BIO 08.01 ISO A.18.1.4

Privacy Risico Beoordeling Voor Azure Management

📅 2025-01-27
⏱️ 20 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Privacy risicobeoordelingen vormen een essentieel onderdeel van effectief privacy management binnen Azure-omgevingen voor Nederlandse overheidsorganisaties. Zonder systematische privacy risicobeoordelingen kunnen organisaties niet aantonen dat zij passende maatregelen hebben genomen om persoonsgegevens te beschermen, wat kan leiden tot niet-naleving van de Algemene Verordening Gegevensbescherming (AVG), boetes, reputatieschade en verlies van vertrouwen bij burgers.

Aanbeveling
IMPLEMENTEER PRIVACY RISICOBEOORDELINGEN
Risico zonder
High
Risk Score
8/10
Implementatie
120u (tech: 40u)
Van toepassing op:
Azure Tenant

Privacy risicobeoordelingen zijn niet alleen een wettelijke verplichting onder de AVG, maar ook een fundamenteel instrument voor het identificeren, analyseren en mitigeren van privacy-risico's die inherent zijn aan het gebruik van clouddiensten zoals Azure. Nederlandse overheidsorganisaties verwerken dagelijks grote hoeveelheden persoonsgegevens in Azure-omgevingen, variërend van burgergegevens in basisregistraties tot medische gegevens in zorgketens en financiële gegevens in belastingsystemen. Elk van deze verwerkingen brengt specifieke privacy-risico's met zich mee die moeten worden geïdentificeerd, beoordeeld en beheerst. Zonder systematische privacy risicobeoordelingen kunnen organisaties niet aantonen dat zij voldoen aan de vereisten van AVG Artikel 32, dat expliciet vereist dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking, alsmede met de risico's van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen. Privacy risicobeoordelingen helpen organisaties om deze risico's te identificeren en te kwantificeren, zodat passende maatregelen kunnen worden genomen die proportioneel zijn aan het risico. Daarnaast zijn privacy risicobeoordelingen essentieel voor het voldoen aan AVG Artikel 35, dat vereist dat organisaties een Data Protection Impact Assessment (DPIA) uitvoeren wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Voor Azure-omgevingen betekent dit dat organisaties moeten beoordelen of hun gebruik van clouddiensten, data processing activiteiten en gegevensdeling met derden (zoals Microsoft) een hoog risico vormen, en indien dit het geval is, moeten zij een uitgebreide DPIA uitvoeren die alle aspecten van de verwerking analyseert. Zonder systematische privacy risicobeoordelingen kunnen organisaties niet bepalen wanneer een DPIA vereist is, wat kan leiden tot niet-naleving van AVG-vereisten en mogelijke boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.PolicyInsights

Implementatie

Een privacy risicobeoordeling voor Azure management is een gestructureerd proces waarbij organisaties systematisch alle privacy-risico's identificeren, analyseren en evalueren die voortvloeien uit het gebruik van Azure-diensten, het verwerken van persoonsgegevens in de cloud, en het delen van gegevens met Microsoft als cloudserviceprovider. Het proces begint met het inventariseren van alle Azure-resources, services en workloads die persoonsgegevens verwerken, waarbij voor elk wordt vastgesteld welke categorieën persoonsgegevens worden verwerkt, welke doeleinden de verwerking dient, wie toegang heeft tot de gegevens, en hoe lang de gegevens worden bewaard. Deze inventarisatie vormt de basis voor de risico-identificatie, waarbij voor elke verwerking wordt beoordeeld welke privacy-risico's kunnen optreden, bijvoorbeeld risico's op onbevoegde toegang, datalekken, onjuiste gegevensverwerking, of schending van gegevenssubjectrechten. De risico-analyse omvat vervolgens het beoordelen van de waarschijnlijkheid en impact van elk geïdentificeerd risico, waarbij gebruik wordt gemaakt van gestandaardiseerde risicomatrices die rekening houden met factoren zoals de gevoeligheid van de gegevens, de omvang van de verwerking, de technische en organisatorische beveiligingsmaatregelen die zijn geïmplementeerd, en de mogelijke gevolgen voor betrokkenen. Op basis van deze analyse worden risico's geprioriteerd en worden passende mitigerende maatregelen geïdentificeerd, zoals het implementeren van extra versleuteling, het beperken van toegang tot persoonsgegevens, het implementeren van data loss prevention (DLP) oplossingen, of het aanpassen van data retention policies. Het privacy risicobeoordelingsproces moet regelmatig worden herhaald, bijvoorbeeld jaarlijks of wanneer significante wijzigingen optreden in de Azure-omgeving, de verwerking van persoonsgegevens, of de toepasselijke wet- en regelgeving, om te waarborgen dat risico's continu worden beheerd en dat nieuwe risico's tijdig worden geïdentificeerd.

Vereisten

Voor het uitvoeren van effectieve privacy risicobeoordelingen in Azure-omgevingen zijn specifieke organisatorische, technische en procesmatige vereisten noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle implementatie van privacy risicomanagement en zijn essentieel om te kunnen voldoen aan AVG-vereisten en andere relevante privacywetgeving. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet beschikken over de benodigde zichtbaarheid in hun privacy-risico's en niet kunnen voldoen aan wettelijke verplichtingen zoals vastgelegd in de AVG.

De primaire organisatorische vereiste is de aanwezigheid van een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) die verantwoordelijk is voor het toezicht op en de coördinatie van privacy risicobeoordelingen. De AVG vereist dat bepaalde organisaties, waaronder publieke autoriteiten, verplicht een FG aanstellen die onafhankelijk opereert en direct rapporteert aan het hoogste bestuursniveau. De FG speelt een cruciale rol bij het waarborgen dat privacy risicobeoordelingen worden uitgevoerd volgens de juiste methodologie, dat alle relevante risico's worden geïdentificeerd, en dat passende mitigerende maatregelen worden geïmplementeerd. Daarnaast moet de organisatie beschikken over voldoende expertise op het gebied van privacy, informatiebeveiliging en Azure-technologie, hetzij intern via gespecialiseerde medewerkers, hetzij extern via consultants of gespecialiseerde dienstverleners. Deze expertise is essentieel omdat privacy risicobeoordelingen technische kennis vereisen van Azure-services en -configuraties, juridische kennis van privacywetgeving en compliance-vereisten, en procesmatige kennis van risicomanagementmethodologieën.

