden.

ISMS Wiki wordt door Audit orde en haar partners op abonnementsbasis (as a service) ingezet bij opdrachtgevers. Er is geen lokale installatie van software noodzakelijk. Iedere nieuwe abonnementhouder krijgt een beveiligde instantie van het kennismodel ter beschikking die kan worden gevuld met bedrijfsinformatie en links naar interne bedrijfsdocumenten. Iedere geautoriseerde gebruiker uit de organisatie kan vanaf elke met het internet verbonden locatie het ISMS raadplegen en snel en adequaat reageren op beveiligingsincidenten zoals datalekken en personele misstappen.

Jan Willem van Veen (jwvveen@archixl.nl) is principal consultant bij ArchiXL.

Interessant? Deel het!
Illustratie stel je vraag
Meer weten over deze blog?

Neem contact op met ons, we vertellen er graag meer over!

© ArchiXL  |  Chamber of Commerce  05084421