Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

B.07.4 De FG en toetsing van de techniek

 

Toetsing van de technische maatregelen

De organisatie neemt "passende organisatorische en technische maatregelen". De FG zal moeten toetsen op het voldoen daarvan aan de AVG.Deze bijlage gaat over de technische maatregelen. De belangrijkste aspecten zijn:
  • is bekend welke ICT-middelen in gebruik zijn?
  • zijn beveiligingsmaatregelen genomen als instellen van wachtwoorden en toegansgautorisaties?
  • is het wifi-netwerk afdoende beveiligd?
  • is telewerken goed ingeregeld? 
  • zijn de eigen servers voldoende beschermd? Wordt er in de cloud gewerkt?
  • worden er back-ups gemaakt?

De toetsing van de FG bestaat uit twee delen. Allereerst zullen alle elementen van de AVG (als voorschrift) in het beleid moeten zijn opgenomen. Daarnaast moet het beleid voldoen aan de normen van de AVG. Vaak worden bij die toetsing ook andere toetsingskaders (of normen) gebruikt. De meest bekende is ISO-27001 "Informatiebeveiliging", die ICT is georienteerd. Scholen gebruiken vaak ook het SAMBO-toetsingskader.  Gemeentes gebruiken NEN-7510, die sterk op de ISO-norm lijkt.

De checklist op technische maatregelen voor de FG volgt het Check-Privacy Framework met een serie vragen die de FG zich kan stellen met daaraan gekoppeld de referenties naar de genoemde toetsingskaders. De lijst dekt in ieder geval de meest belangrijke elementen die uit de AVG volgen. 

 

 

Hfdst/par.  Te toetsen aspecten: ISO  AVG Sambo
3

Heeft de VV een ISO 27001 of NEN 7510 certificering?

     
 3.01 is er een registratie van alle Bedrijfsmiddelen?  Zo ja, is deze actueel?  Is het duidelijk wie de mutaties bijhoud? A.08.1.1, A.08.1.2, A.08.14, A.08.2.1    
3.02 

Werkstations:

  1. Heeft ieder werkstation een user / wachtwoord?  Zo ja wordt deze regelmatig ververst?
  2. Komt het werkstation automatisch in de slaapstand na 15 minuten?
  3. Is er een virusprogramma geinstalleerd?  Zo ja wordt deze "up to date" gehouden?
  4. Zijn de harddisk ge-encrypt?  
  5. Werken er verschillende medewerkers op de werkstations?  Zo ja, heeft iedere medewerkers zijn eigen omgeving?
A.09.1.1, A.11.2.4 28.1  
 3.03

Smartphones en Tablets:

  1. Is iedere Smartphone beveiligd met een uniek wachtwoord.
  2. Indien gezichts- of vingerafdruk-herkenning mogelijk is, wordt deze beveiliging gehanteerd?
  3. Wordt iedere Smartphone na maximaal 5 minuten in de slaapstand gezet?
  4. Kan bij verlies de mail op de smartphone verwijderd worden (op afstand)?
A.06.2.1   28.1  
 3.04

Zijn er passende maatregelen doorgevoerd m.b.t. de beveiliging rondom E-mailen, b.v. 

  1. Indien tekst met persoonsgegevens betreffende de bijzondere categorieën gemaild moet worden, dan wordt deze tekst opgeslagen in PDF-formaat met een password en als bijlage aan de mail gekoppeld.
  2. MS-Word heeft weliswaar een optie om met een password te werken, echter dit is minder goed beveiligd dan de optie met PDF.
  3. De ontvanger van de mail wordt persoonlijk gebeld om hem op de hoogte te stellen van de aankomende mail en het gebruikte wachtwoord.
  4. Indien er vaak en veel persoonsgegevens betreffende bijzondere categorieën gemaild moet worden, valt het aan te bevelen om te gaan werken met certificaten voor e-mail. Er zijn div. aanbieders die dit ondersteunen.
     
