What are control measures?

In de Europese Algemene verordening gegevensbescherming (AVG) geeft de wetgever aan dat bedrijven – rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard en omvang van de verwerkingen – gegevensbescherming door ontwerp en door standaardinstellingen organiseert (artikel 25 AVG). In het Engels aangeduid met het treffen van beheersmaatregelen “by design”. De AVG voorziet zelfs in het toepassen van gedragscodes en certificering (artikelen 40 – 43 AVG). De verwachting is redelijk dat IT-leveranciers hun IT-systemen voorzien van beheersmaatregelen “by design” waarmee persoonsgegevens effectief beschermd kunnen worden.

De wetgever moedigt de bedrijfsleiding aan haar bedrijfsactiviteiten effectief te organiseren met bedrijfsprocessen waarin beheersmaatregelen “by design” zijn opgenomen met als doel (persoons)gegevens effectief te beschermen. Beschermen van gegevens wil zeggen dat de gegevens betrouwbaar zijn, vertrouwelijk en toegankelijk. Bovendien kan de bedrijfsleiding verantwoordelijkheid nemen dat de gegevens effectief beschermd zijn.

Bedrijfskundig is het organiseren van bedrijfsactiviteiten met bedrijfsprocessen waarin “by design” beheersmaatregelen zijn opgenomen met als doel de bedrijfs- en persoonsgegevens en bedrijfsgeheimen effectief te beschermen een gebruikelijke eis van de bedrijfsleiding. Immers, de waardepropositie van het beschikken over en kunnen toepassen van betrouwbare gegevens is omvangrijk, zie de businesscases vertrouwensnetwerk.

De vraag is dan ook: zijn uw beheersmaatregelen ‘by design’ ingeregeld en beschermen deze maatregelen uw gegevens effectief?

Hoe kunnen wij u helpen?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Maak een afspraak met André Biesheuvel, de service-eigenaar ‘beschermen van persoonsgegevens’, of een professional van zijn team.

Afhankelijk van de cloudlaag (IaaS, PaaS of SaaS) of mix van cloudlagen die afgenomen wordt, is de verantwoordelijkheid belegd bij de cloudleverancier of bij het bedrijf en voor sommige delen is er een gedeelde verantwoordelijkheid. In onderstaand schema van Microsoft is de verdeling helder weergegeven:

Elke laag heeft een eigen risicoprofiel dat met passende maatregelen moet worden beschermd.

Ongeacht het type implementatie liggen de volgende verantwoordelijkheden altijd bij het bedrijf:

  • Gegevens
  • Eindpunten
  • Account
  • Toegangsbeheer

Bedrijven hechten er aan dat cloudleveranciers optimaal hun persoons- en bedrijfsgegevens (en bedrijfsgeheimen) beschermen met effectieve beheers- en beveiligingsmaatregelen. Een aanval op een cloudleverancier is niet ondenkbaar omdat dit doel vele bedrijven kan raken met een gijzeling van gegevens.

De kern van de beheers- en beveiligingsstrategie is het authentiseren van de identiteit van bedrijven en personen en het beschermen van de end points en het netwerk waarin de end points zijn opgenomen. Een dergelijks strategie komt overeen met het zerotrust beveiligingsmodel. Een cloudleverancier reikt deze beveiligingsmaatregelen aan maar een bedrijf moet echter wel deze optionele beveiligingsmogelijkheden ‘aan’ zetten.

De vraag van bedrijven naar IT-ondersteunen veranderen en de cloudleveranciers verbeteren het aanbod van beheers- en beveiligingsmaatregelen vrijwel continu. Het risk- en compliancemanagement formuleren, op basis van hun bevindingen, (nieuwe) eisen aan de IT-functionaliteiten en leggen deze aan de bedrijfsleiding voor. Na goedkeuring zorgt de riskmanager en de compliance officer, in het bijzonder de FG dat de IT-cloudleveranciers de beheers- en beveiligingsmaatregelen implementeren en stellen vast dat de maatregelen effectief zijn.

Alhoewel de leverancier van een SaaS-applicatie de verantwoordelijkheid heeft om ‘by design’ de beheers- en beveiligingsmaatregelen in te regelen, is het verstandig bij de pakketkeuze mee te nemen wat en hoe de leverancier dat heeft gedaan. Vraag om een risicoanalyse en welke maatregelen deze risico’s mitigeren. Een verstandige leverancier kan ook een DPIA overleggen.

De leverancier van de SaaS-applicatie wordt uw verwerker en u bent de verwerkingsverantwoordelijke. Op uw schouders rust de plicht om vast te stellen dat de verwerker kan voldoen aan de AVG en dit ook kan aantonen. Maak afspraken hierover en stel de nakoming vast.

Het is de verantwoordelijkheid van het bedrijf om het toegangsbeheer van de applicatie uit te voeren. Het is dan wel zo prettig voor de medewerkers als integratie met de AAD mogelijk is zodat ze één keer hoeven in te loggen. Ook een voldoende detaillering van rollen met taken is gewenst zodat medewerkers geen overbodige toegang krijgen tot informatie.

