AVG compliance - het schaapsherdersmodel
AVG compliance volgens het schaapsherdersmodel omdat dit eenvoudig is uit te leggen zonder te veel jargon.
Sleutelwoorden: Schaapherder, Schaapsherder, model, dataprotectie
AVG of de Europese wet GDPR is zinnig maar het blijkt dat er veel gaten zitten tussen de verschillende betroken partijen. Het lijkt op een berg met stenen zonder structuur en de noodzakelijke metselspecie. De verschillende betrokken partijen zijn onder andere: de beleidsmakers, de wetgevers, de overheid, handhaving, Informatie Technologie, informatiebeveiliging en de technologische richting die we opgaan (denk hierbij aan grid computing, cloud, encryptie en blockchain).
Hoe kun je jezelf voorbereiden op AVG of GDPR-compliance in deze bijzonder dynamische wereld waar nog geen echte structuur is te vinden?
Probleem van privacygevoelige data
Het algemene probleem van data is dat het alle kanten opgaat (onder andere Cloud, databases, spreadsheets, CRM, email, harddisks, hosting provider, back-up, archivering, prints). Het verandert van vorm en het kopieert zichzelf (gewenst of ongewenst).
Het schaapsherdersmodel
Het model van de schaapsherder kan worden gebruikt om het probleem duidelijker te maken in een organisatie. Beschouw de stukjes data als de schapen. Een schaapsherder heeft een goed getrainde schaapshond. Deze houdt de "data schapen" bij elkaar. Een Data Protection Officer (DPO) kan worden beschouwd als een schaapshond. Een goede DPO is essentieel om deze “data schapen” bij elkaar te houden. Het zou zonde zijn als je één van deze aardige diertjes zou missen. En als je er eentje verliest, let dan wel op, “data schapen” zitten graag bij elkaar. Daarna moet je melding maken van verlies van een groep “data schapen”. U dient binnen 72 uur melding te maken van dit verlies.
AVG compliance een stapje verder
In het schaapherdersmodel hebben we een schaapsherder en een schaapshond nodig. Deze twee zijn op elkaar afgestemd. De schaapshond dient getrained te zijn om de "data schapen" bij elkaar te houden op aanwijzing van de herder. Je kunt dus niet elk type hond inzetten. Sommige honden willen met de schapen gaan spelen en anderen denken dat het eten is. De keuze van de herdershond is hierbij dus belangrijk.
Binnenkort wordt dit artikel uitgebreid waarbij het schaapsherdersmodel voor AVG compliance of GDPR compliance verder wordt uitgediept zodat dit praktisch toepasbaar wordt.
Voor organisaties met complexe distributie en locatie van datasets hebben we een model dat een uitbreiding is op het schaapherdersmodel.
Relatie met de Cyber Security HUB
De Cyber Security Hub geeft een aantal aandachtsgebieden (10 stuks) en noemt dit stappen. Dit kan eenvoudig inzichtelijk worden gemaakt met schaapsherdermodel. UIteindelijk zullen de schapen (de informatiedragers) in een gebied zijn, dit kan worden afgeschermd met een hek en/of natuurlijke grens zoals water of een rotsen. Als dan de link wordt gemaakt met de Cyber Security Hub dan volgen een aantal stappen.
De absolute nummer #1 is natuurlijk een hek om de schapen te plaatsen (met een poort of een een aantal poorten). In IT termen noemen we dit een firewall (vergeet ook de beheerder niet)
In een volgend artikel nemen we de Cyber Security Hub nader onder de loep, we maken van de aandachtsgebieden stappen.
Diensten uitbesteed?
Indien er diensten zijn uitbesteed, en dat is bijna altijd zo, dan komt alles terug in contract management. U moet de contracten correct hebben en deze ook gaan managen. U dient dus contractmanagement op te gaan zetten en deze in te richten. Een spreadsheet is hierbij vaak onvoldoende.
Gerelateerde artikelen