Waarom Co-Dex.eu gebruiken? - Co-dex: De weg naar GDPR compliancy
752
post-template-default,single,single-post,postid-752,single-format-standard,vcwb,ajax_fade,page_not_loaded,,select-theme-ver-4.2,wpb-js-composer js-comp-ver-5.4.4,vc_responsive
 

Waarom Co-Dex gebruiken?

Ontdek waarom uw organisatie een tool zoals Co-Dex zou gebruiken.

Waarom Co-Dex gebruiken?

Studies hebben de laatste jaren uitgewezen dat de Belgische Kleine en Middelgrote Ondernemingen en Zelfstandigen achterop hinken wat betreft cyber-beveiliging.

Het hoofddoel van Co-Dex.eu heeft twee betrachtingen die essentieel zijn om uw organisatie optimaal te kunnen laten functioneren.

Cyber veiligheid

Door de processen te identificeren en de te nemen maatregelen, te bepalen en af te toetsen zal u doorheen uw organisatie kunnen meten en aanduiden wat uw status is betreffende cyber-beveiliging.

Dit is een grote stap voorwaarts voor de meeste bedrijven die meestal geen idee hebben van hoe goed hun cyber-beveiliging is. Of vaak denken veel organisaties dat ze cyber-veilig zijn tot het noodlot toeslaat.

Compliance met wetgeving

De laatste jaren zijn er meer en meer wetgevingen waaraan uw organisatie dient te voldoen. Dit betreft binnen de context van Co-Dex hoofdzakelijk de wetgevingen die slaan op de verwerking van persoonsgegevens. De volgende wetgevingen worden in scope genomen om te bepalen aan welke verplichtingen uw organisatie dient te voldoen:

GDPR: General Data Protection Regulation

In het kort, iedereen (natuurlijke én rechtspersonen) die gebruik maakt van persoonsgegevens van natuurlijke personen in om het even welke vorm (lexis generalis), om bepaalde doelen te bereiken, moet voldoen aan de GDPR. Dit met het oog op het beschermen van de rechten en vrijheden van de informatie-eigenaars (de natuurlijke personen) of betrokkene.

Deze wetgeving, die van toepassing is sinds 25 mei 2018, slaat op volgende aspecten:

Wat: Deze verordening stelt regels vast met betrekking tot de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en regels betreffende het vrije verkeer van persoonsgegevens.

Wat is “verwerken”? Verwerking betekent elke bewerking of verzameling handelingen die wordt uitgevoerd op persoonsgegevens of op verzamelingen persoonlijke gegevens, al dan niet met geautomatiseerde middelen, zoals verzameling, registratie, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik openbaarmaking door verzending, verspreiding of anderszins beschikbaar stellen, afstemming of combinatie, beperking, wissing of vernietiging.

Wat zijn “Persoonsgegevens”: alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (“gegevenssubject”); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online-identificator of één of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon

Wat is de scope of reikwijdte: de GDPR verordening is van toepassing op de verwerking van persoonsgegevens geheel of gedeeltelijk met behulp van geautomatiseerde middelen en op verwerking anders dan op geautomatiseerde wijze van persoonsgegevens die deel uitmaken van een archiveringssysteem of die bestemd zijn om deel uit te maken van een archiveringssysteem in de Europese economische regio of gericht op Europese burgers. Dus van toepassing voor persoonsgegevens in om het even welke vorm, dus zowel papier, spraak, digitalisereing enz.

Boetes: het risico ligt hem vooral in de evolutie dat de GDPR voorziet in het geven van administratieve boetes wanneer de persoonsgegevens niet correct of adequaat verwerkt worden. Deze lopen op tot maximal 4% van de jaaromzet of 20 miljoen euro, begrensd door de hoogste van de twee.

ePrivacy

ePrivacy is een verordering die eind 2019 of begin 2020 actief wordt.

Het is enerzijds een berperking en een uitbreiding van scope die bepaald werd in de GDPR. De nuances zijn in het kort:

  • Uitbreiding: van toepassing op natuurlijke én rechtspersonen.
  • Beperking material scope: lexis specialis, van toepassing op persoonsgegevens die digitaal verwerkt worden.

De gelijklopendheid met de GDPR-verordering is:

  • De boetes zijn gelijkgeschakeld.
  • De persoonsgegevensdefinitie.
  • Van toepassing op betrokkenen in de Europese Economische Regio (EER).

