De bescherming van de informatie waarmee we dagelijks aan de slag gaan vraagt de juiste aandacht. Niet enkel gedigitaliseerde informatie maar ook alle andere soorten informatiedragers (incl. papier) dienen beschermd te worden tegen ongeoorloofd gebruik. Om een dergelijke bescherming te garanderen, moet het beleid vooreerst op de risico’s worden afgestemd, en moeten de nodige acties plaatsvinden op vlak van personeel, fysieke bewaking, logische beveiliging, bescherming van systemen … tot en met de manier waarop we met derden rond die gegevens samenwerken. V-ICT-OR ontwikkelde in dat verband een risicoanalyse en maturiteitsmeting die samen leiden tot een concrete actieplanning.
De risicoanalyse en maturiteitsmeting zijn in eerste instantie gericht op informatieveiligheid (ISO-normen 27001 en 27002, min. veiligheidsnormen KSZ) en bij uitbreiding op gegevensbescherming (AVG).
Voor wat informatieveiligheid betreft onderscheiden we 15 deeldomeinen:
Via een risicoanalyse en een maturiteitsmeting (kan zowel via begeleiding V-ICT-OR als zelfstandig via de tool uitgewerkt worden) kunt u aan de hand van vragen de werkpunten van uw beleid pinpointen. Via een actieplan stelt u verantwoordelijken aan en prikt u deadlines voor elk van de openstaande taken.
Voor wat gegevensbescherming betreft kunnen we in de AVG heel wat deelaspecten onderscheiden. V-ICT-OR werkt zowel in zijn begeleiding als in zijn tool op basis van een 16-stappenplan (gebaseerd op het document ‘bereid u voor in 13 stappen’ van de vroegere Privacycommissie. De 16 stappen zijn de volgende:
De tool van V-ICT-OR legt deze stappen haarfijn uit en biedt oplossingen voor volgende wettelijke verplichtingen op vlak van gegevensbescherming: verwerkingsregister, verwerkersovereenkomsten, incidentenregister, datalekregister, veiligheidsbeleid (actieplan) … De tool wordt continu aangevuld en verbeterd op basis van de input die we van de gebruikers ontvangen. Vragen binnen de tool worden opgevangen door het V-ICT-OR security team.