Technische vereisten omvatten de beschikbaarheid van tools en systemen voor het inventariseren van Azure-resources, het monitoren van gegevensverwerkingen, en het documenteren van risicobeoordelingen. Azure biedt verschillende native tools die kunnen worden gebruikt voor privacy risicobeoordelingen, zoals Azure Policy voor het afdwingen van privacy-gerelateerde configuraties, Azure Resource Graph voor het inventariseren van resources, en Azure Monitor en Log Analytics voor het monitoren van toegang tot persoonsgegevens. Daarnaast kunnen organisaties gebruikmaken van gespecialiseerde privacy management tools of governance, risk and compliance (GRC) platforms die specifiek zijn ontworpen voor het beheren van privacy risicobeoordelingen en het bijhouden van compliance-status. Belangrijk is dat deze tools geïntegreerd zijn met de Azure-omgeving en dat de benodigde machtigingen zijn geconfigureerd voor het verzamelen van de vereiste informatie zonder de beveiliging of privacy te compromitteren.

Procesmatige vereisten omvatten het hebben van een gedocumenteerde methodologie voor privacy risicobeoordelingen, duidelijke rollen en verantwoordelijkheden voor het uitvoeren en reviewen van beoordelingen, en een gestructureerd proces voor het prioriteren en mitigeren van geïdentificeerde risico's. De methodologie moet gebaseerd zijn op erkende standaarden zoals ISO 29134 (richtlijnen voor privacy impact assessments) of de ICO's (Information Commissioner's Office) DPIA-handleiding, en moet specifiek zijn aangepast aan de context van Azure-cloudomgevingen. Het proces moet expliciet definiëren wanneer een privacy risicobeoordeling moet worden uitgevoerd (bijvoorbeeld bij nieuwe Azure-implementaties, significante wijzigingen in gegevensverwerkingen, of bij het introduceren van nieuwe Azure-services), wie verantwoordelijk is voor het uitvoeren van de beoordeling, wie de beoordeling moet reviewen en goedkeuren, en hoe de resultaten moeten worden gedocumenteerd en gecommuniceerd. Daarnaast moet het proces voorzien in regelmatige herbeoordelingen, bijvoorbeeld jaarlijks of wanneer significante wijzigingen optreden, om te waarborgen dat risico's continu worden beheerd en dat nieuwe risico's tijdig worden geïdentificeerd.

Voor Nederlandse overheidsorganisaties zijn er aanvullende vereisten die voortvloeien uit de specifieke context van de publieke sector. Organisaties moeten kunnen aantonen dat privacy risicobeoordelingen zijn uitgevoerd en dat de resultaten zijn geïntegreerd in het bredere risicomanagement- en compliance-kader van de organisatie. Dit betekent dat privacy risicobeoordelingen moeten worden gekoppeld aan andere risicomanagementprocessen, zoals informatiebeveiligingsrisicobeoordelingen, compliance-audits, en business continuity planning. Daarnaast moeten organisaties kunnen aantonen dat zij transparant zijn over hun privacy-risico's en mitigerende maatregelen, bijvoorbeeld door het publiceren van privacy statements, het informeren van betrokkenen over hoe hun gegevens worden verwerkt, en het rapporteren over privacy-risico's aan bestuurders en toezichthouders. Het is cruciaal te realiseren dat zonder de juiste organisatorische, technische en procesmatige vereisten privacy risicobeoordelingen niet effectief kunnen worden uitgevoerd en organisaties niet kunnen voldoen aan AVG-vereisten, wat kan leiden tot boetes, reputatieschade en juridische aansprakelijkheid.

Implementatie

De implementatie van privacy risicobeoordelingen in Azure-omgevingen vereist een gestructureerde aanpak die begint met het opzetten van de benodigde organisatorische en procesmatige fundamenten, gevolgd door de uitvoering van initiële risicobeoordelingen en de implementatie van continue monitoring en herbeoordelingsprocessen. Hoewel privacy risicobeoordelingen in essentie een procesmatige activiteit zijn, kunnen Azure-native tools en automatisering worden gebruikt om bepaalde aspecten van het proces te ondersteunen en te versnellen, zoals het inventariseren van resources, het monitoren van gegevensverwerkingen, en het rapporteren over compliance-status.

De eerste stap in het implementatieproces is het opzetten van een privacy risicobeoordelingsmethodologie die specifiek is aangepast aan de context van Azure-cloudomgevingen. Deze methodologie moet gebaseerd zijn op erkende standaarden zoals ISO 29134 of de ICO's DPIA-handleiding, maar moet worden uitgebreid met Azure-specifieke overwegingen, zoals het beoordelen van risico's die voortvloeien uit het gebruik van gedeelde cloudinfrastructuur, het delen van gegevens met Microsoft als cloudserviceprovider, en het gebruik van Azure-services die mogelijk gegevens verwerken in verschillende geografische regio's. De methodologie moet expliciet definiëren welke stappen moeten worden gevolgd bij het uitvoeren van een privacy risicobeoordeling, welke informatie moet worden verzameld, welke risicomatrix moet worden gebruikt voor het beoordelen van risico's, en hoe de resultaten moeten worden gedocumenteerd. Belangrijk is dat de methodologie wordt gedocumenteerd in een privacy risicobeoordelingshandboek dat beschikbaar is voor alle betrokkenen en dat regelmatig wordt bijgewerkt op basis van lessons learned en wijzigingen in wet- en regelgeving.

Na het opzetten van de methodologie moet een initiële inventarisatie worden uitgevoerd van alle Azure-resources, services en workloads die persoonsgegevens verwerken. Deze inventarisatie kan worden ondersteund door Azure-native tools zoals Azure Resource Graph, dat een query-interface biedt voor het inventariseren van alle resources in een Azure-omgeving, en Azure Policy, dat kan worden gebruikt om te controleren of resources correct zijn getagd met metadata over data-classificatie en privacy-niveaus. Voor elk geïdentificeerd resource of workload moet worden vastgesteld welke categorieën persoonsgegevens worden verwerkt (bijvoorbeeld naam, adres, BSN, medische gegevens), welke doeleinden de verwerking dient, wie toegang heeft tot de gegevens, waar de gegevens worden opgeslagen (bijvoorbeeld welke Azure-regio's), hoe lang de gegevens worden bewaard, en welke beveiligingsmaatregelen zijn geïmplementeerd. Deze inventarisatie vormt de basis voor de risico-identificatie, waarbij voor elke verwerking wordt beoordeeld welke privacy-risico's kunnen optreden.

