Treffen van effectieve maatregelen

Wat zijn beheersmaatregelen?

In de Europese Algemene verordening gegevensbescherming (AVG) geeft de wetgever aan dat bedrijven – rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard en omvang van de verwerkingen – gegevensbescherming door ontwerp en door standaardinstellingen organiseert (artikel 25 AVG). In het Engels aangeduid met het treffen van beheersmaatregelen “by design”. De AVG voorziet zelfs in het toepassen van gedragscodes en certificering (artikelen 40 – 43 AVG). De verwachting is redelijk dat IT-leveranciers hun IT-systemen voorzien van beheersmaatregelen “by design” waarmee persoonsgegevens effectief beschermd kunnen worden.

De wetgever moedigt de bedrijfsleiding aan haar bedrijfsactiviteiten effectief te organiseren met bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen die “by design” met als doel (persoons)gegevens effectief beschermen. Beschermen van gegevens wil zeggen dat de gegevens betrouwbaar zijn, vertrouwelijk en toegankelijk. Bovendien kan de bedrijfsleiding verantwoordelijkheid nemen dat de gegevens effectief beschermd zijn.

Bedrijfskundig is het organiseren van bedrijfsactiviteiten met bedrijfsprocessen waarin “by design” beheersmaatregelen zijn opgenomen met als doel de bedrijfs- en persoonsgegevens en bedrijfsgeheimen effectief te beschermen een gebruikelijke eis van de bedrijfsleiding. Immers, de waardepropositie van het beschikken over en kunnen toepassen van betrouwbare gegevens is omvangrijk, zie de businesscases vertrouwensnetwerk.

De vraag is dan ook: hoe effectief zijn uw beheersmaatregelen en beschermen de maatregelen “by design” uw gegevens effectief?

Hoe kunnen wij u helpen?

Neem gerust contact met ons op om uw vraag of behoefte te bespreken.

Factsheet treffen van effectieve maatregelen

Download hier de factsheet over het treffen van effectieve maatregelen

De aard en omvang van de bedrijfsactiviteiten en de bestaande organisatie van de activiteiten met behulp van bedrijfsprocessen en ondersteunende IT vormen de context voor het inventariseren en beoordelen van de effectiviteit van de beheersmaatregelen. Na consultatie van de bevindingen met medewerkers en leveranciers van ondersteunende IT-systemen adviseren wij op welke wijze de beheersmaatregelen gericht op het beschermen van gegevens effectiever georganiseerd kunnen worden.

Afhankelijk van de bedrijfssituatie kunnen wij volgende stappen onderkennen:

  • De context verklaart de bestaande bedrijfssituatie, relevante wetgeving en geeft richting aan wat moet en wat kan. Overzicht en inzicht in de bedrijfsactiviteiten vormen de verwachtingen voor bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen. Gebruikmakend van de bedrijfscompliance functie ontstaat een beeld van de effectiviteit van de getroffen beheers- en beveiligingsmaatregelen.
  • Het afdelingsmanagement en medewerkers zijn waardevolle informatiebronnen voor het inschatten van de effectiviteit van de bedrijfsprocessen en hierin opgenomen beheersmaatregelen. Door het serieus horen van deze medewerkers open wij niet alleen een informatiebron maar bereiden wij de medewerkers voor op eventuele veranderingen van het organiseren van de bedrijfsactiviteiten. Voorwaarde voor het ontsluiten van deze bron is het op het gewenste niveau brengen van de kennis bij de medewerkers. Wij gebruiken hiervoor gerichte bewustwording en trainingsprogramma’s.
  • De technische informatie infrastructuur is het bedrijfsplatform waarop de bedrijfsleiding de bedrijfsactiviteiten organiseert. Meer en meer bedrijven maken gebruik van populaire platformen zoals MS Azure, Google Cloud en Amazon Web Services voor het opbouwen en beheren van hun bedrijfsplatformen. De – in principe – datagedreven platformen bieden een scala aan beheersmaatregelen die eenvoudig, kostenefficiënt en effectief ingesteld kunnen worden.
  • Op het bedrijfsplatform organiseert het bedrijf de bedrijfsactiviteiten met behulp van bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen. Het overzicht van en inzicht in de bedrijfsprocessen waarin de rollen met taken, bevoegdheden en verantwoordelijkheden zijn opgenomen, de procesmodellen, geven een integraal beeld van toegangsregels tot gegevens. Uit het integraal beeld destilleren wij de beheersmaatregelen die wij mogen verwachten in de toepassingen.
  • IT-toepassingen ondersteunen de procesmodellen. Soms betreffen het generieke functies zoals administratie of personeelszaken die door generieke toepassingen ondersteund worden. Er bestaan ook primaire bedrijfsfuncties die op basis van functionele en non-functionele specificaties zelf zijn ontwikkeld of door IT-leveranciers zijn ontwikkeld.
    Met name de non-functionele specificaties geven aan welke afspraken zijn gemaakt over de beveiligings- en beheersmaatregelen. De project documentatie en compliance bevindingen geven aan in hoeverre de beheersmaatregelen effectief zijn.
  • In de voorgaande stappen hebben al gesproken over de bevindingen van de bedrijfscompliance functie. Samenwerken met de bedrijfscompliance functie geeft een goed beeld van de passend zijn en de effectiviteit van de getroffen beheersmaatregelen.
  • De rapportage bestaat veelal uit een verslag van bevindingen, een advies waarin scenario’s worden uitgewerkt, een plan van aanpak op hoofdlijnen en een businesscase.
    De rapportage is in samenwerking met het betreffende afdelingsmanagement en medewerkers opgesteld. De rapportage krijgt hiermee realiteitsgehalte en voor het realiseren van de adviezen is veelal voldoende draagvlak.

Elke bedrijfsorganisatie is anders en vraagt om maatwerk.

Soms zijn er aanleidingen dat de bedrijfsleiding behoefte heeft aan een bevestiging dat de beheers- en beveiligingsmaatregelen toereikend zijn. Als de bevestiging uitblijft dan wenst de bedrijfsleiding inzicht te hebben in te treffen beheers- en beveiligingsmaatregelen en hoe deze maatregelen verantwoord te nemen. Een goed gesprek kan toereikend zijn ongewisheid weg te nemen.

Heeft u vragen of behoefte aan een afspraak?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Maak een afspraak met drs. André J. Biesheuvel RA RE RFG, de service-eigenaar gegevensbescherming, of een professional van zijn team.