AVG-compliant worden en blijven? Regel deze zes onderdelen met IAM

nieuws

AVG-compliant worden en blijven? Regel deze zes onderdelen met IAM

Het beheer van account- en inloggegevens is voor veel organisaties een grote uitdaging. Hoe vaak komt het niet voor dat medewerkers op hun eerste werkdag niet kunnen inloggen op het bedrijfsnetwerk en de bijbehorende applicaties. Of dat een collega wordt ontslagen, maar hij of zij kan nog maandenlang inloggen en gaat er op die manier vrolijk met alle klantgegevens vandoor. Wie deze problemen de baas wil worden, zal moeten investeren in Identity Access Management (IAM), waarmee je technisch afdwingt dat alleen de juiste mensen de juiste toegang hebben tot de juiste informatie op het juiste moment. Daarmee zet je meteen een belangrijke stap in compliant worden met de AVG.

Vanaf 28 mei wordt de Algemene Verordening Gegevensbescherming (AVG, in het Engels ook wel GDPR genoemd) gehandhaafd. Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. Deze wet stelt onder meer dat organisaties inzichtelijk moeten hebben wie toegang heeft tot persoonsdata en wat zij met die data doen. Ze moeten hun datamanagement zo inregelen dat persoonsgegevens worden beschermd tegen toegang door onbevoegden. Iedere organisatie zal daarom technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen. Of het nu gaat om data van medewerkers, klanten, studenten of patiënten.

Technisch afdwingen

Een belangrijke stap hierin is het technisch afdwingen dat alleen de juiste personen toegang krijgen tot de juiste data op het juiste moment. Dat kan met Identity Access Management (IAM). Hoe kan IAM je helpen compliant te worden met de AVG?

1.Toegang tot persoonlijke data controleren

    IAM regelt wie wanneer toegang krijgt tot welke data in welke applicaties. Dit geldt voor alle data, en daarmee ook voor persoonsgegevens. Natuurlijk is het zaak om eerst helder te krijgen op welke plaatsen persoonsgegevens worden opgeslagen en met welk doel. Maar als eenmaal helder is hoe een organisatie omgaat met persoonsdata en welke systemen daarvoor worden gebruikt, is het vervolgens een fluitje van een cent om met IAM af te dwingen dat mensen alleen toegang krijgen tot die data en systemen waarvoor ze rechten hebben.

    Met de IAM-oplossing XIMEx 2.0 ben je bij het bepalen wie welke data mag inzien of wijzigen zelfs niet meer gebonden aan groepen of identiteiten, maar is het mogelijk om tot op functieniveau te bepalen wie toegang mag krijgen tot welke data. Krijgt een medewerker een andere functie of rol, dan wijzigen automatisch de toegangsrechten mee. Zo voorkom je dat een voormalig medewerker van de financiële administratie in zijn nieuwe functie op een andere afdeling nog bij een overzicht van niet betaalde facturen kan komen.

    2.Logging: wie had wanneer toegang?

      De AVG stelt dat je in geval van een datalek moet kunnen aantonen wie in jouw organisatie toegang heeft gehad tot welke persoonsdata. Daarom is het essentieel om te loggen wat er allemaal met persoonlijke data gebeurt. IAM maakt dergelijke logbestanden volautomatisch en kan deze ook analyseren, zodat je beter inzicht krijgt in wie wanneer welke persoonsdata raadpleegt en hier je beleidsregels op kunt aanpassen.

      3.Privacy by Design

        De AVG stelt dat iedere organisatie bij het ontwerpen van producten en diensten ervoor moet zorgen dat de toegang tot persoonsgegevens goed wordt beschermd. Dit wordt ‘Privacy by Design’ genoemd. Het mag duidelijk zijn dat een IAM-tool dit waarborgt. Daarbij gaat XIMEx 2.0 zelfs nog een stap verder en notificeert op voorhand als iemands ‘identity’ gaat veranderen, waardoor de rechten tijdig kunnen worden aangepast. Dit is vooral handig in bedrijven die regelmatig te maken hebben met functieveranderingen van medewerkers.

