In ieder geval niet voldoende tegen criminele activiteiten van je medewerkers.
Tegen een voormalig werknemer van de Belastingdienst wordt drie jaar cel geëist door het Openbaar Ministerie. De 53-jarige medewerker zocht, tegen betaling, naar persoonsgegevens in de systemen van de Belastingdienst, waarna hij de informatie deelde in versleutelde berichten op een platform genaamd “Sky”. De man zocht naar persoonsgegevens ‘die niets met zijn werkterrein te maken hadden’, aldus het OM. Na een doorzoeking van zijn woning is er 920.000 euro contant aangetroffen. De man zegt zelf dat hij niet weet hoe dit geld daar terecht is gekomen.
Nog te veel organisaties denken dat het niet uitmaakt dat alle werknemers bij de beschikbare persoonsgegevens kunnen, terwijl dit niet nodig is voor de uitvoering van werkzaamheden van alle medewerkers. Zij vertrouwen erop dat de medewerkers de systemen slechts raadplegen wanneer dit nodig is voor de uitvoering van de werkzaamheden en spreken een geheimhoudingsplicht af om ervoor te zorgen dat de informatie binnen de organisatie blijft. Maar de werknemer van de Belastingdienst had ook een geheimhoudingsplicht, dit weerhield hem er niet van de persoonsgegevens te verkopen aan derden.
Om de vertrouwelijkheid van persoonsgegevens te beschermen binnen je organisatie moeten er meer maatregelen worden getroffen, enkel vertrouwen op een geheimhoudingsplicht is niet voldoende.
Wat kan je dan wel regelen om de vertrouwelijkheid van informatie binnen je organisatie te waarborgen?
- Implementeren of aanscherpen van het autorisatie beleid
De eerste stap die je kan zetten is het implementeren of aanscherpen van het autorisatie beleid. Met een autorisatiebeleid regel je welke werknemers toegang nodig hebben tot bepaalde systemen. Wanneer er geen noodzaak bestaat voor een werknemer in de uitvoering van zijn of haar werkzaamheden om toegang te hebben tot bepaalde informatie, dient hij of zij ook geen toegang te hebben tot deze informatie.
Wanneer een goed autorisatiebeleid bestaat, had de situatie bij de Belastingdienst zich slechts kunnen voordoen middels een kunstgreep, wat de drempel aanzienlijk had verhoogd. - Logging
Met logging leg je de activiteiten vast van de gebruikers van een IT-systeem. Logging houdt niet zo zeer onbevoegde toegang tegen, maar zorgt ervoor dat je naderhand kan zien waar, wie en wanneer iemand toegang heeft gehad of deze persoon gegevens heeft gewijzigd, etc. Wanneer de Belastingdienst de log-gegevens vaker hadden gecontroleerd, hadden ze wellicht verdachte gedragingen opgemerkt.
Natuurlijk betekent dit niet dat de geheimhoudingsplicht helemaal geen nut heeft, maar dit mag niet het enige zijn waar je als organisatie op vertrouwt, wil je als organisatie je persoonsgegevens adequaat beveiligen en voldoen aan de eisen van de AVG.
Voldoen aan de AVG brengt veel met zich mee, veel meer dan alleen het beveiligen van persoonsgegevens. Jurr kan je hiermee helpen.
Met een abonnement op Jurr kan je eenvoudig voldoen aan de AVG door de slimme combinatie van software en persoonlijk advies. Klik hier voor meer informatie over onze abonnementen.