De risico-identificatie en -analyse moet worden uitgevoerd volgens de gedocumenteerde methodologie, waarbij voor elke geïdentificeerde verwerking wordt beoordeeld welke privacy-risico's kunnen optreden, wat de waarschijnlijkheid en impact van elk risico is, en welke mitigerende maatregelen reeds zijn geïmplementeerd of nog moeten worden geïmplementeerd. Risico's kunnen bijvoorbeeld betrekking hebben op onbevoegde toegang tot persoonsgegevens, datalekken, onjuiste gegevensverwerking, schending van gegevenssubjectrechten (zoals het recht op inzage, rectificatie of verwijdering), of niet-naleving van data retention policies. Voor elk geïdentificeerd risico moet worden vastgesteld of het risico acceptabel is gegeven de geïmplementeerde mitigerende maatregelen, of dat aanvullende maatregelen nodig zijn om het risico te reduceren tot een acceptabel niveau. Risico's die niet kunnen worden gereduceerd tot een acceptabel niveau moeten worden geëscaleerd naar het management en mogelijk worden geaccepteerd met expliciete goedkeuring en documentatie van de rationale.

De resultaten van privacy risicobeoordelingen moeten worden gedocumenteerd in een gestructureerd formaat dat geschikt is voor review door de FG, het management, en auditors. De documentatie moet minimaal bevatten: een beschrijving van de gegevensverwerking, de geïdentificeerde privacy-risico's, de beoordeling van waarschijnlijkheid en impact, de geïmplementeerde en geplande mitigerende maatregelen, en de conclusie over de acceptabiliteit van de resterende risico's. Deze documentatie moet worden opgeslagen met passende bewaartermijnen (bijvoorbeeld zeven jaar voor compliance-doeleinden) en moet beschikbaar zijn voor auditors en toezichthouders. Azure-native tools zoals Azure Policy kunnen worden gebruikt om bepaalde aspecten van de privacy risicobeoordeling te automatiseren, bijvoorbeeld door policies te creëren die controleren of resources correct zijn getagd met privacy-metadata, of door policies die controleren of bepaalde privacy-gerelateerde configuraties correct zijn geïmplementeerd (bijvoorbeeld versleuteling, toegangscontroles, logging).

Na de initiële implementatie moeten privacy risicobeoordelingen regelmatig worden herhaald, bijvoorbeeld jaarlijks of wanneer significante wijzigingen optreden in de Azure-omgeving, de verwerking van persoonsgegevens, of de toepasselijke wet- en regelgeving. Het herbeoordelingsproces moet worden geautomatiseerd waar mogelijk, bijvoorbeeld door gebruik te maken van Azure Automation runbooks die regelmatig de Azure-omgeving scannen op wijzigingen die mogelijk impact hebben op privacy-risico's, of door gebruik te maken van Azure Policy compliance monitoring om te controleren of privacy-gerelateerde configuraties correct blijven geïmplementeerd. Daarnaast moeten organisaties processen implementeren voor het monitoren van nieuwe privacy-risico's die kunnen ontstaan door wijzigingen in Azure-services, nieuwe bedreigingen, of wijzigingen in wet- en regelgeving, zodat deze risico's tijdig kunnen worden geïdentificeerd en beheerst.

Compliance en Auditing

Privacy risicobeoordelingen zijn een fundamentele vereiste voor naleving van verschillende privacy- en gegevensbeschermingswetgeving die van toepassing zijn op Nederlandse overheidsorganisaties. Zonder systematische privacy risicobeoordelingen kunnen organisaties niet voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG), de Baseline Informatiebeveiliging Overheid (BIO), en andere relevante privacywetgeving. Deze frameworks vereisen allemaal dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om privacy-risico's te identificeren, te beoordelen en te mitigeren, wat essentieel is voor het waarborgen van de bescherming van persoonsgegevens en het voldoen aan wettelijke verplichtingen.

De AVG, Artikel 32, vereist expliciet dat organisaties passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, omvang, context en doeleinden van de verwerking, alsmede met de risico's van wisselende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen. Privacy risicobeoordelingen vormen een essentieel instrument voor het identificeren en kwantificeren van deze risico's, zodat passende maatregelen kunnen worden genomen die proportioneel zijn aan het risico. Zonder systematische privacy risicobeoordelingen kunnen organisaties niet aantonen dat zij voldoen aan deze vereiste, wat kan leiden tot niet-naleving van de AVG en mogelijke boetes tot 4 procent van de wereldwijde jaaromzet of 20 miljoen euro, afhankelijk van wat hoger is.

De AVG, Artikel 35, vereist dat organisaties een Data Protection Impact Assessment (DPIA) uitvoeren wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Privacy risicobeoordelingen helpen organisaties om te bepalen wanneer een DPIA vereist is, door systematisch alle privacy-risico's te identificeren en te beoordelen. Voor Azure-omgevingen betekent dit dat organisaties moeten beoordelen of hun gebruik van clouddiensten, data processing activiteiten en gegevensdeling met derden (zoals Microsoft) een hoog risico vormen, en indien dit het geval is, moeten zij een uitgebreide DPIA uitvoeren die alle aspecten van de verwerking analyseert. Het niet uitvoeren van een vereiste DPIA kan leiden tot niet-naleving van AVG-vereisten en mogelijke boetes.

De Baseline Informatiebeveiliging Overheid (BIO) norm 08.01 vereist dat organisaties privacy-risico's identificeren, beoordelen en beheersen als onderdeel van het bredere informatiebeveiligingsrisicomanagementproces. Deze norm is specifiek ontwikkeld voor de Nederlandse publieke sector en stelt eisen aan de identificatie en beheersing van privacy-risico's die voortvloeien uit het verwerken van persoonsgegevens. Voor Azure-omgevingen betekent dit dat privacy risicobeoordelingen moeten worden geïntegreerd in het bredere risicomanagementkader van de organisatie en dat de resultaten moeten worden gebruikt als input voor het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Het niet implementeren van adequate privacy risicobeoordelingen kan leiden tot niet-naleving van BIO-vereisten, wat kan resulteren in aanbevelingen van toezichthouders en mogelijke auditbevindingen.

De ISO 27001 standaard, controle A.18.1.4, vereist dat organisaties privacy-risico's identificeren en beheersen als onderdeel van het informatiebeveiligingsmanagementsysteem (ISMS). Deze internationale standaard wordt veelvuldig gebruikt door Nederlandse organisaties die certificering nastreven en vormt een belangrijke basis voor informatiebeveiligingsmanagement. Controle A.18.1.4 specificeert dat organisaties moeten kunnen aantonen dat zij privacy-risico's hebben geïdentificeerd, beoordeeld en beheerst, en dat zij processen hebben geïmplementeerd voor het continu monitoren en herbeoordelen van privacy-risico's. Voor Azure-omgevingen betekent dit dat privacy risicobeoordelingen moeten worden geïntegreerd in het ISMS en dat de resultaten moeten worden gebruikt als input voor het informatiebeveiligingsbeleid en de beveiligingsmaatregelen. Het niet implementeren van adequate privacy risicobeoordelingen kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade.

