Onder de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties kunnen bewijzen dat ze bij de verwerking van persoonsgegevens de privacyregels naleven. “Dan moet je heel goed weten wat er allemaal op je netwerk gebeurt”, zegt systeembeheerder Kees Hanse van Schouwen-Duiveland. Voor de Zeeuwse gemeente een van de redenen om de security opnieuw in te richten.

Het afleggen van verantwoording is een belangrijk onderdeel van de AVG. Dit wordt ook wel aangeduid met ‘accountability’. Zo zijn organisaties in veel gevallen verplicht om een register van alle verwerkingsactiviteiten bij te houden en aan te geven hoe persoonsgegevens worden beschermd. Ook moet er een overzicht zijn van alle datalekken.

Valt een datalek onder de meldplicht? Dan wil de Autoriteit Persoonsgegevens precies weten wat er is gebeurd. De privacywaakhond wil dan bijvoorbeeld zien hoe de beveiliging van de gelekte gegevens in elkaar steekt en wie toegang hebben tot de data. Kan een organisatie geen verantwoording afleggen, dan kan een eventuele boete weleens hoger uitvallen. Het maximum ligt vanaf 25 mei 2018 op 20 miljoen euro, of 4 procent van de wereldwijde jaaromzet.

Inzicht in de keten

“De nieuwe Europese privacywetgeving heeft impact op de hele organisatie”, aldus Hanse. Voor een gemeente met ruim 33.000 inwoners is dat niet anders. Volgens de systeembeheerder is het onder de AVG onder andere belangrijk dat een organisatie exact weet wat er op het netwerk met persoonsgegevens gebeurt. “Als er bijvoorbeeld een verdacht mailtje binnenkomt, moet je kunnen zien wat er zich precies afspeelt op het netwerk en op de endpoints. Inzicht op basis van een centrale logging heb je ook nodig als je onder de AVG een datalek moet melden bij de AP.”

“Van alle componenten in de keten – van de firewall tot aan de virusscanners en de sandbox – moet je de logging centraal kunnen raadplegen”, legt Hanse uit. “Dan heb je een securityoplossing nodig die de hele keten inzichtelijk maakt. Tijdens de voorbereidingen op de AVG werd voor ons al snel duidelijk dat we het niet gingen redden met de oude firewall.”