De meeste SaaS-applicaties voorzien niet of in onvoldoende mate van een back-up van gegevens. Ook kan de mogelijkheid van opslag van gegevens in de applicatie (te) beperkt zijn. Het bedrijf dient hier vaak zelf voor te zorgen. De applicatie moet hiertoe veilige (overdracht)mogelijkheden bieden.

De aard en omvang van de bedrijfsactiviteiten en de bestaande organisatie van de activiteiten met behulp van bedrijfsprocessen en ondersteunende IT vormen de context voor het inventariseren en beoordelen van de effectiviteit van de beheersmaatregelen. Na consultatie van de bevindingen met medewerkers en leveranciers van ondersteunende IT-systemen adviseren wij op welke wijze de beheersmaatregelen gericht op het beschermen van gegevens effectiever georganiseerd kunnen worden.

Afhankelijk van de bedrijfssituatie kunnen wij de volgende stappen onderkennen

  • Stap 1: De context verklaart de bestaande bedrijfssituatie, relevante wetgeving en geeft richting aan wat moet en wat kan. Overzicht en inzicht in de bedrijfsactiviteiten vormen de verwachtingen voor bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen. Gebruikmakend van de bedrijfscompliance functie ontstaat een beeld van de effectiviteit van de getroffen beheers- en beveiligingsmaatregelen.
  • Stap 2: Het afdelingsmanagement en medewerkers zijn waardevolle informatiebronnen voor het inschatten van de effectiviteit van de bedrijfsprocessen en hierin opgenomen beheersmaatregelen. Door het serieus horen van deze medewerkers hopen wij niet alleen op een informatiebron maar bereiden wij de medewerkers voor op eventuele veranderingen van het organiseren van de bedrijfsactiviteiten. Voorwaarde voor het ontsluiten van deze bron is het op het gewenste niveau brengen van de kennis bij de medewerkers. Wij gebruiken hiervoor gerichte bewustwording en trainingsprogramma’s.
  • Stap 3: De technische informatie infrastructuur is het bedrijfsplatform waarop de bedrijfsleiding de bedrijfsactiviteiten organiseert. Meer en meer bedrijven maken gebruik van populaire platformen zoals MS Azure, Google Cloud en Amazon Web Services voor het opbouwen en beheren van hun bedrijfsplatformen. De – in principe – datagedreven platformen bieden een scala aan beheersmaatregelen die eenvoudig, kostenefficiënt en effectief ingesteld kunnen worden.
  • Stap 4: Op het bedrijfsplatform organiseert het bedrijf de bedrijfsactiviteiten met behulp van bedrijfsprocessen waarin beheersmaatregelen zijn opgenomen. Het overzicht van en inzicht in de bedrijfsprocessen waarin de rollen met taken, bevoegdheden en verantwoordelijkheden zijn opgenomen, de procesmodellen, geven een integraal beeld van toegangsregels tot gegevens. Uit het integraal beeld destilleren wij de beheersmaatregelen die wij mogen verwachten in de toepassingen.
  • Stap 5: IT-toepassingen ondersteunen de procesmodellen. Soms betreffen het generieke functies zoals administratie of personeelszaken die door generieke toepassingen ondersteund worden. Er bestaan ook primaire bedrijfsfuncties die op basis van functionele en non-functionele specificaties zelf zijn ontwikkeld of door IT-leveranciers zijn ontwikkeld.
  • Stap 6: Met name de non-functionele specificaties geven aan welke afspraken zijn gemaakt over de beveiligings- en beheersmaatregelen. De project documentatie en compliance bevindingen geven aan in hoeverre de beheersmaatregelen effectief zijn.
  • Stap 7: In de voorgaande stappen hebben wij al gesproken over de bevindingen van de bedrijfscompliance functie. Samenwerken met de bedrijfscompliance functie geeft een goed beeld van het passend zijn en de effectiviteit van de getroffen beheersmaatregelen.
  • Stap 8: De rapportage bestaat veelal uit een verslag van bevindingen, een advies waarin scenario’s worden uitgewerkt, een plan van aanpak op hoofdlijnen en een businesscase. De rapportage is in samenwerking met het betreffende afdelingsmanagement en medewerkers opgesteld. De rapportage krijgt hiermee realiteitsgehalte en voor het realiseren van de adviezen is veelal voldoende draagvlak.

Elke bedrijfsorganisatie is anders en vraagt om maatwerk.

Soms zijn er aanleidingen dat de bedrijfsleiding behoefte heeft aan een bevestiging dat de beheers- en beveiligingsmaatregelen toereikend zijn. Als de bevestiging uitblijft dan wenst de bedrijfsleiding inzicht te hebben in te treffen beheers- en beveiligingsmaatregelen en hoe deze maatregelen verantwoord te nemen. Een goed gesprek kan toereikend zijn ongewisheid weg te nemen.

Heeft u vragen of behoefte aan een afspraak?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Maak een afspraak met André Biesheuvel, de service-eigenaar ‘beschermen van persoonsgegevens’, of een professional van zijn team.