AVG en informatiebeveiliging
De Europese Unie heeft een monumentale stap gezet in de bescherming van het fundamentele recht op privacy voor elke ingezetene van de EU met de Algemene Verordening Gegevensbescherming (AVG), die van kracht wordt vanaf 25 mei 2018. Simpel gezegd, inwoners van de EU zullen nu meer zeggenschap hebben over wat , hoe, waarom, waar en wanneer hun persoonlijke gegevens worden gebruikt, verwerkt of verwijderd. Elke organisatie die op enigerlei wijze met persoonsgegevens van EU-ingezetenen werkt, ongeacht locatie, heeft verplichtingen om de gegevens te beschermen. BCT BV is zich terdege bewust van zijn rol bij het leveren van de juiste tools en processen om gebruikers en klanten te ondersteunen bij het voldoen aan hun AVG-mandaten.
Holistisch perspectief
BCT helpt andere organisaties om gegevensbescherming op orde te krijgen. De systemen die zij leveren zijn conform de wet- en regelgeving en dragen ertoe bij dat een organisatie compliant wordt en blijft. Dit doet BCT niet alleen op technisch vlak, maar vanuit een holistisch perspectief waarbij drie kernbeveiligingsprincipes centraal staan: beschikbaarheid, integriteit en vertrouwelijkheid.
Readiness Corsa
Voor de informatievoorziening betekent dit dat aanpassingen in onze informatieplatformen ontwikkeld en ter beschikking staan voor onze gebruikers en klanten. Voor Corsa zijn de volgende zaken ter beschikking om aan de AVG te kunnen voldoen:
- Auditing voor logging wie (persoons)gegevens heeft ingezien. Met Corsa/Audit1 wordt gelogd wie persoonsgegevens heeft opgevraagd. Dit betreft een extra standaard overzicht waarmee inzichtelijk gemaakt wordt wie de gegevens van een bepaalde persoon heeft ingezien; Zie ook het toegevoegde hoofdstuk van Audit voor Corsa.
- Verfijningen van de toegang tot persoonsgegevens. Op enkele punten binnen Corsa wordt de toegang tot persoonsgegevens verder verfijnd zodat enkel de specialist die de gegevens nodig heeft, toegang krijgt tot de juiste persoonsgegevens; het zogenaamde principe van doelbinding.
- Een workshop voor functioneel beheer en informatiemanagement / DIV met als doel bewustwording van de AVG in relatie tot het gebruik van Corsa;
- Een checklist met advies voor de inrichting van Corsa. Met dat advies krijg men een handreiking aangeleverd welke (persoons)gegevens afgeschermd moeten worden zodat alleen de juiste medewerkers de gegevens in kunnen zien;
De aanpassingen in de software zijn middels de UCR-04/2018 beschikbaar voor de 2016 en 2017 release. Corsa (vanaf de 2016-release) is daarmee technisch gereed om te voldoen aan de AVG mandaten.
Dan is het nog zaak om organisatorisch en qua inrichting alles netjes op orde te maken. Dit is en blijft de verantwoordelijkheid van de betreffende organisatie. In de workshop, die BCT inmiddels verzorgd bij tientallen klanten, in combinatie met de checklist die BCT aanbiedt, wordt toegelicht welke zaken nodig zijn om de inrichting AVG-gereed te maken.
BCT’s commitment
BCT is ISO 27001:2013 gecertificeerd en voldoet daarmee aan strenge regels voor informatiebeveiliging. Hierdoor hebben klanten en partners zekerheid dat BCT zorgvuldig omgaat met hun gevoelige informatie en strenge regels naleeft om dit te blijven doen. De toekenning van de certificering is het begin van een driejarige controlecyclus waarin getest wordt of er nog aan de voorwaarden wordt voldaan. Dit gebeurt enerzijds door interne audits en anderzijds door een jaarlijkse externe audit. Deze constante verbetering vereist een continu bewustzijn onder de medewerkers van BCT, waardoor informatiebeveiliging altijd bovenaan de prioriteitenlijst staat.
Jos Bischoff, directeur bij BCT:
“Het certificaat is een bevestiging naar stakeholders en de buitenwereld dat we informatie veilig afhandelen. Naast dat we compliant zijn aan de wetgeving die eraan komt, zullen we er alles aan doen om andere organisaties te helpen dat ook te worden. Écht compliant zijn en juist omgaan met privacygevoelige (persoons)gegevens realiseer je echter niet met alleen software. Het omvat ook organisatorische en procedurele maatregelen. Gedrag zal dan ook altijd een grote rol blijven spelen. Wij kunnen informatiebeveiliging faciliteren met software, maar het juiste gebruik ervan is een randvoorwaarde om aan de AVG te voldoen.”
Tenslotte gaat het in de AVG niet alleen om juridische en software aspecten, maar vooral om verantwoorde werkprocessen en verantwoord handelen waarin rekening gehouden wordt met de privacy van personen. Al met al zullen deze nieuwe regels rondom privacy dus de nodige veranderingen met zich meebrengen.
Corsa Audit
Door de inzet van Corsa Audit worden gecreëerde, gemuteerde, verwijderde en geraadpleegde gegevens tijdens het gebruik van Corsa gemonitord. Per record wordt een audit trail van mutaties vastgelegd waarin kan worden nagegaan welke Corsa gebruiker wanneer welke aanpassing(en) heeft gedaan of welke objectgegevens heeft geraadpleegd.
De organisatie heeft zelf in de hand welke tabellen van Corsa op basis van create, write, delete, read (CRUD) worden gevolgd. BCT adviseert op basis van kennis en ervaring welke tabellen in eerste instantie geactiveerd worden. Corsa Audit biedt naast het opvragen van audit informatie ook de mogelijkheid voor het creëren van rapportages.
Voordelen Corsa Audit
- Het monitoren van alle creaties, mutaties, verwijderingen en raadplegingen binnen Corsa;
- Een inrichting van audit waarmee de richtlijnen van de AVG zijn geborgd;
- Voldoen aan alle voorwaarden gesteld aan een audit trail;
- Voldoen aan de NEN2082 norm.
(Corsa/Audit licentie dient aangeschaft, ingericht en geactiveerd te zijn)
© BCT, datum van laatste aanpassing: 17-05-2018
