• 7 feb

    2019

    Passend beveiligen van persoonsgegevens

    Bedrijven en organisaties die persoonsgegevens verwerken (hierna: ‘Bedrijven’), moeten die persoonsgegevens (hierna: ‘Gegevens’) op grond van de AVG ‘passend beveiligen’. Het gevolg van een niet-passende beveiliging kan namelijk zijn dat derden Gegevens buit maken en misbruiken. En dat kan verstrekkende gevolgen hebben voor de persoonlijke levenssfeer van betrokkenen. Daarom moeten Bedrijven passende technische én organisatorische maatregelen nemen. Maar wat is passend?

    Passend

    Andere woorden voor passend zijn adequaat, geschikt en behoorlijk. Bij de beantwoording van de vraag of beveiligingsmaatregelen passend zijn, moeten Bedrijven rekening houden met een aantal factoren. Zoals:

    • de kosten van de maatregelen;
    • de stand van de techniek;
    • de omvang van de verwerking en
    • het soort persoonsgegevens dat verwerkt wordt.

    Naarmate de Gegevens privacy gevoeliger zijn, zal het beveiligingsniveau omhoog moeten. Zo is er bij het verwerken van alleen namen en emailadressen een ander beveiligingsniveau ‘passend’ dan wanneer je ook BSN-nummer verwerkt. In zijn algemeenheid geldt dat beveiligingsmaatregelen passend zijn op het moment dat ze, alle factoren in aanmerking genomen, een voldoende beschermingsniveau bieden.

    Technische maatregelen

    Bedrijven moeten maatregelen nemen op het technisch vlak, waarbij ze verplicht zijn gebruik te maken van moderne technieken. Dat wil niet zeggen dat dat de allerduurste techniek hoeven te zijn. De kosten van de maatregelen spelen immers ook een rol bij de beantwoording van de vraag of maatregelen passend zijn. Het wil wel zeggen dat er regelmatig updates moeten worden uitgevoerd op de gebruikte technieken. Andere technische maatregelen zijn bijvoorbeeld het gebruik van hashing, virusscanners en het versleuteld versturen van emails met daarin persoonsgegevens. Verzamel je persoonsgegevens via een website? Denk dan ook aan het gebruik van https. Via internet.nl kun je controleren of (de verbinding van) je website voldoende beveiligd is. Als je niet heel technisch bent, is het verstandig om de hulp in te roepen van een (erkend) deskundige.

    Organisatorische maatregelen

    Maar de vereiste beveiliging gaat verder dan techniek. Bedrijven moet ook organisatorische maatregelen nemen om Gegevens te beveiligen. Een stukje bewustwording binnen Bedrijven is hierbij een eerste stap en ook van groot belang. Zowel bij leidinggevenden als bij personeel. Bewustwording van het feit dat je Gegevens van een ander verwerkt en ook van de wet-en regelgeving die je daarbij moet naleven. Bewustwording van hoe de zaken geregeld zijn en hoe ze eventueel anders geregeld kunnen worden om een hoger beveiligingsniveau te garanderen. Bijvoorbeeld door de toegang tot Gegevens te beperken tot uitsluitend degene die die toegang daadwerkelijk nodig heeft voor de uitoefening van zijn/haar functie. Andere maatregelen van organisatorische aard zijn bijvoorbeeld:

    • het bewaren van persoonsgegevens (op servers in) een afgesloten ruimte;
    • het beperken van de verwerking van Gegevens;
    • het vaststellen van bewaartermijnen en opschonen van systemen;
    • het opnemen van een geheimhoudingsverklaring met een boeteclausule in een arbeidsovereenkomst en
    • het maken van afspraken met verwerkers.

    100% Safe?

    Het is niet zo dat van Bedrijven verwacht wordt dat zij een 100% garantie afgeven en dat zij beboet worden als er een inbreuk plaatsvindt. Dat zou ook niet echt motiverend zijn, want een 100% waterdichte beveiliging is nauwelijks voorstelbaar. De verplichting om passende beveiligingsmaatregelen te nemen, houdt in dat je er alles aan moet doen wat binnen je macht ligt om een inbreuk te voorkomen. Doe je dát niet, dán kun  je beboet worden. Overigens moet je op grond van de AVG wel ook kunnen aantonen dat je passende beveiligingsmaatregelen hebt genomen. Dit volgt uit het vereiste van ‘accountability.

    Wil jij meer weten over de privacy wet- en regelgeving en hoe je deze kunt toepassen in je bedrijf? Neem dan contact op met Ruud op ruud@doenlegal.nl of Judith op judith@doenlegal.nl. Je kunt ons ook telefonisch bereiken op 06 57 6657 59 (Ruud) of 06 29 0306 15 (Judith).

Klanten die Doen