Camera wetgeving

Een voorbeeld van een andere wetgeving die ook opgenomen wordt in de scope van Co-Dex.eu is het correct verwerken van infiormatie door middel van cameratoezicht. Dit is bepaald in een Belgische wetgeving die in 2018 werd aangepast.

Door Co-Dex.eu te gebruiken en te identificeren dat er cameratoezicht is, zal u begeleid worden in wat er gedaan moet worden. Zoals de camera-installatie registreren bij de politie, uithangbordje, configuratie camera’s…

Maatregelen

Doorheen het gebruik van Co-Dex.eu zal u begeleid worden bij wat er dient te gebeuren om uw organisatie stap per stap in regel te brengen met de GDPR en ePrivacy.

Het lijkt voor u misschien helemaal niet evident, dit is het ook niet!

Dankzij jarenlange technische en organisatorische expertise in het domein van cyber-beveiliging en privacy (en andere vereisten) gecombineerd met hoogtechnologische processen slaagt Co-Dex.eu erin om zo optimal mogelijk uw organisatie te begeleiden naar deze vereisten.

Het feit dat u Co-Dex.eu al gebruikt, zorgt ervoor dat u al enigszins compliant bent met de wettelijke vereisten. Het process is dermate geïntegreerd doorheen elke stap van Co-Dex.eu dat dit sowieso bijdraagt aan deze vereisten. Elke stap is afgetoetst aan de wettelijke vereisten. De maatregelen die voorgesteld worden, zijn industrie standaad en normaal gezien ter beschikking in de meeste technologieën. Dit laat uw organisatie toe om meestal via configuratie, en soms ook productkeuze, zo goed mogelijk aan de wet te voldoen.

Uw organisatie

Identiteit organisatie

KBO, adres, bedrijfsvorm, contactgegevens… deze zijn essentieel om de organisatie te contacteren en correct op te volgen. Dit laat ook toe om op het juiste moment geïnformeerd te worden.

ACTIE: controleer of de informatie correct is voor uw organisatie.

Gebruikers

Wie heeft er toegang tot Co-Dex.eu? De personen om uw compliance en beveiliging op te volgen. Dit kunnen zowel eigen als externe gebruikers zijn. U hebt hier volledige controle over.

ACTIE: voeg de gebruikers van Co-Dex.eu toe voor uw organisatie.

Leveranciers

Eén van de grootste uitdagingen in de GDPR en e-Privacy zijn de overeenkomsten en het correct informeren van uw leveranciers betreffende het verwerken van de informatie.

Wees hier zo compleet mogelijk. Bekijk uw leveranciers en check of deze ergens passen in de diensten die zij leveren.

ACTIE: selecteer of voeg uw leveranciers toe en koppel de juiste diensten aan de leveranciers.

Beleid

Het beleid is de strategie die verduidelijkt voor iedereen binnen uw organisatie hoe het risico en de oorzaken daarvan ingeschat en behandeld worden.

Hier zijn er vier essentiële zaken om te voldoen op een efficiënte manier aan de vereisten van de GDPR en e-Privacy.

  • Risico-beleid: dit bepaalt hoe uw organisatie omgaat met risico’s. Hoe worden deze ingeschaald (laag, gemiddeld, hoog) en hoe gaat u deze aanpakken.
  • Privacy-beleid: dit bepaalt voor uw organisatie hoe uw privacy bvb. persoonsgegevens en de verwerking ervan gaat inschatten. Hoe dit bijdraagt tot het risico-profiel (risico-beleid) van uw bedrijf en van anderen (bv. betrokkene).
  • Data-classificatie beleid: het is essentieel om uw informatie goed te identificeren. Dit zal u in staat stellen om de juiste maatregelen te nemen volgens het juiste risico. De hoge risico verwerkingen zullen betere bescherming nodig hebben dan de lagere. Dit leidt zo rechtstreeks tot optimalisatie van de ingezette middelen om het risico te beperken.
  • Communicatie-beleid: hoe gaan uw organisatie en medewerkers om met het gebruik en verspreiden van informatie. Dit zijn enkele pragmatische richtlijnen om het heel begrijpbaar te maken aan mensen die met de persoonsgegevens omgaan maar die logischer wijs niet security specialisten zijn.