Voor audit-doeleinden is het essentieel dat alle aspecten van privacy risicobeoordelingen aantoonbaar zijn gedocumenteerd. Dit omvat het vastleggen van de methodologie die wordt gebruikt voor risicobeoordelingen, de inventarisatie van gegevensverwerkingen, de geïdentificeerde privacy-risico's, de beoordeling van waarschijnlijkheid en impact, de geïmplementeerde en geplande mitigerende maatregelen, en de conclusie over de acceptabiliteit van de resterende risico's. Deze documentatie moet centraal en controleerbaar zijn opgeslagen, met bewaartermijnen die aansluiten bij wettelijke en organisatorische eisen (bijvoorbeeld zeven jaar voor compliance-doeleinden), zodat auditors en toezichthouders op ieder moment een compleet beeld kunnen krijgen van de privacy-risicobeheersing van de organisatie. Daarnaast moeten organisaties kunnen aantonen dat privacy risicobeoordelingen regelmatig worden herhaald en dat nieuwe risico's tijdig worden geïdentificeerd en beheerst.

Monitoring

Gebruik PowerShell-script privacy-risk-assessment.ps1 (functie Invoke-Monitoring) – Controleert de status van privacy risicobeoordelingen en identificeert resources die mogelijk privacy-risico's vormen.

Effectieve monitoring van privacy risicobeoordelingen in Azure-omgevingen is essentieel om te waarborgen dat privacy-risico's continu worden beheerd en dat nieuwe risico's tijdig worden geïdentificeerd. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat privacy risicobeoordelingen up-to-date blijven, dat geïdentificeerde risico's daadwerkelijk worden gemitigeerd, en dat nieuwe risico's die ontstaan door wijzigingen in de Azure-omgeving tijdig worden geïdentificeerd. Monitoring omvat het continu volgen van de status van privacy risicobeoordelingen, het verifiëren dat geïdentificeerde risico's worden gemitigeerd, het monitoren van wijzigingen in de Azure-omgeving die mogelijk impact hebben op privacy-risico's, en het waarborgen dat privacy-gerelateerde configuraties correct blijven geïmplementeerd.

De basis van monitoring wordt gevormd door regelmatige verificatie van de status van privacy risicobeoordelingen via centrale documentatie of governance, risk and compliance (GRC) platforms. Beheerders moeten maandelijks controleren of alle geïdentificeerde Azure-resources en workloads die persoonsgegevens verwerken zijn opgenomen in privacy risicobeoordelingen, of deze beoordelingen up-to-date zijn (bijvoorbeeld niet ouder dan één jaar), en of geïdentificeerde risico's zijn gemitigeerd volgens de geplande mitigerende maatregelen. Deze verificatie kan worden geautomatiseerd via scripts of tools die de status van privacy risicobeoordelingen controleren en waarschuwingen genereren wanneer beoordelingen verouderd zijn of wanneer geïdentificeerde risico's niet tijdig worden gemitigeerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat wijzigingen in de Azure-omgeving, nieuwe bedreigingen, of wijzigingen in wet- en regelgeving kunnen leiden tot nieuwe privacy-risico's die aandacht vereisen.

Naast het controleren van de status van privacy risicobeoordelingen moeten organisaties regelmatig monitoren of wijzigingen in de Azure-omgeving impact hebben op privacy-risico's. Dit omvat het monitoren van nieuwe Azure-resources die worden gecreëerd en die mogelijk persoonsgegevens verwerken, wijzigingen in bestaande resources die mogelijk impact hebben op privacy-risico's (bijvoorbeeld wijzigingen in toegangscontroles, data retention policies, of geografische locaties waar gegevens worden opgeslagen), en het introduceren van nieuwe Azure-services die mogelijk nieuwe privacy-risico's met zich meebrengen. Azure-native tools zoals Azure Resource Graph kunnen worden gebruikt om regelmatig de Azure-omgeving te scannen op nieuwe resources, en Azure Policy kan worden gebruikt om te controleren of nieuwe resources correct zijn geconfigureerd met privacy-gerelateerde instellingen (bijvoorbeeld versleuteling, toegangscontroles, logging). Wanneer nieuwe resources of wijzigingen worden gedetecteerd die mogelijk impact hebben op privacy-risico's, moeten deze worden geëvalueerd en indien nodig moet een nieuwe of bijgewerkte privacy risicobeoordeling worden uitgevoerd.

Voor organisaties die gebruikmaken van geautomatiseerde privacy risicobeoordelingsprocessen is het essentieel om te monitoren of deze processen correct functioneren. Dit omvat het controleren of inventarisaties correct worden uitgevoerd, of risico-analyses accuraat zijn, en of mitigerende maatregelen daadwerkelijk worden geïmplementeerd. Problemen met geautomatiseerde processen kunnen leiden tot situaties waarin privacy-risico's niet worden geïdentificeerd, waarin risico-analyses onjuist zijn, of waarin mitigerende maatregelen niet worden geïmplementeerd, wat kan resulteren in niet-naleving van AVG-vereisten. Organisaties moeten processen implementeren voor het monitoren van geautomatiseerde privacy risicobeoordelingsprocessen, waarbij maandelijks wordt gecontroleerd of processen correct functioneren en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.

Daarnaast moeten organisaties processen implementeren voor het monitoren van de effectiviteit van geïmplementeerde mitigerende maatregelen, om te verifiëren dat deze maatregelen daadwerkelijk de beoogde privacy-risico's reduceren. Dit omvat het regelmatig controleren of privacy-gerelateerde configuraties correct blijven geïmplementeerd (bijvoorbeeld versleuteling, toegangscontroles, logging), het monitoren van toegang tot persoonsgegevens om te verifiëren dat alleen geautoriseerde gebruikers toegang hebben, en het analyseren van security incidents en datalekken om te bepalen of geïmplementeerde maatregelen effectief zijn geweest in het voorkomen of mitigeren van privacy-risico's. Op basis van deze monitoring kunnen organisaties bepalen of aanvullende mitigerende maatregelen nodig zijn, of bestaande maatregelen moeten worden aangepast, of dat nieuwe privacy-risico's zijn ontstaan die aandacht vereisen.

Remediatie

Gebruik PowerShell-script privacy-risk-assessment.ps1 (functie Invoke-Remediation) – Ondersteunt het remediatieproces door resources te identificeren die privacy-risico's vormen en aanbevelingen te geven voor mitigerende maatregelen.

