Veel accountants ervaren de AVG (Algemene verordening gegevensbescherming) als een lastige wet. Het is een abstracte en principle based regelgeving. Tegelijkertijd onderkennen accountants wel het belang van cybersecurity. Daarom besteden we in dit blog aandacht aan verschillende vormen van cyber en lichten we toe wat je er in de praktijk aan kunt doen. Maar eerst geven we aan wat de bedoeling is van de AVG.
Terug naar ‘de bedoeling’
Cybersecurity is letterlijk: computerveiligheid. De term omvat dus alle digitale activiteiten die ervoor zorgen dat informatie is beschermd. Het doel van ‘computerveiligheid’ is om te voorkomen dat onbevoegden onverhoopt toegang krijgen tot informatie.
De AVG is bedoeld om persoonsgegevens te beschermen. De AVG stelt eisen aan organisaties die persoonsgegevens verwerken of daarvoor als verwerkingsverantwoordelijke optreden. Organisaties moeten passende technische en organisatorische maatregelen nemen, zodat de privacy van hun medewerkers en klanten wordt geborgd. Hoe je dat precies doet is aan de organisatie zelf. De Autoriteit Persoonsgegevens (AP) geeft hier verder invulling aan.
De praktijk: wat kun je doen?
In de praktijk kun je een aantal zaken doen om ervoor te zorgen dat persoonsgegevens beschermd zijn en blijven. We gaan daarop in aan de hand van een aantal vormen van cybersecurity.
Training
De mens vormt vaak een groot risico als het gaat om cybersecurity. We kennen het wel; het manipuleren van mensen om handelingen te verrichten of vertrouwelijke informatie te onthullen die niet in het belang is van henzelf of de organisatie waarvoor zij werken. Social engineering heet dat. Bij deze vorm van cyber wordt ingespeeld op jouw angst, nieuwsgierigheid, jouw drang naar veiligheid of jouw behoefte anderen te helpen. Psychologische manipulatie dus. Er zijn verschillende vormen, maar ken je ook deze vormen?
Training kan helpen om iedereen bewust te maken van deze vormen van cybercrime, zoals:
– Deel informatie alleen met gewenste kijkers, bijvoorbeeld collega’s binnen je kantoor.
– Zet geotagging uit.
– Update software zodat die altijd aan de laatste beveiligingseisen voldoen.
Anonimiseren en pseudonimiseren
Anonimiseren kennen we allemaal. Het betekent gegevens zodanig verwijderen of onleesbaar maken dat zij niet meer kunnen worden gebruikt. Er zijn geen mogelijkheden meer tot identificatie. Het anonimiseren van persoonsgegevens zelf is wél een verwerkingshandeling. Tot het moment dat de persoonsgegevens geanonimiseerd zijn, is de AVG van toepassing.
Bij pseudonimiseren worden persoonsgegevens getransformeerd, zodat die gegevens niet meer herleidbaar zijn naar de persoon. Voor buitenstaanders is dan niet zichtbaar wie de persoon is. Maar je kunt de gegevens wel weer leesbaar maken. Ook hier is de AVG dus van toepassing
Data Protection Impact Assessment ofwel DPIA
DPIA is een instrument om vooraf privacyrisico’s in kaart te brengen en zo nodig maatregelen te kunnen nemen om het gebruik van persoonsgegevens te voorkomen. Een DPIA is alleen verplicht als sprake is van een hoog privacyrisico. Maar ook al schat je dit risico niet hoog in, een DPIA kan wel helpen om de risico’s inzichtelijk te maken. De DPIA is een PDCA-cyclus (Plan-Do-Check-Act). Dit betekent dat je periodiek de resultaten van de DPIA moet evalueren op gewijzigde omstandigheden en waar nodig moet aanpassen.
Geef de AVG een centrale rol in het kwaliteitssysteem. Wellicht denk je dat de kans op een datalek gering is, maar als het gebeurt is de impact enorm!
Aan de slag met de AVG en cybersecurity?
Wil je op een leuke manier met jouw organisatie aan de slag met de AVG en cybersecurity? Kriton heeft hiervoor een interactief en dynamisch programma in gamevorm ontwikkeld. Je leest er hier meer over. Neem contact met ons op!