E-mail beleid: er is eveneens een optioneel e-mail beleid dat bedoeld is om gebruikers te informeren waarvoor deze e-mail adressen van het bedrijf bedoeld zijn. Het is ook een goede manier waar het bedrijf de gebruikers kan informeren over de gevaren van foutief e-mail gebruik.

ACTIE: maak de beleidsnota’s aan binnen uw organisatie en verdeel deze aan de personen die in aanraking komen met het verwerken van gevoelige informatie of persoonsgegeven.

Verwerkingsregister

Voeg de verwerkingen voor uw organisatie toe. Dit zijn voorgedefinieerde templates die u kunt selecteren om te identificeren welke persoonsgegevens en voor welke doelen deze verwerkt worden.

Dit is een niet zo evidente oefening voor de meeste organisaties Het correct omschrijven van het doel, de wettelijke basis en bv. het risico inschatten van een verwerking is iets wat de nodige expertise vraagt. Co-Dex.eu biedt u deze aan.

De GDPR legt het bijhouden van een verwerkingsregister of anders gezegd een inventaris van uw verwerkingen van persoonsgegevens op. Co-Dex.Eu houdt deze bij voor u.

ACTIE: voeg de dossiers “verwerkingen” toe die u gebruikt binnen uw organisatie.

TIP: gebruik de filters bovenaan om de lijst makkelijker in scope van uw organisatie te zien.

TIP: vindt u een verwerking niet terug, check de filters, en indien dan nog niet, stuur een e-mail naar [email protected] met de vraag.

Assessments

Naargelang de gebruikte technologie in de verwerkingen dient uw organisatie bepaalde maatregelen te nemen. Wat betreft -in de meeste gevallen- ICT-technische diensten zoals e-mail, website, ERP-system, camera… dient u specifieke maatregelen te nemen.

ACTIE: selecteer de assessment die voor u van toepassing is.

TIP: controleer in de eerste stap van het assessment of de juiste verwerkingen in scope aangeduid zijn. U kan deze lijst op elk moment aanpassen.

Verklaringen

Verklaringen zijn manieren om uw betrokkenen (klanten, werknemers, bezoekers…) op een éénvoudige, gestructureerde en duidelijke manier te informeren wat ze mogen verwachten waarom en binnen welke context u persoonsgegevens verwerkt.

Co-Dex.eu heeft een uniek systeem waar de verklaringen upgedate worden vanuit Co-Dex.eu. Deze worden automatisch gepublished, dit in PDF en in HTML formaat.

ACTIE: de verklaringen worden automatisch door Co-Dex.eu
gegenereerd. U hoeft niks specifieks te doen.

TIP: Het PDF-formaat laat u toe met een éénvoudige PDF-viewer de informatie weer te geven. Het HTML-formaat laat u toe om volledig te integreren met de stijl, look en feel van uw website.

Uw website gebruikt een link naar deze documenten. Het voordeel is dat u uw website niet telkens moet aanpassen als u een wijziging aanbrengt in Co-Dex.eu. Dit heeft als groot voordeel dat u vanuit één plaats de informatie beheert dat u wenst mee te delen. En dit bespaart u tijd en geld.

Privacy statement

Een korte verklaring verwijzend naar de privacy verklaring. Duidelijk, kort en bondig.

ACTIE: gebruik de link op www.Co-Dex.be naar het privacy statement op uw website.

Privacy verklaring

Een privacy verklaring is een uitvoerige uitleg over hoe en waarom uw organisatie persoonsgegevens verwerkt. Dit zal ook duidelijk uitleggen aan de betrokkene hoe hij of zij zijn of haar rechten kan uitoefenen.

ACTIE: gebruik de links in www.Co-Dex.be om uw privacyverklaring te gebruiken op uw webstie.

Cookie verklaring

De cookie verklaring of cookie policy is het informeren van de gebruikers van websites en aanverwante technologie welke informatie u via cookies verzamelt en wie hierover beslsit, typisch eerste en derde partij cookies. Het is ook een duidelijke en begrijpbare uitleg over wat cookies zijn, waarom ze gebruikt worden en hoe de gebruiker (de niet-essentiële) cookies kan configureren.