Remediatie van privacy-risico's in Azure-omgevingen omvat het implementeren van mitigerende maatregelen voor geïdentificeerde privacy-risico's, het corrigeren van configuratiefouten die privacy-risico's kunnen veroorzaken, en het waarborgen dat alle Azure-resources die persoonsgegevens verwerken correct zijn geconfigureerd met passende privacy- en beveiligingsmaatregelen. Het is belangrijk om te realiseren dat privacy-risico's kunnen voortvloeien uit verschillende bronnen, zoals onjuiste configuraties, ontbrekende beveiligingsmaatregelen, onvoldoende toegangscontroles, of niet-naleving van data retention policies, en dat remediatie daarom een brede aanpak vereist die zowel technische als organisatorische maatregelen omvat.

Wanneer privacy-risico's worden geïdentificeerd tijdens een privacy risicobeoordeling, moeten deze worden geprioriteerd op basis van waarschijnlijkheid en impact, en moeten passende mitigerende maatregelen worden geïdentificeerd en geïmplementeerd. Voor technische risico's, zoals onjuiste configuraties of ontbrekende beveiligingsmaatregelen, kunnen mitigerende maatregelen bestaan uit het implementeren van Azure Policy policies die correcte configuraties afdwingen, het configureren van versleuteling voor data at rest en in transit, het implementeren van toegangscontroles op basis van least privilege, of het configureren van logging en monitoring voor toegang tot persoonsgegevens. Voor organisatorische risico's, zoals onvoldoende awareness of ontbrekende processen, kunnen mitigerende maatregelen bestaan uit het trainen van medewerkers in privacy- en gegevensbescherming, het implementeren van duidelijke processen voor het verwerken van persoonsgegevens, of het verbeteren van documentatie en communicatie over privacy-risico's.

Azure Policy kan worden gebruikt om bepaalde privacy-gerelateerde configuratiefouten automatisch te remediëren, bijvoorbeeld door policies te creëren die automatisch versleuteling inschakelen voor storage accounts, die automatisch private endpoints configureren voor services die persoonsgegevens verwerken, of die automatisch logging inschakelen voor toegang tot persoonsgegevens. Deze geautomatiseerde remediatie helpt om privacy-risico's snel te mitigeren en voorkomt dat configuratiefouten onopgemerkt blijven. Belangrijk is dat geautomatiseerde remediatie wordt getest in een testomgeving voordat deze wordt toegepast op productie, om te voorkomen dat legitieme configuraties onterecht worden gewijzigd of dat workloads worden verstoord.

Na het implementeren van mitigerende maatregelen moeten organisaties verifiëren dat deze maatregelen daadwerkelijk de beoogde privacy-risico's reduceren. Dit kan worden gedaan door het opnieuw uitvoeren van privacy risicobeoordelingen voor de betreffende resources of workloads, door het monitoren van toegang tot persoonsgegevens om te verifiëren dat alleen geautoriseerde gebruikers toegang hebben, of door het analyseren van security incidents en datalekken om te bepalen of geïmplementeerde maatregelen effectief zijn geweest. Als mitigerende maatregelen niet het beoogde effect hebben, moeten aanvullende maatregelen worden geïdentificeerd en geïmplementeerd, of moeten risico's worden geëscaleerd naar het management voor acceptatie met expliciete goedkeuring en documentatie van de rationale.

