Wat zijn nu precies ‘passende en organisatorische maatregelen’ om persoonsgegevens zo goed mogelijk te beschermen?
Dit is het zesde van negen korte artikelen over de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). In de komende artikelen behandelen we de belangrijkste thema’s uit de AVG.
De AVG heeft het over zogenaamde ‘passende technische en organisatorische maatregelen’ ter beveiliging van persoonsgegevens. Uw kandidaten moeten er immers op kunnen vertrouwen dat hun persoonsgegevens optimaal worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. U zult zelf maar slachtoffer zijn van identiteitsfraude… Niet alleen organisaties die persoonsgegevens (gaan) verzamelen, moeten (vooraf) nadenken over de beveiliging hiervan, maar ook de leveranciers van bijvoorbeeld uw software hebben hier een belangrijke taak. Dit is een continu proces: beveiliging van persoonsgegevens moet een blijvend punt van aandacht zijn.
Beveiliging wordt ook steeds belangrijker, zo bleek wel uit de vele datalekken die tegenwoordig het nieuws halen. Ook de grote WannaCry-cyberaanval staat misschien nog wel vers in het geheugen. Uit deze aanval bleek dat het soms in kleine dingen zit, zoals het tijdig updaten van de systemen. Maar ook het (verplicht) regelmatig wijzigen van wachtwoorden of instellen van tweetraps-verificatie bij het inloggen zijn relatief eenvoudig in te voeren maatregelen. Beveiliging blijft echter een specialisme op zich en het is dan ook belangrijk om tijdig de juiste expertise in huis te halen om uw organisatie te beschermen.
De verwerkingsverantwoordelijke, waar in ons vierde artikel aandacht aan is besteed, zal moeten kunnen aantonen dat er passende technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beveiligen. Bij technische maatregelen kunt u denken aan het encrypten of pseudonimiseren van de gegevens. Bij organisatorisch maatregelen kunt u denken het verbeteren van de rechtenstructuur in de software: welke functies/medewerkers hebben toegang tot welke gegevens? Bijv. intercedenten zien nooit het BSN, maar de salarisadministratie wel. Deze maatregelen moet u vastleggen in beleid en natuurlijk moet u dit beleid in de praktijk ook echt uitvoeren. Door beleid op te stellen en deze te implementeren kunt u aantonen dat u op dit punt aan de eisen uit de AVG voldoet. Onderwerpen in het beleid die voor vrijwel iedere situatie nodig zijn;
-
- Logische toegangsbeveiliging, welke mensen mogen welke toegang hebben
- Versleuteling
- Fysieke beveiliging
- Continuïteit en beschikbaarheid
- Logging en monitoring
Documenteer dus, in samenwerking met verschillende afdelingen zoals HR en ICT, e.d. hoe uw organisatie omgaat met de bescherming van persoonsgegevens. Dit beleid bevat gedetailleerde informatie en beschrijft interne processtappen. Betrek bij het opstellen en uitvoeren van het beleid de functionaris gegevensbescherming en zorg dat het beleid periodiek wordt geëvalueerd. Overigens is het maken van beleid alleen vereist als dat in verhouding staat tot de activiteiten. Bij eenvoudige verwerkingen is uitgebreide documentatie niet nodig en kan worden volstaan met eenvoudiger beleid dan bij meer complexe verwerkingen. Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus voor beveiliging in de dagelijkse praktijk van de organisatie noodzakelijk.
In het volgende artikel wordt ingegaan op de begrippen ‘privacy by design’ en ‘privacy by default’. Wat houden deze begrippen eigenlijk in en moet ik er echt wat mee?
Marcel Reijmers, directeur FlexKnowledge
Bent u al AVGoké Flex?
Op 15 en 20 maart 2018 organiseren FlexKnowledge, Verdonck Klooster & Associates, ARTRA en Cicero een tweetal seminars om u in een middag goed op weg te helpen. Meer informatie en de mogelijkheid voor inschrijving is te vinden op de website van ARTRA.