 3.05

Indien medewerkers mogen telewerken:

  1. Medewerkers mogen geen gebruik maken van publieke netwerken zonder beveiliging. Hieronder vallen ook gast-wifi-netwerken.
  2. Mocht er geen andere optie zijn, dan dient men de roaming (hotspot) functionaliteit van zijn of haar eigen mobiel te gebruiken. Deze mag niet gedeeld worden met anderen.
  3. Medewerkers die thuiswerken mogen geen privé gegevensdragers en/of andere opslagmedia gebruiken voor werk. Alleen het Werkstation en de smartphone (in bruikleen) mogen gebruikt worden voor opslag van code, data en/of documenten.
  4. Persoonlijke apparatuur mag niet gebruikt worden voor werkgerelateerde zaken. Denk hierbij aan een personal computer voor thuis. Ook geldt dit voor niet-fysieke middelen zoals; persoonlijke e-mailadressen en/of telefoonnummers. 
  5. Medewerkers die thuiswerken worden geacht om hun eigen netwerk goed te hebben beveiligd, met min. WPA encryptie voor het WIFI-netwerk.
 A.06.2.2  28.1  
 3.06

Kunnen persoonsgegevens onbedoeld bij een printer liggen?

 A.06.2.1  28.1  
3.07 

Applicaties:

  1. Een gebruiker moet eens per jaar (liever eens per 3 maanden!) zijn wachtwoord wijzigen. Dit wordt geautomatiseerd afgedwongen in de applicatie. Indien dit laatste niet mogelijk is, dan wordt dit procedureel afgesproken met alle medewerkers.
  2. Indien de applicatie Two-factor-authenticatie ondersteunt, dan dient dit middel altijd ingezet te worden.
  3. Indien de applicatie geen Two-factor authenticatie ondersteunt en het gaat om persoonsgegevens betreffende de bijzondere categorieën, dan dient de leverancier deze optie te ontwikkelen.  
 A.09.1.1  28.1  
 3.08

Indien er met eigen Servers gewerkt wordt

  1. dient de server in afgesloten ruimte te staan,
  2. dient deze ruimte goed geventileerd te worden,
  3. dient de server niet op de grond te staan, vanwege gevaar m.b.t. waterschade,
  4. dient de backup buitenshuis bewaard te worden.
 A.11.1.21   28.1  
 3.09

Netwerk:

  1. Er zijn twee aparte wifi-netwerken beschikbaar:
    1. voor alle medewerkers is er een wifi-verbinding met user en password ingericht,
    2. voor gasten is er een openbare wifi-verbinding beschikbaar.
  2. Voor deze twee wifi-netwerken dienen 2 routers beschikbaar te zijn. Vanuit security is het niet aan te bevelen om met 1 router te werken die 2 verbindingen kan leveren. 
 A.13.1 (1-3)  28.1  
3.10 

Back-up:

  1. Iedere nacht wordt er één back-up gemaakt.
  2. Op deze back-up 's worden opgeslagen:
    1. de database,
    2. de files-directory met oa. Word, Excel, PDF documenten,
    3. alle mailwisseling.
    4. Logbestanden m.b.t. gebruikers, dit betreft informatie welke gebruiker persoonsgegevens heeft geraadpleegd, gewijzigd en/of verwijderd):
    5. Logbestanden m.b.t. systeembeheerders / applicatieontwikkelaars, dit betreft informatie welke onderdelen gewijzigd zijn door de IT afdeling 
  3. de systeembeheerder c.q. applicatie ontwikkelaar moet deze gegevens niet kunnen muteren.
  4. De bewaartermijn van de back-ups zijn vastgesteld en zijn vermeld in de registers. 
 A.12.3.1, A.12.4 (1-3)    
 3.11

Privacy by Default en by Design

Deze 2 aspecten gelden m.n. voor ICT leveranciers. De uitleg wat er getoetst moet worden, kunt u vinden in: Klik hier

   25  
 3.12

(D)PIA:

Dit aspect geldt m.n. voor ICT leveranciers. De uitleg wat er getoetst moet worden, kunt u vinden in: Klik hier 

     

 

Vorige pagina              Volgende pagina

Afdrukken