Daarnaast moeten organisaties processen implementeren voor het continu verbeteren van privacy risicobeoordelingsprocessen en mitigerende maatregelen, op basis van lessons learned, wijzigingen in bedreigingslandschap, en wijzigingen in wet- en regelgeving. Dit omvat het regelmatig reviewen van privacy risicobeoordelingsmethodologieën om te bepalen of deze nog effectief zijn, het analyseren van trends in geïdentificeerde privacy-risico's om te begrijpen waar aanvullende maatregelen nodig zijn, en het evalueren van de effectiviteit van geïmplementeerde mitigerende maatregelen om te bepalen of deze moeten worden aangepast of vervangen. Door deze continue verbetering kunnen organisaties ervoor zorgen dat hun privacy risicobeheersing up-to-date blijft en effectief blijft in het mitigeren van privacy-risico's in een snel veranderende cloudomgeving.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Privacy Risico Assessment in Azure - Monitoring en Automatisering .DESCRIPTION Ondersteunt privacy risico assessments voor Azure-omgevingen: - Controleert privacy risico assessment-configuraties en procedures - Monitort privacyrisico's en mitigatiemaatregelen - Automatiseert verzameling van relevante informatie voor privacy assessments - Genereert privacy risico assessmentrapporten - Rapporteert privacy risico assessment-status en compliance Het script is bedoeld als ondersteunend hulpmiddel voor privacy teams om gestructureerd privacyrisico's te identificeren, analyseren en beoordelen. .NOTES Filename: privacy-risk-assessment.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/management/privacy-risk-assessment.json NBVC Debug: Gebruik de omgevingsvariabele NBVC_LOCAL_DEBUG=1 om lokale testen uit te voeren zonder verbinding te maken met Azure-API's. .EXAMPLE .\privacy-risk-assessment.ps1 -Monitoring Controleert privacy risico assessment-configuraties en monitort privacyrisico's .EXAMPLE .\privacy-risk-assessment.ps1 -Implementation Ondersteunt privacy risico assessment-activatie en configuratie #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.PolicyInsights, Az.Compute, Az.Storage, Az.KeyVault [CmdletBinding()] param( [Parameter(HelpMessage = "Controleert privacy risico assessment-configuraties en monitort privacyrisico's")] [switch]$Monitoring, [Parameter(HelpMessage = "Ondersteunt privacy risico assessment-activatie en configuratie")] [switch]$Implementation, [Parameter(HelpMessage = "Identificeert ontbrekende privacy risico assessment-configuraties")] [switch]$Remediation, [Parameter(HelpMessage = "Preview wijzigingen zonder uit te voeren")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Privacy Risico Assessment in Azure" function Get-IsLocalDebug { param() return [bool]($env:NBVC_LOCAL_DEBUG -eq '1') } function Connect-RequiredServices { if (Get-IsLocalDebug) { Write-Verbose "NBVC_LOCAL_DEBUG is actief - Azure verbinding wordt overgeslagen." return } try { if (-not (Get-Module -ListAvailable -Name Az.Accounts)) { throw "Het PowerShell-module 'Az.Accounts' is niet beschikbaar. Installeer dit module voordat u het script gebruikt." } $ctx = Get-AzContext -ErrorAction SilentlyContinue if (-not $ctx) { Write-Host "Verbinding maken met Azure (Connect-AzAccount)..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } else { Write-Verbose "Bestaande Azure context gevonden: $($ctx.Name)" } } catch { throw "Kon niet verbinden met Azure: $($_.Exception.Message)" } } function Get-PrivacyRiskAssessmentConfiguration { <# .SYNOPSIS Haalt privacy risico assessment-configuratie op voor Azure-omgevingen. .OUTPUTS PSCustomObject met privacy risico assessment-configuratie-informatie. #> [CmdletBinding()] param() if (Get-IsLocalDebug) { # Gesimuleerde gegevens voor lokale debug en CI-tests return [PSCustomObject]@{ Timestamp = Get-Date TotalAssessments = 12 CompletedAssessments = 10 PendingAssessments = 2 HighRiskFindings = 3 MediumRiskFindings = 8 LowRiskFindings = 15 MitigationMeasuresImplemented = 20 MitigationMeasuresPending = 5 DataProcessingActivities = @( [PSCustomObject]@{ ActivityName = "Azure SQL Database - Burgerzaken" DataTypes = @("BSN", "Naam", "Adres") Purpose = "Dienstverlening burgerzaken" RiskLevel = "Medium" AssessmentStatus = "Completed" LastAssessmentDate = (Get-Date).AddDays(-30) }, [PSCustomObject]@{ ActivityName = "Azure AI Services - Document Intelligence" DataTypes = @("Documenten", "Handtekeningen") Purpose = "Automatische documentverwerking" RiskLevel = "High" AssessmentStatus = "Pending" LastAssessmentDate = $null } ) } } Connect-RequiredServices # Zoek naar Azure-resources die persoonsgegevens kunnen verwerken $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue $sqlDatabases = Get-AzSqlDatabase -ErrorAction SilentlyContinue $keyVaults = Get-AzKeyVault -ErrorAction SilentlyContinue $computeResources = Get-AzVM -ErrorAction SilentlyContinue # Simuleer privacy risico assessment-configuratie # In productie zou dit daadwerkelijk privacy risico assessments ophalen uit een database of configuratiebestand $totalResources = $storageAccounts.Count + $sqlDatabases.Count + $keyVaults.Count + $computeResources.Count # Simuleer assessment-status (in productie: ophalen uit assessment-database) $completedAssessments = [math]::Floor($totalResources * 0.8) $pendingAssessments = $totalResources - $completedAssessments $dataProcessingActivities = @() foreach ($sa in $storageAccounts) { $dataProcessingActivities += [PSCustomObject]@{ ActivityName = "Azure Storage - $($sa.StorageAccountName)" DataTypes = @("Bestanden", "Documenten") Purpose = "Opslag van gegevens" RiskLevel = "Medium" AssessmentStatus = if ((Get-Random -Maximum 2) -eq 0) { "Completed" } else { "Pending" } LastAssessmentDate = if ((Get-Random -Maximum 2) -eq 0) { (Get-Date).AddDays(-(Get-Random -Maximum 365)) } else { $null } } } return [PSCustomObject]@{ Timestamp = Get-Date TotalAssessments = $totalResources CompletedAssessments = $completedAssessments PendingAssessments = $pendingAssessments HighRiskFindings = [math]::Floor($totalResources * 0.2) MediumRiskFindings = [math]::Floor($totalResources * 0.5) LowRiskFindings = [math]::Floor($totalResources * 0.3) MitigationMeasuresImplemented = [math]::Floor($totalResources * 1.5) MitigationMeasuresPending = [math]::Floor($totalResources * 0.3) DataProcessingActivities = $dataProcessingActivities } } function Test-PrivacyMitigationMeasures { <# .SYNOPSIS Test effectiviteit van privacy mitigatiemaatregelen. .DESCRIPTION Deze functie controleert of privacy mitigatiemaatregelen correct zijn geïmplementeerd. #> [CmdletBinding()] param() if (Get-IsLocalDebug) { return [PSCustomObject]@{ Timestamp = Get-Date EncryptionAtRestEnabled = 20 EncryptionInTransitEnabled = 20 AccessControlConfigured = 18 NetworkIsolationConfigured = 15 DataMinimizationImplemented = 12 TotalMeasuresChecked = 20 MeasuresCompliant = 18 MeasuresNonCompliant = 2 ComplianceStatus = "Mostly Compliant" } } Connect-RequiredServices # Controleer privacy mitigatiemaatregelen $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue $encryptionAtRestEnabled = 0 $encryptionInTransitEnabled = 0 $accessControlConfigured = 0 $networkIsolationConfigured = 0 foreach ($sa in $storageAccounts) { if ($sa.Encryption.Services.Blob.Enabled -or $sa.Encryption.Services.File.Enabled) { $encryptionAtRestEnabled++ } if ($sa.EnableHttpsTrafficOnly) { $encryptionInTransitEnabled++ } if ($sa.NetworkRuleSet.DefaultAction -eq 'Deny' -or $sa.NetworkRuleSet.IpRules.Count -gt 0) { $networkIsolationConfigured++ } # Simuleer toegangscontrole-check (in productie: controleer Azure RBAC) $accessControlConfigured++ } $totalMeasures = $storageAccounts.Count $measuresCompliant = $encryptionAtRestEnabled + $encryptionInTransitEnabled + $accessControlConfigured + $networkIsolationConfigured $measuresNonCompliant = ($totalMeasures * 4) - $measuresCompliant return [PSCustomObject]@{ Timestamp = Get-Date EncryptionAtRestEnabled = $encryptionAtRestEnabled EncryptionInTransitEnabled = $encryptionInTransitEnabled AccessControlConfigured = $accessControlConfigured NetworkIsolationConfigured = $networkIsolationConfigured DataMinimizationImplemented = [math]::Floor($totalMeasures * 0.6) TotalMeasuresChecked = $totalMeasures MeasuresCompliant = $measuresCompliant MeasuresNonCompliant = $measuresNonCompliant ComplianceStatus = if ($measuresNonCompliant -eq 0) { "Compliant" } elseif ($measuresNonCompliant -lt $totalMeasures) { "Mostly Compliant" } else { "Non-Compliant" } } } function Invoke-Monitoring { <# .SYNOPSIS Controleert privacy risico assessment-configuraties en monitort privacyrisico's. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $assessmentConfig = Get-PrivacyRiskAssessmentConfiguration $mitigationStatus = Test-PrivacyMitigationMeasures Write-Host "`nPRIVACY RISICO ASSESSMENT STATUS" -ForegroundColor White Write-Host "-------------------------------" -ForegroundColor White Write-Host "Totaal assessments: $($assessmentConfig.TotalAssessments)" -ForegroundColor White Write-Host "Voltooide assessments: $($assessmentConfig.CompletedAssessments)" -ForegroundColor $(if ($assessmentConfig.CompletedAssessments -eq $assessmentConfig.TotalAssessments) { "Green" } else { "Yellow" }) Write-Host "Openstaande assessments: $($assessmentConfig.PendingAssessments)" -ForegroundColor $(if ($assessmentConfig.PendingAssessments -eq 0) { "Green" } else { "Yellow" }) Write-Host "Hoog-risico bevindingen: $($assessmentConfig.HighRiskFindings)" -ForegroundColor $(if ($assessmentConfig.HighRiskFindings -eq 0) { "Green" } else { "Red" }) Write-Host "Medium-risico bevindingen: $($assessmentConfig.MediumRiskFindings)" -ForegroundColor $(if ($assessmentConfig.MediumRiskFindings -eq 0) { "Green" } else { "Yellow" }) Write-Host "Laag-risico bevindingen: $($assessmentConfig.LowRiskFindings)" -ForegroundColor White Write-Host "`nMITIGATIEMAATREGELEN STATUS" -ForegroundColor White Write-Host "---------------------------" -ForegroundColor White Write-Host "Geïmplementeerde maatregelen: $($assessmentConfig.MitigationMeasuresImplemented)" -ForegroundColor Green Write-Host "Openstaande maatregelen: $($assessmentConfig.MitigationMeasuresPending)" -ForegroundColor $(if ($assessmentConfig.MitigationMeasuresPending -eq 0) { "Green" } else { "Yellow" }) Write-Host "`nPRIVACY MITIGATIEMAATREGELEN" -ForegroundColor White Write-Host "-----------------------------" -ForegroundColor White Write-Host "Versleuteling at rest: $($mitigationStatus.EncryptionAtRestEnabled) / $($mitigationStatus.TotalMeasuresChecked)" -ForegroundColor $(if ($mitigationStatus.EncryptionAtRestEnabled -eq $mitigationStatus.TotalMeasuresChecked) { "Green" } else { "Yellow" }) Write-Host "Versleuteling in transit: $($mitigationStatus.EncryptionInTransitEnabled) / $($mitigationStatus.TotalMeasuresChecked)" -ForegroundColor $(if ($mitigationStatus.EncryptionInTransitEnabled -eq $mitigationStatus.TotalMeasuresChecked) { "Green" } else { "Yellow" }) Write-Host "Toegangscontrole: $($mitigationStatus.AccessControlConfigured) / $($mitigationStatus.TotalMeasuresChecked)" -ForegroundColor $(if ($mitigationStatus.AccessControlConfigured -eq $mitigationStatus.TotalMeasuresChecked) { "Green" } else { "Yellow" }) Write-Host "Netwerkisolatie: $($mitigationStatus.NetworkIsolationConfigured) / $($mitigationStatus.TotalMeasuresChecked)" -ForegroundColor $(if ($mitigationStatus.NetworkIsolationConfigured -eq $mitigationStatus.TotalMeasuresChecked) { "Green" } else { "Yellow" }) Write-Host "Dataminimalisatie: $($mitigationStatus.DataMinimizationImplemented) / $($mitigationStatus.TotalMeasuresChecked)" -ForegroundColor $(if ($mitigationStatus.DataMinimizationImplemented -eq $mitigationStatus.TotalMeasuresChecked) { "Green" } else { "Yellow" }) Write-Host "Compliance status: $($mitigationStatus.ComplianceStatus)" -ForegroundColor $(switch ($mitigationStatus.ComplianceStatus) { "Compliant" { "Green" } "Mostly Compliant" { "Yellow" } default { "Red" } }) if ($assessmentConfig.DataProcessingActivities.Count -gt 0) { Write-Host "`nGEGEVENSVERWERKING ACTIVITEITEN" -ForegroundColor Cyan foreach ($activity in $assessmentConfig.DataProcessingActivities) { Write-Host "`nActiviteit: $($activity.ActivityName)" -ForegroundColor Cyan Write-Host " Gegevenstypen: $($activity.DataTypes -join ', ')" -ForegroundColor Gray Write-Host " Doel: $($activity.Purpose)" -ForegroundColor Gray Write-Host " Risiconiveau: $($activity.RiskLevel)" -ForegroundColor $(switch ($activity.RiskLevel) { "High" { "Red" } "Medium" { "Yellow" } default { "Green" } }) Write-Host " Assessment status: $($activity.AssessmentStatus)" -ForegroundColor $(if ($activity.AssessmentStatus -eq "Completed") { "Green" } else { "Yellow" }) if ($activity.LastAssessmentDate) { Write-Host " Laatste assessment: $($activity.LastAssessmentDate.ToString('yyyy-MM-dd'))" -ForegroundColor Gray } } } Write-Host "`nAANBEVELINGEN" -ForegroundColor Cyan Write-Host "------------" -ForegroundColor Cyan if ($assessmentConfig.PendingAssessments -gt 0) { Write-Host " [WAARSCHUWING] Er zijn $($assessmentConfig.PendingAssessments) openstaande privacy risico assessments." -ForegroundColor Yellow Write-Host " • Voer privacy risico assessments uit voor alle openstaande gegevensverwerking" -ForegroundColor Yellow Write-Host " • Prioriteer assessments voor hoog-risico gegevensverwerking" -ForegroundColor Yellow } if ($assessmentConfig.HighRiskFindings -gt 0) { Write-Host " [KRITIEK] Er zijn $($assessmentConfig.HighRiskFindings) hoog-risico privacy bevindingen." -ForegroundColor Red Write-Host " • Neem onmiddellijk passende mitigatiemaatregelen" -ForegroundColor Red Write-Host " • Documenteer mitigatiemaatregelen in privacy risico assessments" -ForegroundColor Red } if ($assessmentConfig.MitigationMeasuresPending -gt 0) { Write-Host " [WAARSCHUWING] Er zijn $($assessmentConfig.MitigationMeasuresPending) openstaande mitigatiemaatregelen." -ForegroundColor Yellow Write-Host " • Implementeer openstaande