Voorbeelden van beveiligingsmaatregelen

Niet alle genoemde voorbeelden hoeven dus passend te zijn voor uw specifieke verwerkingen. Bovendien moet u rekening houden met de stand van de techniek. Er kunnen dus nieuwe maatregelen worden ontwikkeld die uw beveiliging kunnen verbeteren. Dit moet u zelf in de gaten blijven houden.

Technische beveiligingsmaatregelen

Dit zijn voorbeelden van technische beveiligingsmaatregelen:

• Logische en fysieke (toegangs)beveiliging en beveiliging van apparatuur. Denk niet alleen aan kluizen en portiers, maar ook aan firewalls, netwerksegregatie (scheiden van netwerken), autorisatie (welke medewerker heeft toegang tot wat) en accounts aan 1 persoon koppelen (zodat niet meerdere mensen hetzelfde account kunnen gebruiken).
• Technisch beheer van de (zo beperkt mogelijke) autorisaties en logbestanden bijhouden.
• Beheer van technische kwetsbaarheden (‘patch management’).
• Software up-to-date houden, zoals browsers, virusscanners en besturingssystemen.
• Back-ups maken waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft, zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt.
• Verouderde gegevens automatisch verwijderen.
• Gegevens versleutelen (encryptie).
• Hashing gebruiken als methode om persoonsgegevens te pseudonimiseren.
• Minder gegevens op uw servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.

Organisatorische beveiligingsmaatregelen

Dit zijn voorbeelden van organisatorische beveiligingsmaatregelen:

• Mensen verantwoordelijkheden toewijzen voor informatiebeveiliging.
• Beveiligingsbewustzijn vergroten bij bestaande en nieuwe medewerkers.
• Procedures opstellen om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen, te evalueren en eventueel aan te scherpen.
• Regelmatig de logbestanden controleren.
• Een protocol opstellen voor de afhandeling van datalekken en beveiligingsincidenten.
• Geheimhoudingsovereenkomsten en verwerkersovereenkomsten afsluiten.
• Regelmatig beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
• Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
• Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.

Standaarden raadplegen

Er is geen kant-en-klaar beveiligingsplan dat voor elke organisatie of elke gegevensverwerking voldoet. Een goede beveiliging van verwerkte gegevens vergt altijd maatwerk.

Om in het toepassen van dat maatwerk houvast te vinden, bestaan standaarden en gedragscodes die u kunt raadplegen. En waarbij u zich kunt aansluiten om met meer zekerheid te kunnen bepalen of uw beveiligingsmaatregelen voldoende zijn.

Bijvoorbeeld:
 

• ISO 27002 voor beheersmaatregelen informatiebeveiliging;
• ISO 27701 voor privacy-informatiemanagement;
• NEN 7510 voor informatiebeveiliging in de zorg;
• Baseline Informatiebeveiliging Overheid (BIO).