ACTIE: gebruik de link op www.Co-Dex.be op uw website om uw cookie verklaring dynamisch te puliceren.

TIP: indien u een website hebt, dan moeten de niet-essentiële cookies configureerbaar zijn voor de gebruiker van de website.

TIP: Indien u een website hebt, dan dienen de niet-essentiële cookies per default inactief te zijn. Vraag toestemming (gebruikersactie) om deze te activeren.

Incident / inbreukmelding

Een incident is een ongewenst (accidentieel of moedwillig) niet werken van bepaalde maatregelen die al dan niet tot een risico voor uw organisatie en/of de betrokkene kan leiden of geleid heeft.

Een inbreuk is een incident dat een impact kan hebben op de betrokkene. Dit dient aan de GegevensBeschermingsAutoriteit gemeld te worden met een zogenoemde inbreukmelding of break notfiation.

Een inbreukmelding aan de betrokkene is ook van toepassing als er een hoog risico mogelijk is voor de betrokkene door het incident.

Incidentregister

Co-Dex.eu houdt de registraties van uw incidenten bij. Dit geheel van incidenten heet het incidentregister. Dit is een wettelijke verplichting.

ACTIE: als u een incident hebt, maak een incident-dossier aan.

Inbreukmelding

Co-Dex.eu helpt u bij het evalueren van de ernst van een incident. Dit volgens het vooropgestelde risico-beleid, de scope van de informatie, context van de inbreuk en eventuele gevolgen.

ACTIE: bij elk incident maakt u een incident-dossier aan en doorloop dit. Dit zal u duiden indien een inbreukmelding noodzakelijk is.

Inbreukmelding betrokkene

Indien er een hoog risico is voor de betrokkene kan u vanuit de inbreukmelding een “inbreukmelding betrokkene” laten aanmaken. Dit is een standaard document dat geschaald wordt naar de inbreukinformatie. Dit document kan u dan onmiddellijk uitsturen naar uw betrokkene.

TIP: zorg dat u een e-mail adres of postadres hebt om zo op grote schaal uw betrokkenen te kunnen informeren. Per telefoon is eveneens mogelijk maar dit is operationeel niet éénvoudig en zeker niet efficiënt. Indien het om één of een paar betrokkenen gaat is de telefoon de aangewezen manier.

Dashboarding

Aan de hand van een dashboard zal u in een oogopslag kunnen zien waar uw werkpunten prioritair liggen. Dit laat toe om zo snel mogelijk en gestructureerd de uitdaging van cyber-veiligheid en compliance met de GDPR en e-Privacy te bereiken.

Compliance demonstreren

Door het gebruik van Co-Dex.eu zal u een basis vorm van compliance kunnen aanduiden. De gebruikte compliance frameworks zijn:

  • ISO27000: Information Security and Management System dat in Europa dé standaard is om compliance met bepaalde industrie standaarden aan te duiden. Hoe verder u vordert in Co-Dex.eu hoe beter u zal kunnen aanduiden in welke mate u compliant/in regel bent met de bestaande industrie normen.
  • NIST-800-53 rev. 5: Cyber Resilience Framework (v5), dit is een framework of standaard methodologie die de cyber-weerbaarheid van uw organisatie weergeeft volgens een bepaalde maturiteit (schaal van 0 tot 5). Het grote voordeel van dit mechanisme is dat u gestaag kan groeien in cyber-veiligheid met een optimaal benutten van de middelen die het meest bijdragen tot deze maturiteit. De versie 5 heeft een grote toevoeging van “privacy” die toelaat om te specificeren wat er precies bijdraagt aan de bescherming van de privacy.
  • CSA CMM: Cloud Security Alliance, Control Maturity Matrix, is een specifieke en meest gebruikte methodologie om bij het gebruik van cloud-diensten te meten hoe goed u beschermd bent.

ACTIE: u hoeft niks meer te doen dan Co-Dex.eu te gebruiken om deze meting uit te voeren. Co-Dex.eu integreert elke stap en actie in deze oefening.

TIP: deze compliance is nog niet actief, maar is in de maak. U zal op de hoogte gebracht worden wanneer deze beschikbaar is.

Vragen?

Indien u vragen hebt omtrent het gebruik van of nieuwe features of mogelijkheden dat u wenst te zien, gelieve dan contact op te nemen via het contact formulier.