Penetratietest voor Algemene Verordening Gegevensbescherming (GDPR)

Vanaf 25 mei 2018 is de Europese privacywetgeving Algemene Verordening Gegevensbescherming (AVG), ook wel de General Data Protection Regulation (GDPR) genoemd, in werking getreden. Vanaf deze datum zijn alle organisaties die persoonsgegevens verwerken verplicht om aan de nieuwe privacyverordening te voldoen. Het streven en behouden van compliancy brengt voor organisaties een grote druk met zich mee. Web Security Scan kan deze druk deels verlichten met een penetratietest op zowel netwerk-, server- als applicatieniveau.

In de AVG wordt aanbevolen om privacygevoelige applicaties en kritieke infrastructuur te beoordelen op beveiligingsrisico's en de effectiviteit van beveiligingscontroles regelmatig te testen.

Onze AVG-penetratietesten en vulnerability scans helpen u om aan deze aanbeveling te voldoen. Bovendien zullen inbreukrapporten wettelijk verplicht zijn (uiterlijk binnen 72 uur), waarmee u zich het niet kunt veroorloven geen penetratietest te hebben uitgevoerd.

gdpr

Organisatieverplichtingen sinds de invoer van de AVG (GDPR)

  • De verplichte uitvoering van een Privacy Impact Assessment (PIA) wanneer persoonsgegevens worden verwerkt die grote privacyrisico’s met zich meebrengen.
  • De verplichting voor organisaties om een privacybeleid vast te leggen.
  • Documentatieplicht voor persoonsverwerkingen, een wijziging van de meldingsplicht onder de huidige Wet bescherming persoonsgegevens (Wbp).

Web Security Scan voert onafhankelijke beveiligingsonderzoeken/penetratietesten uit om beveiligingsrisico's te vinden in privacygevoelige ICT-systemen, zodat organisaties kunnen voldoen aan de vereisten van de Europese Algemene Verordening Gegevensbescherming en kunnen vaststellen of privacygevoelige gegevens in deze systemen daadwerkelijk veilig zijn.

Zorg dat u voldaan aan de Europese privacywetgeving. Wilt u weten wat Web Security Scan voor uw organisatie kan betekenen hierin? Vraag hieronder een offerte aan of neemt contact met ons op voor meer informatie.

8 risicogebieden met betrekking tot privacy principes

NOREA, de beroepsorganisatie van IT-auditors, stelt de volgende risicogebieden vast in de handreiking Privacy Impact Assessment. De meeste risicogebieden worden onderzocht tijdens een AVG penetratietest.

1Data-minimalisatie. 2Gegevenskwaliteit. 3Doelbinding en verenigbaarheid van verdere verwerking. 4Limitering van het gebruik van gegevens.
5Beveiliging van gegevens. 6Transparantie. 7Rechten van betrokkenen. 8Verantwoordelijkheid en verantwoording.

Wat draagt een penetratietest bij aan GDPR compliancy?

  • Een penetratietest geeft u een volledige analyse, niet alleen van de webapplicatie, maar ook van andere gebreken.
  • Het kan real-life aanvalsscenario's nabootsen, waardoor u inzicht krijgt in hoe uw beveiliging hier op voorbereid is en op welke onderdelen verbetering noodzakelijk is om privacygevoelige data veilig en beveiligd te houden.
  • Externe en onafhankelijke toetsing bekijkt zaken vaak vanaf een andere invalshoek en kan leiden tot nieuwe inzichten om beveiliging te verbeteren.
  • U kunt aantonen dat er in ieder geval maatregelen zijn getroffen, waarmee u boetes kunt voorkomen in het geval er toch een datalek mocht ontstaat.