identiteit_avg

Een van de eisen van de Algemene Verordening Gegevensbescherming van de Europese Unie (AVG, GDPR) is de implementatie van adequate beveiligingsmaatregelen om de persoonsgegevens van een inwoner van de EU te beschermen. Dit zijn gegevens die direct naar een persoon verwijzen of gegevens die kunnen worden gebruikt om indirect een persoon te kunnen identificeren. Hieronder vallen voor- en achternamen, e-mailadressen, fysieke adressen en andere vergelijkbare soorten gegevens. In aanvulling hierop zijn er „speciale categorieën” van gegevens or gevoelige persoonsgegevens die op een hoger niveau moeten worden beschermd. Dit omvat zaken als religieuze voorkeur, gezondheidsdossiers, politieke opvattingen, ras of etnische afkomst.

Identiteits- en toegangsbeheer kunnen bijdragen aan het beschermen van persoonsgegevens door te zorgen voor:

Autorisatie

Alleen gebruikers die toegang moeten hebben tot de gegevens, kunnen er ook echt bij.

Autorisatie

Gebruikers die informatie opvragen, zijn wie ze beweren te zijn vanaf het moment van toegang.

Certificering

Er is een continu proces van toegangsbeoordeling en het certificeren van correcte autorisatiecontroles, op basis van de constante stroom gebruikers die toegang tot informatie moeten hebben. Denk aan het verwerken van nieuwe medewerkers, overplaatsingen, promoties, opzeggingen en het toevoegen van gebruikers als gevolg van fusies en overnames.

Controleerbaarheid

De organisatie kan op effectieve wijze autorisatie, certificering en authenticatie bewaken.

Terwijl het minimaliseren van het identiteitsrisico kan helpen bij het halen van het doel persoonsgegevens te beschermen, is het ook belangrijk zowel comfortabele alsook veilige toegang te verlenen. Gebruikersgemak en -productiviteit zijn essentiële zaken om over na te denken, omdat u uw medewerkers en klanten niet wilt frustreren of de productiviteit wilt belemmeren op weg naar conformiteit.

Dit zijn een aantal competenties voor identiteits- en toegangsbeheer die veiligheid en comfort in evenwicht houden:

Risicogebaseerde multi-factor authenticatie

Het geschikte authenticatieniveau is gebaseerd op de impact van onbevoegde toegang tot de applicatie en gegevens en het huidige risico wat met het toegangsverzoek verbonden is. Gebruikers moeten zich alleen meer inspannen als het risico hoog is.

Flexibele en moderne authenticatiemogelijkheden

Organisaties kunnen beleid ontwikkelen dat aan de klassieke veiligheidsbehoeften voldoet, gericht is op verschillende soorten gebruikers en dat in een verscheidenheid aan moderne, mobiele authenticatiemogelijkheden voorziet. Voorbeelden daarvan zijn push-berichten, biometrische authenticatie zoals vingerafdruk- of gezichtscontrole, eenmalige wachtwoordcode met gebruikmaking van mobiele, hard- en software tokens en sms.

Een ander belangrijk punt om over na te denken is om de organisatie bij toegangsbeslissingen te betrekken. Want uiteindelijk zijn zij degenen die toegang tot bepaalde informatie zouden moeten hebben om hun werk te doen.

De belangrijkste competenties om bedrijfsmatige toegangsbeslissingen mogelijk te maken, zijn:

  • Het ondersteunen van de organisatie door adequate autorisatie, gedreven door bedrijfsbehoeften
  • Zorgen voor een eenduidig beeld van de gebruiker in de verschillende identiteitsopslag-locaties (on-premises en in de cloud) om holistische beslissingen mogelijk te maken.
  • Zorgen voor risicogebaseerde toegangscertificaten om prioriteiten te kunnen stellen in de acties op toegangsschending op basis van de grootste impact op de bedrijfsactiviteiten, zodat de organisatie actie kan ondernemen op datgene wat het belangrijkste is.
  • Zorgen dat gebruikers informatie voor het certificeren van toegangsbeoordelingen makkelijk kunnen begrijpen en er actie op kunnen ondernemen, om het risico van fouten te verkleinen en te voorkomen dat er klakkeloos goedkeuring wordt verleend.
  • Voorzien van rapportagemogelijkheden om te voldoen aan de conformiteitseisen

Tenslotte, het delen van informatie onder de technologieën voor naleving binnen de hele organisatie kan van grote waarde zijn, buiten het bereiken van conformiteit. Wanneer het GRC-team (GRC = Governance, Risk Management and Compliance) het totale risiconiveau en de gevoelige gegevensbestanden beoordeeld, kunnen ze gebruik maken van de informatie van de hulpmiddelen voor identiteits- en toegangsbeheer (zoals het aantal zwevende accounts van een applicatie of gevallen van overbodige toegang) bij het nemen van beslissingen over het verhogen van het risiconiveau en het ondernemen van actie. Op dezelfde manier kan het identiteitsteam profiteren van informatie die door GRC-hulpmiddelen wordt geleverd over het kritieke karakter van de applicatie classificatie van gegevens, die kunnen worden gebruikt binnen de context van certificeringsbeoordelingen en beslissingen inzake toegangsbeleid.

Beveiligen begint bij de voordeur

Een sterk, uitgebreid identiteits- en toegangsbeheerprogramma is een belangrijk hulpmiddel voor het behalen van de doelstelling om persoonsgegevens te beschermen—beginnend bij de voordeur.

Wat betreft AVG is het belangrijk om toegang tot persoonsgegevens te controleren. In dit e-book leggen we meer uit over hoe u persoonsgegevens kunt beschermen via Next-Generation Authentication.