Artikel 32 van de AVG zorgt nog dagelijks voor veel hoofdbrekens. Dit artikel stelt dat Verwerker en Verantwoordelijke ‘passende’ technische en organisatorische maatregelen moeten treffen. Helaas legt de AVG niet concreet uit wat hiervoor nodig is. Daarom geeft gastblogger Thierry Lammers - CEO van Enterprise Mobility specialist BLAUD - antwoord op de vraag hoe je de informatiebeveiliging optimaal inricht in de praktijk.

Wilt u eerst een nadere verkenning lezen over artikel 32 van de AVG? Lees dan blog 1 van deze tweedelige blogreeks ‘Passende beveiliging volgens de AVG: wat houdt het nu écht in?’.

Optimaal inrichten van de beveiliging

Om een goede informatiebeveiliging voor uw organisatie te realiseren, is het noodzakelijk om vast te stellen op welke terreinen u (als organisatie én als medewerker van een organisatie) digitaal kwetsbaar bent.

In hoofdlijnen zijn deze kwetsbare plekken in uw organisatie onder te verdelen in mens, organisatie en techniek en in meer detail daarna onder te verdelen in de specifieke processen en eventueel bijbehorende systemen.

De (zwakke) plekken en manieren waar uw organisatie cybergevaar loopt, wordt wel attack-vector genoemd.

E-mail: de zwakste schakel

Het meest tot de verbeelding sprekende voorbeeld van een attack-vector is natuurlijk e-mail. Ongeveer 90% van de hedendaagse hacks lopen via e-mail.

AVG artikel 32 passende beveiliging

E-mail wordt door hackers en andere ongenode gasten op verschillende manieren gebruikt om uw organisatie kennis, geld of informatie afhandig te maken. Denk aan phishingmails, bijlagen met ransomware of CEO-fraude.

Helaas is het zo dat de genoemde aanvallen niet eenvoudig met één tool zijn af te vangen. De standaard virusscanning van de (cloud-) mailprovider biedt niet altijd afdoende bescherming.

Daarnaast wordt e-mail ook op smartphone en tablet gelezen, hetgeen een andere vorm van bescherming vereist. Zelfs dan kan een mail door het net glippen en ligt de verantwoordelijkheid bij uw medewerkers, die dus ook goed bewust moeten zijn van de risico’s.

Het beveiligen van persoonsgegevens vergt dus een multi-level aanpak.

In onze optiek bestaan er - vanuit een mobile first, cloud first gedachte – 6 lagen die u kunt aanpakken om uw beveiliging goed in te richten en daarmee te voldoen aan de AVG.

1. Bewustwording & kennis

Tegen een tekort aan cybersecurity bewustzijn is geen techniek opgewassen. Alle medewerkers moeten waakzaam en weerbaar zijn.

Zeker als ze gevoelige persoonsgegevens verwerken en daarmee een target vormen voor hackers. Cyber resilience moet onderdeel zijn van uw bedrijfs-DNA.

2. Data- en appbeveiliging

Encryptie van persoonsgegevens is een minimale vereiste. Een veilige verbinding van een app naar de bijbehorende back-officeomgeving ook.

In een Bring Your Own Device-situatie is het zelfs wenselijk om app-management te introduceren. Zo bent u als organisatie in staat uw bedrijfsapps en bijbehorende gegevens moeiteloos te verwijderen van apparatuur.

3. Unified Endpoint Management

Het vroegere Mobile Device Management (MDM) is geëvolueerd naar een volwaardig product waarmee u laptops, smartphones, tablets, wearables en binnenkort vele IoT-producten kunt beheren.

AVG artikel 32 passende beveiliging

De nieuwe noemer heet, volgens Gartner, Unified Endpoint Management (UEM). Met UEM zijn veiligheidsmaatregelen af te dwingen op de apparatuur die uw organisatie gebruikt. Daarmee is het een cruciaal en noodzakelijk component van uw beveiligingsaanpak.

4. Mobile Threat Defense

Om uw mobiele apparaten te wapenen tegen bijvoorbeeld malware en phishing attacks zet u Mobile Threat Defense (MTD) in. Het fraaie van MTD is de samenwerking met Unified Endpoint Management.

Wanneer een aanval met MTD wordt gedetecteerd, kan UEM direct een passende maatregel nemen. Bijvoorbeeld in quarantaine stellen of wissen van het apparaat.

MTD-oplossingen scannen ook apps, social media en instant messaging.

5. Identity & Access Management

Veel van de populaire bedrijfstoepassingen draaien momenteel in de cloud en zijn dus ‘makkelijker’ toegankelijk. Het is daarom fijn om hier een (multi factor) authenticatiemiddel aan toe te voegen.

Bijvoorbeeld door persoons- en bedrijfsgegevens alleen benaderbaar te maken met vertrouwde apparaten. U raadt het al: dat zijn uw apparaten die beheerd worden met uw Unified Endpoint Management.

Met het juiste beleid en een goede implementatie van zo’n keten van systemen verdwijnt de noodzaak van een wachtwoord uit beeld.

6. Digital Rights Management

Naast producten en diensten leeft uw organisatie van het uitwisselen van gegevens. Feitelijk wil je grip hebben en houden op ieder stukje gedeelde informatie.

Er zijn meerdere manieren, niveaus en redenen om een document te kunnen en willen beveiligen. U past dan Digital Rights Management (DRM) toe op de informatie.

DRM-oplossingen waren vroeger complex en niet gebruiksvriendelijk. De problematiek van DRM is in de loop van de jaren uiteraard niet eenvoudiger geworden.

Toch maakt de huidige stand van mobiele- en cloudtechnologie een implementatie van DRM binnen uw organisatie een stuk realistischer.

Het beveiligingsniveau dat bij uw organisatie past

Deze 6 lagen samen beschermen de persoonsgegevens die uw organisatie verwerkt optimaal. Zeker bij de verwerking van bijzondere persoonsgegevens is een dergelijke 6 lagen-aanpak een must.

AVG artikel 32 passende beveiliging

Delen ervan zijn uiteraard ook toepasbaar als u minder gevoelige persoonsgegevens verwerkt. Ze geven u in ieder geval een goed beeld van de mogelijke beveiligingsmaatregelen die u kunt treffen om aan artikel 32 te voldoen.

Belangrijk om te realiseren is dat een passend beveiligingsniveau dynamisch is. Wat vandaag goed is, kan morgen alweer achterhaald zijn.

Dat maakt het nodig om een regelmatige (her)beoordeling te doen om te blijven voldoen aan de AVG.

Hulp nodig bij het concreet invulling geven aan de AVG?

Onze ICT-juristen hebben al vele organisaties geholpen bij de implementatie en naleving van de AVG. Voor de concrete invulling van de informatiebeveiliging schakelen we graag de kennis en kunde in van BLAUD.

Wilt u nader kennis met ons maken? Bel ons direct via 010 2290 646 of kijk op www.legalz.nl/avg.

Over BLAUD

BLAUD is al meer dan 15 jaar Enterprise Mobility specialist. De producten en diensten van BLAUD zijn gericht op het versnellen, verslimmen, beveiligen en mobiliseren van bedrijfsprocessen én medewerkers.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.