Er gaat per 25 mei 2018 veel veranderen op het gebied van privacywetgeving. Naast deze nieuwe wetgeving vraagt ook de exponentiële groei van cybercriminaliteit om extra maatregelen. De Nederlandse Wet Bescherming Persoonsgegevens wordt vervangen door een nieuwe Europese wet, de Algemene Verordening Gegevensbescherming (AVG). Er is vanaf die datum nog maar één privacywet geldig binnen de Europese Unie. Zodra de AVG van toepassing is, krijgen organisaties meer verplichtingen. Er wordt meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability). Zo krijgen zij een documentatieplicht. Dit houdt in dat zij met documenten moeten kunnen aantonen dat de juiste organisatorische en technische maatregelen genomen zijn om aan de AVG te voldoen. Ook Ictivity krijgt te maken met de AVG. Naast deze nieuwe wetgeving vraagt ook de exponentiële groei van cybercriminaliteit om extra maatregelen.
Maatregelen
Ter voorbereiding op de komst van de AVG hebben wij een aantal maatregelen genomen die in lijn liggen met de aanbevelingen die door de Europese Commissie gedaan zijn. Ictivity is volledig ISO gecertificeerd en we voldoen aan alle normeringen die binnen NEN 7510 en BIG richtlijnen zijn opgesteld. Een voorbeeld hiervan is dat al onze medewerkers die toegang hebben tot gevoelige informatie een Verklaring Omtrent Gedrag moeten afgeven. Ook werken wij standaard met een bewerkers- of verwerkersovereenkomst. Misschien wel de belangrijkste, wij hebben een apart Security Framework opgesteld als onderdeel van de architectuur van onze online werkplek Omnia.
Externe toets
Om de continuïteit en veiligheid te waarborgen van Omnia hebben we een externe organisatie gecontracteerd die het Omnia platform continu scant en monitort op securityrisico’s. Daarnaast bewaken ze of we aan de beveiligingsrichtlijnen binnen ISO en NEN blijven voldoen. De volgende middelen worden hiervoor ingezet:
- Externe scanning van de applicaties
Alle functionaliteiten die gekoppeld zijn aan het internet worden elke dag gescand op IT Security risico’s. Je kunt hierbij denken aan het gebruik van SSL certificaten en internet veiligheidsprotocollen. Wij zetten deze scanners in omdat eenmalige penetratietesten slechts een momentopname zijn. - Interne scanning van de infrastructuur en onderliggende software
Alle software die niet aan het internet gekoppeld is, kan niet door de externe scanners benaderd worden. Desalniettemin is het van groot belang dat ook deze onderdelen van het platform continu worden gescand. De oplossing die wij gekozen hebben scant alle onderdelen die binnen het netwerk van de digitale werkplek Omnia aanwezig zijn. Zo wordt er bijvoorbeeld gescand op updates van software, openstaande netwerkpoorten en alle andere zaken die een externe scanner niet kan waarnemen. Ook hier geldt dat een eenmalige penetratietest volgens onze visie niet voldoet. - 24/7 Gedragsanalyse
Naast de securityscanners is er gekozen voor een oplossing die continu het gedrag binnen het netwerk monitort en correleert. Met deze oplossing kunnen wij proactief handelen in het geval er door het systeem gedrag wordt herkend dat als niet ‘normaal’ wordt bestempeld. Met deze extra IT security maatregel gaan we nog verder. Er wordt niet alleen gekeken naar de status van software en infrastructuur, maar ook naar het gedrag van een persoon binnen het netwerk. Als bijvoorbeeld een hacker een scan doet op de omgeving, worden wij direct op de hoogte gebracht van dit feit en kunnen we maatregelen treffen.
Dankzij deze maatregelen wordt de gehele ICT-keten gescand en gemonitord. Zo hebben onze klanten de zekerheid dat er op basis van geldende normering getoetst wordt. Tevens wapenen we ons tegen cybercriminaliteit en is accountability, zoals de AVG vereist, geen probleem. Heb je vragen over deze maatregelen of wat de AVG verder voor jouw organisatie betekent? Laat het ons gerust weten, we helpen je graag.