Wanneer een applicatie gehackt wordt kan dit grote gevolgen hebben voor uw organisatie. Het kan zijn dat hierdoor applicaties of gegevens niet meer beschikbaar zijn, of dat deze data misbruikt wordt door de hacker, met de nodige negatieve gevolgen voor de organisatie. Wanneer gevoelige gegevens gehackt worden kan dit grote negatieve gevolgen hebben voor de personen die het betreft.
Het Impact Assessment is bij wet verplicht (Art. 35; EU-AVG) wanneer een verwerking (in een applicatie) een hoog risico met zich meebrengt wordt “Data Protection Impact Assessment (DPIA)” genoemd. Tijdens deze beoordeling wordt de betrokkene als uitgangspunt gehanteerd. Risico’s die worden geïdentificeerd zijn dus risico’s voor de personen op wie de persoonsgegevens betrekking hebben.
Het Impact Assessment, naar de gevolgen en risico’s voor de organisatie, is onderdeel van alle (inter)nationale beveiligingsnormen (ISO27001, NEN7510, BIO) en wordt “Business Impact Assessment (BIA)” genoemd. Tijdens deze beoordeling wordt de organisatie als uitgangspunt gehanteerd.
Een Business & Data Protection Impact Assessment is de combinatie van een onderzoek naar de privacy risico’s en bedrijfsrisico’s van een webapplicatie. Om een duidelijk integraal beeld te krijgen is het effectief om deze assessments (DPIA én BIA) gecombineerd uit te voeren. Door onze aanpak kunnen we zo’n integraal assessment in 2-3 dagen uitvoeren, afhankelijk van de omvang van de applicatie en de organisatie(onderdelen). Op basis van dit integrale assessment wordt bepaald in hoeverre de applicatie naar behoren beveiligd is.
In het kader van de privacywetgeving, de Algemene Verordening Persoonsgegevens (AVG), stelt de overheid eisen aan de beveiliging van webapplicaties (Art. 32; EU-AVG) en is de organisatie zélf aansprakelijk voor de gevolgen van een hack. Stérker nog; de organisatie kan, ongeacht of er een hack heeft plaatsgevonden, een boete krijgen wanneer blijkt dat de benodigde beveiligingsmaatregelen niet zijn genomen. Deze boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.
Maar is de ontwikkelaar/beheerder van de webapplicatie dan niet verantwoordelijk voor beveiliging? De ontwikkelaar/beheerder is verantwoordelijk voor het nemen van de technische beveiligingsmaatregelen en van de organisatie die de webapplicatie afneemt en gebruikt wordt verwacht dat deze een Impact Assessment uitvoert om te bepalen wat de gevolgen kunnen zijn van een hack en of er een risico is voor de privacy van personen. Deze gevolgen en risico’s zijn afhankelijk van het gebruik van de applicatie en kunnen per organisatie sterk verschillen. Op basis van het Impact Assessment wordt bepaald of de benodigde beveiligingsmaatregelen inderdaad door de ontwikkelaar/beheerder genomen zijn of dat er nog aanvullende maatregelen nodig zijn.
Waarom is het goed om een Business & Data Protection Impact Assessment uit te laten voeren?
- Dit geeft een gedetailleerd inzicht in de (financiële) gevolgen van een hack.
- Geeft aan of er voldoende beveiligingsmaatregelen zijn getroffen.
- Is verplicht wanneer het (grootschalig) beheer van persoonsgegevens betreft.
- Toont aan dat aan de eisen van de AVG wordt voldaan.
- Bespaar tijd voor de integrale aanpak.
Meer informatie: Paul van Geelen Paul.van.geelen@samoerai.nl of 06-52659931