Security meets privacy

Voldoen aan de AVG vergt structuur en controle. AVG compliance is bovendien een doorgaand traject; verandert een verwerkings­proces, dan kan het zijn dat maatregelen aangepast moeten worden. Dit kun je bijhouden, in excel of middels een tooling.

Grote organisatie met veel afdelingen? Laat in dat geval een afdeling de persoonsgegevens in kaart brengen, terwijl een technisch aanspreekpunt (IT afdeling) en FG of DPO perfect de technische en organisatorische maatregelen kan beschrijven. Via een tooling, kunnen de juiste mensen toegang worden gegeven tot de juiste registers en blijven deze bovendien altijd up-to-date. Daarnaast tijdbesparend in communicatie als ook eindcontrole met en voor de Functionaris voor de Gegevens­bescherming.

Kies de juiste AVG partner

De beperkte mogelijkheden, gebrek aan security als ook inzage en overzicht houden op de verschillende verwerkings­processen kunnen redenen zijn om uit te kijken naar toolings. Make or buy (SaaS, open source of on-premise) kan dan een vraagstuk zijn.

Een tooling die mee kan groeien met de omvang van de organisatie, kan dan praktisch zijn. Hetzelfde geldt voor verdelen van schrijfrechten tussen medewerkers van een afdeling en verwerkings­registers voor de processen van die afdeling. Via AVG Cloud Register houdt u middels organogrammen bovendien eenvoudig overzicht in afdelingen, medewerkers en verwerkings­registers.

Laat security een rol spelen

Bij een tooling voor de privacy wetgeving, kan security niet misstaan. Naast standaard requirements, is zelf invloed uit te oefenen op security. Security meest privacy is bij AVG Cloud Register van toepassing, ook al zit security soms in een klein hoekje. De AVG SaaS oplossing van AVG Cloud Register is in-house gerealiseerd. Geen externe software bureau's noch externe code dependencies. Continuïteit is daardoor niet in het geding.

Meer inhouding kan exact worden aangegeven of Two Factor Authenticatie een vereiste is, of dat dit voor specifieke modules uitgerold moet worden. Accounthouders kunnen een combinatie van rollen als toegang tot afdelingen worden meegegeven. Op basis daarvan vindt autorisatie plaats, ongeacht of een url met onbevoegden wordt gedeeld.

Hetzelfde geldt voor verwerkings­registers. Deze kunnen als JSON, XML, Excel en PDF worden uitgedraaid. PDF brengt een verwerkings­register overzichtelijk leesbaar in kaart. Hiervoor kan verplicht worden het document met wachtwoord te beveiligen, om verdere ongeautoriseerde verspreiding te voorkomen.

Andere op het oog minder opvallende security maatregelen is de inzet van CSRF tokens voor mutaties en downloads, als ook versleutelde url's en generieke melding bij een foutieve inlogpoging. Hiermee wordt een buitenstaander niet meer handvaten geboden dan nodig.

Laat privacy een rol spelen

U wenst aan de AVG wetgeving te voldoen. Is de door u gekozen AVG partner ook AVG compliant? Het groene slotje en HTTPS spreekt voor zich. Voldoet een organisatie aan de algemene PII best practices, wordt uw gebruik uberhaupt bijgehouden (soms wordt zelfs Hotjar ingezet, om uw exacte muis en toetsenbord interacties in kaart te brengen) en waar blijven uw betaalgegevens? Voor het laatste geldt dat wij een payment provider gebruiken, waardoor wij nooit uw rekening-gegevens in handen krijgen. Onderdelen die zelfs bij een ISO certificering geen gemeengoed is.

Accountability

Ondanks een bit-wise autorisatie structuur waarmee de AVG Cloud Register tooling gewapend is, is het mogelijk dat een gedane mutatie of download achterhaald moet worden. Een hoofdaccounthouder houdt altijd inzage in het reilen en zeilen van eigen gebruikers middels een access-log. Hiermee kan binnen de eigen organisatie als ook naar buiten toe, verantwoord worden wie voor welke aanpassingen verantwoordelijk is geweest.

Aanvullend worden ook foutieve inlog-pogingen geregistreerd, zodat pogingen tot onrechtmatige toegang gemonitord kan worden. Er kunnen pro-actief or reactief aanvullende maatregelen per account worden getroffen, bijvoorbeeld via controle op ip-adres of gebruikte browser.

Schaalbaar met uw organisatie

Voldoet een tooling nu en in de toekomst? Gaat het wenselijk worden data te integreren met eigen software of analyse oplossingen? Kan er onafhankelijk en zonder tussenkomst van een helpdesk bijgeschaald worden? En hoe ziet de verdere doorontwikkeling van de tooling er uit?

Als één van de eerste aanbieders, heeft AVG Cloud Registers een module voor rechten van betrokkenen uitgerold naast al aanwezige features. Middels onze API verwerken afnemers reeds verzoeken voor recht op vergetelheid, zodat gegevens in centrale als ook decentrale systemen correct verwerkt worden. Op geheel privacy vriendelijke wijze en dus compliant met de AVG wetgeving.

Met dezelfde API, waarvoor autorisatie benodigd is, kunnen toepassingen als Single Sign On worden geïmplementeerd. Daar houdt de toepasbaarheid van AVG Cloud Register niet op. Met een mogelijkheid voor directe koppeling met uw boekhoudsoftware en doorontwikkeling van een AVG ISO scan, groeit AVG Cloud Register niet enkel met de wetgeving, maar ook met uw organisatie mee.

Meer maatregelen ten behoeve van security en privacy, tref je in onze zeer uitgebreide FAQ.

Lees verder: