Wat zijn ‘passende technische en organisatorische maatregelen’?

Wat zijn ‘passende technische en organisatorische maatregelen’?

We hebben er al veel over gesproken, en nu gaat het er echt van komen. In mei treedt de General Data Protection Regulation (GDPR, in Nederlands AVG) in werking. Er moet veel geregeld worden, dat is wel duidelijk. Maar wát nu precies, daar laat de wetgever nog veel vragen open. Dat moet anders.

De GDPR gaat veel vragen van bedrijven en organisaties. Er moeten ‘passende technische en organisatorische maatregelen’ genomen worden, om aan te kunnen tonen dat je aan de GDPR voldoet. Maar wat betekent dat dan precies? De wetgever en Autoriteit Persoonsgegevens zou die vragen moeten beantwoorden, maar tot nu toe blijft de communicatie vanuit de wetgever vooral nog in algemeenheden en wordt het helaas weinig concreet. Is het dan wachten op het bedrijfsleven die de inhoud moet gaan bepalen van wat ‘passend’ is of wachten we zelfs op jurisprudentie die ongetwijfeld zal gaan komen (overigens in mijn optiek pas nadat er boetes uitgedeeld zullen zijn)?

ISO certificering

Aangezien de GDPR een Europese verordening wordt – de GDPR gaat de huidige Wet Bescherming Persoonsgegevens (WBP) incl. meldplicht datalekken vervangen – en er dus ook straffen uitgedeeld kunnen gaan worden, zou je mogen verwachten dat de wetgever sturing geeft aan wat er nodig is om als ondernemer te voldoen. De wetgever zou bijvoorbeeld kunnen voorstellen om de GDPR te koppelen aan de ISO 27001/27002 certificering. 

Voor met name veel MKB organisaties zal dat echter veel te zwaar aangezet zijn (van een bedrijf met bijvoorbeeld minder dan 50 personeelsleden dat wel persoonsgegevens verwerkt, maar waarbij dat geen core-business is, is een ISO certificering over het algemeen te veel van het goede). Aan de andere kant weten/zien we dagelijks dat het beveiligingsniveau ook voor deze groep beter moet worden, want op dit moment is helaas nog steeds sprake van een (gemiddeld) laag niveau van bescherming. ‘Men’ weet het niet (of wil het niet weten), denkt dat hij/zij het geregeld heeft en gaat over het algemeen pas acteren als het te laat is.

Onduidelijk

Tot op heden zijn er m.n. voor deze groep geen concrete voorstellen of plannen aangekondigd om te komen tot een goede definitie van ‘passende organisatorische en technische maatregelen’. Dit, terwijl juist ook deze groep belangrijk is als leverancier richting Enterprise en Corporate ondernemingen. Deze grote concerns (die veel meer bezig zijn met de implementatie van de GDPR) lopen indirect een risico doordat er geen ‘passend’ beveiligingsniveau bij deze groep van leveranciers is geregeld.

Zo lang er geen duidelijkheid komt, is de GDPR op verschillende manieren te interpreteren. Dat kan betekenen dat de regeling overgeleverd gaat worden aan juristen, die uiteindelijk gaan bepalen wanneer je wel en wanneer je niet voldoet, al na gelang hoe de wetgever de GDPR gaat handhaven. Dat moet je als wetgever toch niet willen? Ook voor het bedrijfsleven is dit niet wenselijk, net als voor de natuurlijke personen voor wie deze hele regeling in het leven geroepen is.

Over vier maanden is de GDPR een feit. De overheid roept bedrijven en organisaties op om zich hier zo snel mogelijk op voor te bereiden. Maar zolang de overheid zelf geen duidelijkheid geeft over wat er nu allemaal precies gebeuren moet, hoe moet je je dan klaarmaken? Neem je verantwoordelijkheid en kom met duidelijkheid, wetgever!

VRKI

Neem bijvoorbeeld een voorbeeld aan de VRKI (Verbeterde Risico Klasse Indeling) die verzekeraars gebruiken voor het adviseren van ‘passende’ maatregelen op het gebied van fysieke inbraak. Met de beveiligingsmatrix voor bedrijven kan aan de hand van de attractiviteit en de waarde van de in het bedrijfspand aanwezige goederen en inventaris de risicoklasse voor het betreffende bedrijfspand bepaald worden. De beveiligingsmatrix geeft voor iedere risicoklasse de bijbehorende combinatie(s) van beveiligingsmaatregelen weer. Een dergelijke opzet lijkt mij voor informatiebeveiliging zeer gewenst voor bedrijven en organisaties, omdat daarmee op een eenvoudige en heldere manier duidelijk wordt welke maatregelen een bedrijf of organisatie moet treffen. Dit zou in mijn optiek veel duidelijkheid geven richting alle partijen die druk bezig zijn met de implementatie van de ‘passende maatregelen’ en helaas hun hoofd breken over wat dat dan precies inhoudt.

Om bedrijven en organisaties verder te helpen heeft ThreadStone 2 assesments ontwikkeld. ThreadGDPR helpt bedrijven en organisaties om compliant te worden met de GDPR. ThreadMature helpt om – op basis van onze gedachten en ervaring - invulling te geven aan de ‘passende technische en organisatorische maatregelen’. ThreadMature heeft een structuur die overeenkomt met de VRKI. Deze assessments zijn juist bedoeld voor bedrijven met minder dan 1.000 FTE te helpen om tot een hoger ( en ‘passend’) beveiligingsniveau te komen.

René van Etten,

General Manager ThreadStone Cyber Security B.V.

 
Deel dit artikel