Vragenlijst security

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) actief van kracht; in het Engels GDPR genoemd. Dit is de privacywetgeving die voor de gehele Europese Unie geldt. De AVG is een scherpe wet die eist dat je data goed wordt beveiligd. Om je data goed te beveiligen is in- en overzicht noodzakelijk. Ben je benieuwd hoe goed de security bij jouw organisatie is geregeld? Bekijk dan als begin op hoeveel je van onderstaande vragen ‘ja’ kunt antwoorden.
  • Houd bij de beantwoording rekening met: 1. Of iemand verantwoordelijk is voor het beleid. 2. Of wordt aangesloten bij algemene beveiligingsmaatregelen. 3. Of rekening wordt gehouden met het bijzondere of gevoelige karakter van gegevens. 4. Of het beveiligingsbeleid wordt getoetst.
  • Een privacyverklaring is kort gezegd, een toelichting over wat je met persoonsgegevens van bezoekers en klanten doet.
  • Zijn maatregelen getroffen om datalekken indien noodzakelijk te melden aan de Autoriteit Persoonsgegevens (AP) en aan de getroffen personen van wie de gegevens zijn gelekt?
  • Vanaf 25 mei 2018 hoeven organisaties de gegevensverwerkingen niet meer te melden bij de Autoriteit, maar hebben zij conform artikel 30 AVG een documentatieplicht. Dit houdt in dat een organisatie met documenten moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen heeft genomen om aan de wet te voldoen (accountability). Let op: de meldingsplicht voor het verwerken van gegevens is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet!
  • Zijn er naast de persoonsgegevens die je nodig hebt voor de diensten en/of producten nog andere gegevens over de persoon opgeslagen die je niet écht nodig hebt?
  • Denk hierbij aan autorisatiebeperking, encryptie, two-factor authenticatie, firewall, beleidssoftware en antivirus.
  • Door pseudonimisering, worden de direct identificerende gegevens van de betrokkene op een eenduidige wijze vervangen waardoor in de toekomst bepaalde partijen nog steeds gegevens kunnen toevoegen, maar de uniek identificeerde gegevens niet meer teruggehaald kunnen worden. Door anomisering worden alle direct en uniek identificerende gegevens verwijderd.
  • Hierbij kan gedacht worden aan het vragen van een reactie op opgestuurde overzichten of het geven van (eigen) correctiemogelijkheden in de eigen gegevens door middel van een informatiesysteem (waarbij de betrokkene wel op een toereikende wijze geïdentificeerd dient te worden).
  • Denk hierbij aan organisaties waar je gegevens opslaat en waar verwerkingen plaatsvindt (zoals back-ups).
  • Er zijn meerdere vormen van beleid te bedenken.
  • Contactpersoon