IS AVG GOED VOOR ELKAAR?

Het van kracht worden van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 werd door veel partijen aangegrepen om ondernemers te waarschuwen voor de negatieve gevolgen van deze wetgeving. Natuurlijk bestaat de mogelijkheid dat wanneer een organisatie haar zaken niet op orde heeft op de vingers wordt getikt door de Autoriteit Persoonsgegevens. Dat is echter niet nieuw, want binnen de Wet Bescherming Persoonsgegevens moesten organisaties ook al het nodige doen om persoonsgegevens veilig op te slaan en te verwerken.

MENS, PROCES EN TECHNOLOGIE

Hoewel de AVG betrekking heeft op het beschermen van privacy van personen, zijn er een aantal vergelijkingen te maken met informatiebeveiliging. Binnen informatiebeveiliging moeten alle drie de elementen – mens, proces en technologie – aandacht krijgen. Ligt de focus alleen bij techniek? Dan kunnen mensen een interessant doelwit worden voor online criminelen. Heb je wel de ISO27001 certificering en zijn de processen duidelijk beschreven, maar heb je de technische controlemiddelen niet goed geregeld? Dan zou er toch een incident plaats kunnen vinden.

Dit is ook het geval bij privacy en de AVG. Er bestaat helaas geen ‘magisch product’ waarmee een organisatie in één keer kan voldoen aan de AVG. Ten eerste moeten mensen geïnstrueerd worden om op een veilige manier om te gaan met persoonsgegevens. Niet alleen dienen organisaties hier procedures voor bedenken, maar deze moeten ook gehandhaafd worden. Als ondernemer heb je daarbij een belangrijke taak: het geven van een goed voorbeeld. Op het gebied van technologie moeten er ook een aantal zaken geregeld worden: Zijn rollen en rechten van jouw medewerkers goed ingeregeld? Hebben mensen sterke wachtwoorden? Zijn alle servers en werkplekken up-to-date?

HEB JE HET TECHNISCH OP ORDE?

Veel organisaties hebben het beheer van hun IT uitbesteed aan een gespecialiseerde managed services partij. Andere organisaties hebben hiervoor beschikking over een eigen IT-team. Hierbij zijn er waarschijnlijk afspraken gemaakt over wanneer updates en patches doorgevoerd worden en wat de beschikbaarheid van systemen zou moeten zijn. Firewalls, anti-malware en antivirus programma’s zijn in veel organisaties ook al geïnstalleerd. Is dit binnen jouw organisatie goed geregeld? Dan ben je al goed onderweg om de continuïteit van jouw IT-omgeving te waarborgen.

Wil je op alles voorbereid zijn? Dan is cruciaal om jouw IT-omgeving preventief te scannen. “Waar gehakt wordt, vallen spaanders”, laat een kwaadwillende nou net gebruik maken van de foutjes die wij maken. Daarom is het zaak om continu aandacht te hebben voor medewerkers met zwakke wachtwoorden, verouderde systemen in het netwerk en bijvoorbeeld ‘achterdeurtjes’ die (onbedoeld) open staan in het netwerk. Door continu scanning en monitoring kunnen tienduizenden kwetsbaarheden opgespoord worden, waarna de beheerders deze kunnen verhelpen voordat een computercrimineel er misbruik van maakt. Guardian360 brengt deze kwetsbaarheden en andere relevante inzichten in kaart via het Guardian360 management dashboard.

HACKERALERT BIJ DATALEKKEN

Een van de zaken die je volgens de AVG, maar ook al binnen de Meldplicht Datalekken, moet doen is het ‘overwijld melden van een datalek’. Ben je op de hoogte van een datalek? Dan moet je dit binnen 48 uur melden. De uitdaging is dat veel organisaties niet weten dat er een datalek is geweest. Guardian360 lost dat op met de Hacker Alert. Deze oplossing detecteert kwaadwillenden in uw netwerk en alarmeert de IT-beheerders, zodat er actie genomen kan worden. Tegelijkertijd kan er dan onderzocht worden of er echt een datalek heeft plaatsgevonden en of een melding maken hiervan noodzakelijk is.

AVG-AANBEVELINGEN IN KAART

De wet van Algemene Verordening Gegevensbescherming (AVG) is een belangrijk onderdeel van de Guardian360 Compliancy Module. Onze ‘AVG-aanbevelingen’ helpen je om jouw organisatie AVG-proof te maken. Deze ontvang je gratis bij de volgende diensten:

• Netwerk Vulnerability Scanner
• IoT & SCADA Vulnerability Scanning
• Webapplicatie Security

WEBINAR INFORMATIEBEVEILIGING