Privacyreglement en rechtenplan voor sleutelbeheer
Bij sleutelbeheer wordt vaak precies vastgelegd wie op welk moment toegang heeft gehad tot welke ruimte. Dat betekent dat er persoonsgegevens worden verwerkt, en dat de AVG van toepassing is. Om aan de wet te voldoen, moet je vastleggen waarom je deze gegevens registreert, hoe lang je ze bewaart, en wie er toegang heeft tot de informatie.
AVG & DPIA
Volgens artikel 5 van de AVG moet je werken met doelbinding en gegevensminimalisatie: je registreert alleen wat nodig is en niet langer dan noodzakelijk. Artikel 32 vereist bovendien passende beveiligingsmaatregelen. Bij structurele logging van medewerkers of bezoekers is een DPIA (Data Protection Impact Assessment) verplicht.
Privacyreglement opstellen in 6 onderdelen
Een compleet privacyreglement bevat:
- De verwerkingsgrondslag (bijv. gerechtvaardigd belang).
- De bewaartermijn van sleutel-logs (meestal 90 dagen).
- Procedures voor inzage-, correctie- en verwijderverzoeken.
- Een overzicht van wie toegang heeft tot de gegevens.
- Een lijst van eventuele subverwerkers.
- De contactpersoon voor privacyvragen.
Rechtenplan & rol-scheiding
Een rechtenplan voorkomt dat één persoon teveel macht krijgt in het sleutelbeheerproces.
- Beveiliging: mag logbestanden inzien.
- Facilitair: geeft sleutels uit en registreert de uitgifte.
- HR: beheert persoonsgegevens en autorisaties.
Door rollen te scheiden voldoe je aan de eisen van ISO 27001 en beperk je het risico op fouten of misbruik.
Audit & logging voor ISO 27001
Maandelijkse rapportages tonen afwijkingen en helpen bij interne audits. Bij incidenten kan het systeem versleutelde logbestanden exporteren met een hash-checksum, zodat de integriteit van het bewijs vaststaat.
Op zoek naar sleutelbeheer?
FAQ
Is een DPIA verplicht voor sleutelbeheer?
Hoelang mag ik sleutel-logs bewaren?