mitigatiemaatregelen" -ForegroundColor Yellow Write-Host " • Verifieer effectiviteit van geïmplementeerde maatregelen" -ForegroundColor Yellow } if ($mitigationStatus.ComplianceStatus -ne "Compliant") { Write-Host " [WAARSCHUWING] Privacy mitigatiemaatregelen zijn niet volledig compliant." -ForegroundColor Yellow Write-Host " • Configureer ontbrekende privacy mitigatiemaatregelen" -ForegroundColor Yellow Write-Host " • Verifieer dat alle maatregelen correct zijn geïmplementeerd" -ForegroundColor Yellow } if ($assessmentConfig.PendingAssessments -eq 0 -and $assessmentConfig.HighRiskFindings -eq 0 -and $mitigationStatus.ComplianceStatus -eq "Compliant") { Write-Host " [OK] Privacy risico assessment-configuratie voldoet aan de eisen." -ForegroundColor Green Write-Host " • Blijf regelmatig monitoren voor vroegtijdige detectie van problemen" -ForegroundColor Gray Write-Host " • Voer periodieke herassessments uit om actueel te blijven" -ForegroundColor Gray } Write-Host "`nVoor gedetailleerde informatie, zie:" -ForegroundColor Gray Write-Host " content/azure/management/privacy-risk-assessment.json" -ForegroundColor Gray Write-Host "" return $assessmentConfig } function Invoke-Implementation { <# .SYNOPSIS Ondersteunt privacy risico assessment-activatie en configuratie. .DESCRIPTION Deze functie geeft richtlijnen voor privacy risico assessments maar voert geen automatische configuratie uit vanwege de complexiteit en juridische vereisten. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Implementatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $assessmentConfig = Get-PrivacyRiskAssessmentConfiguration Write-Host "`n[INFO] Privacy risico assessments vereisen zorgvuldige planning en configuratie" -ForegroundColor Cyan Write-Host " vanwege AVG-vereisten en juridische verplichtingen." -ForegroundColor Cyan Write-Host "`nAanbevolen stappen:" -ForegroundColor Cyan Write-Host " 1. Ontwikkel privacy risico assessmentprocedures voor verschillende scenario's" -ForegroundColor White Write-Host " 2. Identificeer alle gegevensverwerking die persoonsgegevens verwerkt" -ForegroundColor White Write-Host " 3. Voer privacy risico assessments uit voor alle geïdentificeerde gegevensverwerking" -ForegroundColor White Write-Host " 4. Identificeer en implementeer passende privacy mitigatiemaatregelen" -ForegroundColor White Write-Host " 5. Documenteer privacy risico assessments en mitigatiemaatregelen" -ForegroundColor White Write-Host " 6. Voer periodieke herassessments uit om actueel te blijven" -ForegroundColor White Write-Host " 7. Integreer privacy risico assessments met andere governance-processen" -ForegroundColor White if ($assessmentConfig.PendingAssessments -gt 0) { Write-Host "`nEr zijn $($assessmentConfig.PendingAssessments) openstaande privacy risico assessments:" -ForegroundColor Yellow Write-Host " • Prioriteer assessments voor hoog-risico gegevensverwerking" -ForegroundColor Yellow Write-Host " • Betrek functionaris gegevensbescherming bij assessments" -ForegroundColor Yellow } return $assessmentConfig } function Invoke-Remediation { <# .SYNOPSIS Identificeert ontbrekende privacy risico assessment-configuraties en genereert aanbevelingen. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $assessmentConfig = Get-PrivacyRiskAssessmentConfiguration $mitigationStatus = Test-PrivacyMitigationMeasures if ($assessmentConfig.PendingAssessments -gt 0) { Write-Host "`n[WAARSCHUWING] Er zijn $($assessmentConfig.PendingAssessments) openstaande privacy risico assessments." -ForegroundColor Yellow Write-Host "`nAanbevolen acties:" -ForegroundColor Cyan Write-Host " 1. Identificeer alle gegevensverwerking die nog geen privacy risico assessment hebben" -ForegroundColor White Write-Host " 2. Prioriteer assessments op basis van risico en impact" -ForegroundColor White Write-Host " 3. Voer privacy risico assessments uit voor alle prioritaire gegevensverwerking" -ForegroundColor White Write-Host " 4. Documenteer assessments en mitigatiemaatregelen" -ForegroundColor White Write-Host " 5. Betrek functionaris gegevensbescherming bij assessments" -ForegroundColor White } if ($assessmentConfig.HighRiskFindings -gt 0) { Write-Host "`n[KRITIEK] Er zijn $($assessmentConfig.HighRiskFindings) hoog-risico privacy bevindingen." -ForegroundColor Red Write-Host "`nAanbevolen acties:" -ForegroundColor Cyan Write-Host " 1. Neem onmiddellijk passende mitigatiemaatregelen" -ForegroundColor White Write-Host " 2. Documenteer mitigatiemaatregelen in privacy risico assessments" -ForegroundColor White Write-Host " 3. Verifieer effectiviteit van mitigatiemaatregelen" -ForegroundColor White Write-Host " 4. Overweeg data protection impact assessment voor hoog-risico verwerkingen" -ForegroundColor White } if ($mitigationStatus.ComplianceStatus -ne "Compliant") { Write-Host "`n[WAARSCHUWING] Privacy mitigatiemaatregelen zijn niet volledig compliant." -ForegroundColor Yellow Write-Host "`nAanbevolen acties:" -ForegroundColor Cyan Write-Host " 1. Configureer versleuteling at rest voor alle persoonsgegevens" -ForegroundColor White Write-Host " 2. Configureer versleuteling in transit voor alle gegevensoverdracht" -ForegroundColor White Write-Host " 3. Configureer toegangscontrole op basis van least privilege" -ForegroundColor White Write-Host " 4. Configureer netwerkisolatie voor persoonsgegevens" -ForegroundColor White Write-Host " 5. Implementeer dataminimalisatie en doelbinding" -ForegroundColor White } if ($assessmentConfig.PendingAssessments -eq 0 -and $assessmentConfig.HighRiskFindings -eq 0 -and $mitigationStatus.ComplianceStatus -eq "Compliant") { Write-Host "`n[INFO] Privacy risico assessment-configuratie voldoet aan de eisen." -ForegroundColor Green Write-Host "Zorg dat privacy risico assessments actueel blijven en regelmatig worden herzien." -ForegroundColor Cyan } return $assessmentConfig } try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($Monitoring) { Invoke-Monitoring | Out-Null } elseif ($Implementation) { Invoke-Implementation | Out-Null } elseif ($Remediation) { Invoke-Remediation | Out-Null } else { # Standaard: monitoring-uitvoer Invoke-Monitoring | Out-Null } } catch { Write-Error ("Fout tijdens uitvoering van {0}: {1}" -f $PolicyName, $_) exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Kritiek - Zonder privacy risicobeoordelingen kunnen organisaties niet aantonen dat zij voldoen aan AVG-vereisten, wat kan leiden tot boetes tot 4% van de wereldwijde jaaromzet of 20 miljoen euro, reputatieschade en verlies van vertrouwen bij burgers.

Management Samenvatting

Privacy Risico Beoordeling voor Azure: Systematische identificatie en analyse van privacy-risico's in Azure-omgevingen, inventarisatie van gegevensverwerkingen, risico-analyse en mitigerende maatregelen. Vereist voor AVG Artikel 32 en 35, BIO 08.01, ISO 27001 A.18.1.4. Implementatie: 120 uur (40 technisch, 80 organisatorisch). Verplicht voor alle organisaties die persoonsgegevens verwerken in Azure.