U moet volgens de strenge privacywet AVG uw persoonsgegevens op een juiste en doeltreffende manier beveiligen. Op welke wijze geeft u daar invulling aan? Zijn er zaken die minimaal geregeld moeten worden? Hoe ga ik met deze verplichting om richting mijn leveranciers en serviceproviders?

Want uw onderneming is volgens de Algemene verordening gegevensbescherming (AVG), die de Wet bescherming persoonsgegevens vervangt, verantwoordelijk voor het nemen van passende technische én organisatorische maatregelen om een adequaat beveiligingsniveau te waarborgen voor de verwerking van persoonsgegevens.
 

PERSOONSGEGEVENS GOED BEVEILIGEN

Hoe moet ik volgens de AVG die persoonsgegevens dan goed beveiligen? Hiervoor moet u met de volgende zaken rekening houden:

  • de stand van de techniek – de huidige technische stand van de techniek is voor wat betreft technische maatregelen bepalend voor wat er minimaal van u verwacht wordt

  • de aard, de omvang en doeleinden van de verwerkingen – de categorieën van persoonsgegevens in samenhang met de hoeveelheid persoonsgegevens en de verwerkingsdoelen zijn medebepalend voor de te nemen maatregelen.

  • de uiteenlopende risico’s voor de personen qua waarschijnlijkheid en ernst – feitelijk dient u een risico-inschatting te maken van uw verwerkingen en op basis hiervan uw maatregelen te treffen.

  • verwerkers – u kunt alleen een beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van technische en organisatorische maatregelen bieden; deze maatregelen moeten worden opgenomen in een verwerkersovereenkomst; u bent bovendien gerechtigd bij uw verwerker(s) te (laten) controleren of de maatregelen adequaat zijn.

  • de uitvoeringskosten – de AVG biedt tevens ruimte om een kostenafweging te maken. Indien de risico’s beperkt zijn, wordt niet van u verwacht dat u grote investeringen doet om een hoog beschermingsniveau te bereiken.

  • beleid – Als u van mening bent dat u, gezien voorgaande zaken, hoge risico’s loopt bij de verwerking van persoonsgegevens, dan dient u een passend zogeheten gegevensbeschermingsbeleid uit te voeren. Dat houdt in dat u op basis van een risico-inschatting de beschermingsmaatregelen bepaalt. Voor de meeste mkb-ondernemingen zal een gegevensbeschermingsbeleid niet nodig zijn.
     

MAATREGELEN BEVEILIGEN

Vervolgens geeft de AVG enkele voorbeelden van mogelijke maatregelen, namelijk:

  • pseudonimiseren en versleuteling van persoonsgegevens

  • op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten garanderen

  • het tijdig herstellen van toegang en beschikbaarheid bij een incident, zoals een datalek

  • een evaluatieprocedure om doeltreffendheid van de maatregelen te testen en beoordelen

  • Pseudonimiseren van persoonsgegevens

  • Persoonsgegevens kunnen in het geval van pseudonimiseren niet meer aan een specifieke betrokkene worden gekoppeld, zonder dat er aanvullende gegevens nodig zijn (een zogenaamde sleutel om informatie te decoderen). Omdat het via het gebruik van een sleutel nog steeds mogelijk is om de betreffende persoon (indirect) te identificeren, kwalificeren pseudoniemen nog steeds als persoonsgegevens. Dit in tegenstelling tot het anonimiseren van persoonsgegevens.
     

ANDERE MAATREGELEN

Andere maatregelen die u sowieso moet treffen, zijn:

  • wachtwoordbeleid en rechten- en autorisatiestructuur inrichten

  • logging en controle (monitoring) van toegang tot de informatiesystemen

  • implementatie van actuele beveiligingsupdates

  • viruscontrole en firewall inregelen

  • monitoring kwetsbaarheden op het interne en externe netwerk

  • adequate fysieke beschermingsmaatregelen treffen

  • procedures voor opslag, onderhoud en vernietiging van data opstellen

  • procedures voor het behandelen van informatiebeveiligingsincidenten en datalekken opstellen

  • back up beleid opzetten en uitvoeren adequate back ups
     

GEDRAGSCODE OF CERTIFICERING

Door als onderneming aan te sluiten bij een gedragscode voor de verwerking van persoonsgegevens (bijvoorbeeld binnen uw branche) of een specifieke certificering, kunt u aantonen dat u aan de vereisten voor technische en organisatorische maatregelen die de AVG stelt, voldoet. Een voorbeeld van een algemeen geaccepteerde standaard voor informatiebeveiliging is ISO27001.

Tip: Indien u gebruik wilt maken van bepaalde certificeringen om voor technische en organisatorische maatregelen te voldoen aan de verplichtingen uit de AVG, maak dan keuzes. Want het kan zijn dat uw onderneming niet alle onderdelen van die certificeringen nodig heeft!

Neem contact op

*
*
*
*
*

Lees meer over de AVG

Inzage personeelsdossier voor werknemer

Werknemers hebben op grond van de AVG het recht om hun persoonsgegevens in te zien. Hoe moet u hieraan meewerken? Welke gegevens moet u verplicht laten zien?

Voldoe in 5 stappen aan de AVG

Bedrijven en organisaties die werken met persoonsgegevens moeten rekening houden met de AVG (ook kleine mkb’ers en zzp’ers). In 5 stappen bent u AVG-proof.

Wat is een persoonsgegeven?

Wat is een persoonsgegeven en wat niet? En welke categorieën van persoonsgegevens zijn te onderscheiden? Dit is belangrijk om te kunnen weten of de privacywet AVG wel of niet van toepassing is.

Persoonsgegevens bewaren

Volgens de AVG mag u persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de gegevens vernietigen.

Register van verwerkingen

De belangrijkste eis in de AVG is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen.

Kleine ondernemer niet meteen beboet

Kleine ondernemers en organisaties hoeven niet bang te zijn dat ze direct beboet worden als ze nog niet volledig voldoen aan de AVG.

Vraag toestemming voor gebruik foto's!

Gebruikt u foto’s van werknemers of klanten voor uw website of voor nieuwsbrieven? Dan moet u expliciet toestemming krijgen. Aan welke voorwaarden moet die toestemming voldoen?

Omgaan met incidenten en datalekken

De AVG schrijft voor dat uw organisatie inbreuken in verband met de verwerking van persoonsgegevens (datalekken) moet melden. Waaraan moet u precies voldoen?

AVG-regels als uw werknemer vertrekt

Gaat uw werknemer (die beschikt over belangrijke persoons- en privacygevoelige gegevens) het bedrijf verlaten? Neem dan maatregelen en maak goede afspraken met uw (ex-)werknemer.

Verwerkersovereenkomst

U mag voor de verwerking van persoonsgegevens uitsluitend een beroep doen op leveranciers die voldoen aan de vereiste technische en organisatorische (beveiligings)maatregelen.

Datalekken, wat leren we ervan?

In 2018 zijn er 20.881 datalekken aan de Autoriteit Persoonsgegevens gemeld. Wat kunnen we hiervan leren?