Nieuws

donderdag 21 september 2017

Bescherming en beveiliging van persoonsgegevens in de GDPR

Door: Kees Mastwijk, business area manager Security Management

Relevante artikelen in de GDPR
In de GDPR vinden we twee artikelen die specifiek ingaan op de bescherming van persoonsgegevens. Ten eerste vinden we in artikel 25 van de GDPR  het artikel ‘Data protection by design and by default’.

Het tweede artikel dat gerelateerd is aan de beveiliging van persoonsgegevens vinden we in artikel 32 van de GDPR: ‘Security of processing’. Het doel van dit artikel is om te waarborgen dat de beveiligingsrisico’s die de verwerking van de persoonsgegevens  tot een acceptabel niveau worden terug gebracht.

De implementatie van deze eis omvat een aantal stappen. Als er al een privacy beleidsdocument bestaat, dan dien deze te worden geüpdate met de toevoeging dat ‘persoonsgegevens moeten worden beschermd door middel van een gepaste set aan beveiligingsmaatregelen die de risico’s voor de rechten en de vrijheid van natuurlijke personen beheren’. Een gepaste set aan beveiligingsmaatregelen kan onder meer gevonden worden in de  ISO27002 standaard, of de NIST SP 800 series.

Naast deze set met meer algemene beveiligingsmaatregelen, zijn er ook privacy specifieke maatregelen toe te passen. Dit kunnen organisatorische maatregelen zijn, als ook technische maatregelen. Voorbeelden van deze privacy specifieke maatregelen zijn bijvoorbeeld:

  • Anonimiseren van persoonsgegevens – het onomkeerbaar vernietigen van gegevens die identificatie van een natuurlijk persoon mogelijk maken
  • Pseudonimiseren – het vervangen van persoonsgegevens met andere data
  • Encryptie – het voorkomen van ongeautoriseerde inzage gedurende opslag en transport
  • ‘tokenisation’- het vervangen van persoonsgegevens met willekeurige data, en waarbij alleen geautoriseerde personen door middel van een token toegang kunnen krijgen tot de volledige informatie

Andere aandachtspunten die in acht genomen dienen te worden bij de beveiliging van persoonsgegevens zijn onder andere het beperken van het aantal mensen die toegang hebben tot de persoonsgegevens, het regelmatig testen van de beveiligingsmaatregelen op hun effectiviteit, en het betrekken van de functionaris voor de gegevensbescherming (FG) bij het selecteren van de juiste beveiligingsmaatregelen.

Print

Nieuwsbrief

 

Blijf op de hoogte van de laatste security ontwikkelingen door je nu in te schrijven voor de Vest nieuwsbrief!


Ja, ik wil die nieuwsbrief!


 


Security 15 Minutes Live

Met Marc Hullegie

IT Tomorrow

met Marc Hullegie