Vragenlijst Security

Vragenlijst security

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) actief van kracht; in het Engels GDPR genoemd. Dit is de privacywetgeving die voor de gehele Europese Unie geldt. De AVG is een scherpe wet die eist dat je data goed wordt beveiligd. Om je data goed te beveiligen is in- en overzicht noodzakelijk. Ben je benieuwd hoe goed de security bij jouw organisatie is geregeld? Bekijk dan als begin op hoeveel je van onderstaande vragen ‘ja’ kunt antwoorden.

1. Heeft jouw organisatie een beveiligingsbeleid?*
Houd bij de beantwoording rekening met: 1. Of iemand verantwoordelijk is voor het beleid. 2. Of wordt aangesloten bij algemene beveiligingsmaatregelen. 3. Of rekening wordt gehouden met het bijzondere of gevoelige karakter van gegevens. 4. Of het beveiligingsbeleid wordt getoetst.
2. Is er een transparant en duidelijk verwoord privacybeleid aanwezig in de organisatie?*
Een privacyverklaring is kort gezegd, een toelichting over wat je met persoonsgegevens van bezoekers en klanten doet.
3. Beschikt jouw organisatie over een procedure wanneer een datalek zich voordoet?*
Zijn maatregelen getroffen om datalekken indien noodzakelijk te melden aan de Autoriteit Persoonsgegevens (AP) en aan de getroffen personen van wie de gegevens zijn gelekt?
4. Voldoe je aan de documentatieplicht?*
Vanaf 25 mei 2018 hoeven organisaties de gegevensverwerkingen niet meer te melden bij de Autoriteit, maar hebben zij conform artikel 30 AVG een documentatieplicht. Dit houdt in dat een organisatie met documenten moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen heeft genomen om aan de wet te voldoen (accountability). Let op: de meldingsplicht voor het verwerken van gegevens is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet!
5. Verwerkt je organisatie alleen de persoonsgegevens die noodzakelijk zijn voor de doeleinden waarvoor ze verkregen zijn?*
Zijn er naast de persoonsgegevens die je nodig hebt voor de diensten en/of producten nog andere gegevens over de persoon opgeslagen die je niet écht nodig hebt?
6. Heeft jouw organisatie bij het ontwerp en inrichting van de ICT-omgeving voldoende beveiligingsmaatregelen getroffen (zoals encryptie en tokens) om alle gegevens goed te beschermen?*
Denk hierbij aan autorisatiebeperking, encryptie, two-factor authenticatie, firewall, beleidssoftware en antivirus.
7. Worden alle persoonsgegevens en metadata (gegevens over persoonsgegevens) gepseudonimiseerd opgeslagen en/of verwerkt?*
Door pseudonimisering, worden de direct identificerende gegevens van de betrokkene op een eenduidige wijze vervangen waardoor in de toekomst bepaalde partijen nog steeds gegevens kunnen toevoegen, maar de uniek identificeerde gegevens niet meer teruggehaald kunnen worden. Door anomisering worden alle direct en uniek identificerende gegevens verwijderd.
8. Voldoe je aan de regel van de Wbp om inzicht, correctie en verwijdering van hun persoonsgegevens te realiseren?*
Hierbij kan gedacht worden aan het vragen van een reactie op opgestuurde overzichten of het geven van (eigen) correctiemogelijkheden in de eigen gegevens door middel van een informatiesysteem (waarbij de betrokkene wel op een toereikende wijze geïdentificeerd dient te worden).
9. Ben je met al je “cloudpartners” een verwerkersovereenkomst aangegaan?*
Denk hierbij aan organisaties waar je gegevens opslaat en waar verwerkingen plaatsvindt (zoals back-ups).
10. Is er een beleid op het gebied van gebruik van werkplek, zoals een mobielbeleid of een wachtwoordbeleid dat periodiek getest wordt?*
Er zijn meerdere vormen van beleid te bedenken.
Contactpersoon
Naam*
Bedrijfsnaam*
E-mailadres*
Telefoon*
Vragen / opmerkingen

Vragenlijst Security

Vragenlijst security

Contactpersoon