linkedintwitter

Vertrouwelijkheid van gegevens

Wanneer een bedrijf persoonlijke gegevens verwerkt, moet zij een aantal maatregelen nemen om de zekerheid en de vertrouwelijkheid van de gegevens te verzekeren.

Welke zijn de te nemen maatregelen?

DE Commissie voor de Bescherming van de Persoonlijke Levenssfeer vermeldt op zijn website een lijst met tien actiedomeinen in verband met de informatiebeveiliging

De maatregelen zijn bewust op algemene wijze omschreven. Ze moeten aan de context en het specifiek karakter van elk bedrijf worden aangepast, rekening houdend met :

  • de aard van de gegevens en de verwerking ervan (zo zullen de beveiligingsmaatregelen verschillen naargelang de persoonsgegevens betrekking hebben op de leden van een voetbalclub dan wel op de klanten van een bank);
  • de wettelijke of reglementaire vereisten die van toepassing zouden zijn;
  • de grootte van de instelling (daarbij inbegrepen het aantal personen dat toegang tot de gegevens zou kunnen hebben evenals hun profiel);
het belang en de complexiteit van de betrokken informaticasystemen en betreffende toepassingen ;
  • de mate waarin de instelling openstaat voor de buitenwereld evenals de mate waarin er toegang is vanuit de buitenwereld;
  • de risico’s verbonden aan de gegevensverwerking;
  • « de stand van de techniek terzake en de kosten voor de toepassing van deze maatregelen » (ten opzichte van de instelling en de betrokken gegevens).

De tien actiedomeinen zijn de volgende :

1. Veiligheidsbeleid
De instelling die persoonsgegevens verwerkt moet een geschreven document opstellen – het veiligheidsbeleid – waarin de strategieën en de weerhouden maatregelen voorbeveiliging van de gegevens worden omschreven (welke zijn de risico’s, de prioriteiten, de verantwoordelijkheden)

2. Veiligheidsconsulent

De instelling moet een veiligheidsconsulent aanstellen die verantwoordelijk is voor de uitvoering van het veiligheidsbeleid.

3. Organisatie en menselijke aspecten van de beveiliging

Om de beveiliging te organiseren moet de instelling voldoende en aangepaste organisatorische, technische en financiële middelen beschikbaar stellen.

De instelling moet eveneens alle nodige maatregelen nemen opdat iedere persoon (intern of extern) die tussenkomst in de verwerking van de persoonsgegevens voldoende zou geïnformeerd zijn over zijn/haar verantwoordelijkheden inzake beveiliging
Deze personen zullen eventueel vertrouwelijkheidsverplichtingen ondertekenen.
Het bedrijf zal zeker dezelfde verplichtingen aan alle deze eventuele onderaannemers (als ze de persoonlijke gegevens verwerken) opleggen

4. Fysieke beveiliging van de omgeving
Het bedrijf moet de nodige maatregelen nemen om de fysieke bescherming van de
persoonsgegevens te garanderen (beschermde lokalen, beperkt toegang tot de gegevens).
De ookalen moeten tegen bedreigingen zoals branden of overstromingen beschermd worden en regelmatige back-up moeten genomen worden.

5. Beveiliging van de netwerken
De netwerken waarop de persoonlijke gegevens kunnen draaien binnen het bedrijf (en eventueel buiten) moeten voldoende beveiligd worden.

6. Logische beveiliging van de toegang
De toegang tot de persoonlijke gegevens moet aan de gemachtigde personen en de toegelaten toepassingsprogramma’s (via controle van de toegangscontroles tot de verschillende informatica-elementen (programma’s, procedures, de opslag, telecommunicatieuitrusting) die tussenkomen in een verwerking van persoonsgegevens.
Indien het beveiligingsniveau het noodzakelijk maakt, zal de identificatie van de intervenanten vervolledigd worden met een authentificatie.

7. Logging, opsporing en analyse van de toegang
Als het noodzakelijk is moet het bedrijf de identiteit van iedere persoon kunnen terugvinden die toegang had tot de persoonsgegevens of van elke bewerking ervan.

8. Toezicht, nazicht en onderhoud
Het bedrijf moet zich ervan vergewissen dat de technische of organisatorische
veiligheidsmaatregelen regelmatig nagekeken worden (en als noodzakelijk herziend worden).

9. Beheer van veiligheidsincidenten en continuïteit
Het bedrijf moet beschikken over een beheersplan voor veiligheidsincidenten.
(Welke zijn de te ondernemen stappen bij de ontdekking van een veiligheidsincident van persoonsgegevens alsook wie is verantwoordelijke om de veiligheid te herstellen, welke zijn de maatregelen te nemen - preventieve of correctieve om de zelfde incidenten in de toekomst te vermijden...)

10. Documentatie
Het bedrijf moet beschikken over een volledige regelmatig bijgewerkte documentatie over de informatiebeveiliging.

Voor ruimere informatie over de te nemen maatregelen, nodigen wij de lezer uit om de website van de Commissie voor de bescherming van de Persoonlijke Levenssfeer te raadplegen: http://www.privacycommission.be/nl/static/pdf/referenciemaatregelen-vs-01.pdf