Is uw autorisatiebeleid in control?

Is uw autorisatiebeleid in control?
IT Advies 6 september 2019 3 min. leestijd

De Autoriteit Persoonsgegevens (‘AP’) heeft recentelijk de eerste boete in Nederland uitgedeeld aan het Haga Ziekenhuis omdat ze de interne beveiliging van patiëntendossiers niet op orde had. Het beschikken over een deugdelijke beveiliging van persoonsgegevens is een verplichting die direct uit de AVG vloeit (art. 32 AVG). De AP heeft het betreffende ziekenhuis zowel een boete (€ 460.000,-- ) als een last onder dwangsom opgelegd. Een duidelijk signaal. Welke lessen kunnen hieruit getrokken worden en wat betekent dit voor andere organisaties? Hoewel het hier gaat over medische gegevens in een ziekenhuis, kan het ook om persoonsgegevens gaan in uw eigen organisatie.

De problemen bij het Haga Ziekenhuis staan helaas niet op zichzelf en het is ook niet de eerste keer dat de AP een organisatie op de vingers tikt omdat de beveiliging niet op orde was. Het organiseren van de beveiliging binnen een organisatie kan worden vastgelegd in een informatiebeveiligingsbeleid. Een goed functionerend autorisatiebeleid is hier onderdeel van.


De vraag die u uzelf kunt stellen is: Heb ik als organisatie in beeld wie waar toegang toe heeft? En belangrijker, hoe behoudt u deze controle?


Hierbij moet u denken aan het in- en uitdienst proces van HR en IT. Belangrijke zaken om te registreren zijn bijvoorbeeld de datum van in- of uitdiensttreding en welke functie de medewerker heeft. Aan deze functie wordt vervolgens een bundel van autorisaties toegekend waardoor de medewerker de juiste toegang krijgt tot de diverse software pakketten. Om deze bundel van autorisaties toe te kennen aan functies moet u een afweging maken welke autorisaties benodigd zijn voor elke functie. Uiteindelijk dient u de toegekende autorisaties periodiek te controleren. Daarbij kunnen ook sectorspecifieke beveiligingsnormen zoals de NEN 7510 een rol spelen.


Dit is slechts een klein voorbeeld van zaken waar u rekening mee dient te houden maar waarschijnlijk niet of onvoldoende bij stil staat of over na wilt denken. Het FD kopte op 5 september jl. dat uit onderzoek is gebleken dat IT-beslissers doorgaans slecht op de hoogte zijn van belangrijke beveiligingsmaatregelen. Juist door kleine aanpassingen en controle daarop worden de beste resultaten geboekt. Het waarborgen van de integriteit van persoonsgegevens is een belangrijk aandachtspunt en niet voor niets een speerpunt van de AP in het kader van handhaving.

 

Mocht dit artikel vragen bij u oproepen over informatiebeveiliging dan kan u ons altijd (geheel vrijblijvend) bellen om u te helpen bij het opstellen van een goedwerkend proces rondom informatiebeveiliging of (zoals in de Haga casus speelde) om de toegekende autorisaties te controleren. Daarnaast kunnen we u adviseren om dit proces efficiënter (en veiliger) te laten verlopen.

Terug