        4.Alle data eenvoudig verwijderen, blokkeren of dupliceren

          De AVG stelt dat klanten ‘het recht hebben om vergeten te worden’, wat zoveel betekent dat een organisatie al hun gegevens moet kunnen verwijderen als zij daarom vragen. Nu gaat de wettelijke bewaarplicht in sommige sectoren, zoals finance en zorg, boven het recht om vergeten te worden. Maar als klanten daarom vragen, wil je hun gegevens wel blokkeren zodat ze niet langer door jouw medewerkers kunnen worden ingezien. Het is vrijwel onmogelijk om dit te realiseren als alle systemen met persoonsdata solitair werken en data handmatig van het ene in het andere systeem wordt overgenomen. Hoe beter de werkprocessen worden geautomatiseerd, hoe makkelijker het is om hier beleidsregels op toe te passen. IAM kan hier een rol in spelen.

          5.Beveiliging van de verwerking

            In vrijwel alle organisaties hebben ook externe partijen toegang tot persoonsgegevens. Dat is al het geval op het moment dat data van klanten in een SaaS-applicatie staan. Maar in veel gevallen beschikken ook partners over gegevens van klanten, denk aan marktonderzoekbureaus, marketingbedrijven of incassobureaus. De AVG spreekt in dat geval van een verwerker, waarmee een verwerkingsovereenkomst moet worden gesloten. De verwerker heeft belang bij de beschikbaarheid van data, de wet gaat over de vertrouwelijkheid ervan. Op het eerste oog zijn beschikbaarheid en vertrouwelijkheid haast tegenstrijdig aan elkaar. Immers, hoe breder data beschikbaar is, hoe moeilijker het wordt om de vertrouwelijkheid te regelen. Tenzij je gebruikmaakt van een end-to-end oplossing die de hele keten overziet en die ervoor zorgt dat persoonsdata altijd encrypt worden en via een beveiligde verbinding worden verstuurd. Met IAM kun je dit regelen.

            6.Privileged gebruikers beschermen

              Een laatste onderdeel dat in het kader van de AVG goed geregeld moet zijn, is het beschermen van IT-beheerders en andere gebruikers die bijzondere rechten hebben. Zij beschikken over de digitale sleutel tot alle systemen, ook tot de Active Directory (AD), en zijn daarom het voornaamste doelwit van hackers. Wie immers de AD binnendringt, heeft plotsklaps de inloggegevens alle gebruikers bij de hand. Het is daarom zaak om mensen die toegang hebben tot de AD extra streng te beveiligen. Dat kan met IAM. Met XIMEx 2.0 kun je zelfs gelaagdheid aanbrengen in autorisaties, zodat je precies kunt aangeven welke IT-beheerder welke rechten heeft. Hoe meer rechten, hoe zwaarder de beveiliging.

              Gebruik IAM voor AVG-compliancy

              IAM kan dus een belangrijke rol spelen om compliant te worden aan de AVG. Wie zich oriënteert op een IAM-oplossing, moet zich goed bewust zijn van belangrijkste eisen voor de eigen situatie. Een school heeft bijvoorbeeld te maken met zeer frequente wijzigingen in de gebruikers, want ieder jaar melden zich nieuwe leerlingen af en stromen leerlingen die geslaagd zijn uit. Een zorginstelling daarentegen heeft juist eerder te maken met wijzingen in de rechten van medewerkers, bijvoorbeeld omdat mensen op een andere afdeling gaan werken en daarbij bepaalde data niet meer mogen inzien en andere juist wel. Vraag een leverancier daarom altijd om een demo op maat.

              Om organisaties te voorzien van zo’n demo op maat heeft Avit een XIMEx Roadshow opgezet waarmee we organisaties in heel Nederland kunnen bezoeken en waarbij we specifiek kunnen ingaan op de vragen die zij hebben. We hebben bovendien een AVG-toets ontwikkeld die advies geeft op de zes genoemde punten.

              Geïnteresseerd in de AVG-toets of de demo? Neem contact met ons op.

              Robert van Zanten

              Director R&D Avit Group B.V.