De AVG heeft het over zogenaamde ‘passende technische en organisatorische maatregelen’ ter beveiliging van persoonsgegevens. Uw kandidaten moeten er immers op kunnen vertrouwen dat hun persoonsgegevens optimaal worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. U zult zelf maar slachtoffer zijn van identiteitsfraude…Niet alleen organisaties die persoonsgegevens (gaan) verzamelen, moeten (vooraf) nadenken over de beveiliging hiervan, maar ook de leveranciers van bijv. uw software hebben hier een belangrijke taak. Dit is een continu proces: beveiliging van persoonsgegevens moet een blijvend punt van aandacht zijn.
Beveiliging begint bij jezelf
Beveiliging wordt ook steeds belangrijker, zo bleek wel uit de vele datalekken die tegenwoordig het nieuws halen. Die bij GGD en RDC staan waarschijnlijk nog vers in het geheugen. Uit deze aanval bleek dat het soms in kleine dingen zit, zoals een goede autorisatie van de systemen. Maar ook het (verplicht) regelmatig wijzigen van wachtwoorden of instellen van tweetraps verificatie bij het inloggen zijn relatief eenvoudig in te voeren maatregelen. Beveiliging blijft echter een specialisme op zich en het is dan ook belangrijk om tijdig de juiste expertise in huis te halen om uw organisatie te beschermen.
Technische en organisatorische maatregelen
De verwerkingsverantwoordelijke, waar in artikel 4 aandacht aan is besteed, zal moeten kunnen aantonen dat er passende technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beveiligen. Bij technische maatregelen kunt u denken aan het encrypten of pseudonimiseren van de gegevens.
Bij organisatorisch maatregelen kunt u denken het verbeteren van de rechtenstructuur in de software: welke functies/medewerkers hebben toegang tot welke gegevens? Bijv. intercedenten zien nooit het BSN, maar de salarisadministratie wel. Deze maatregelen moet u vastleggen in beleid en natuurlijk moet u dit beleid in de praktijk ook echt uitvoeren. Door beleid op te stellen en deze te implementeren kunt u aantonen dat u op dit punt aan de eisen uit de AVG voldoet.
Onderwerpen in het beleid die voor vrijwel iedere situatie nodig zijn:
- logische toegangsbeveiliging: welke mensen mogen welke toegang hebben
- Versleuteling
- Fysieke beveiliging
- Continuïteit en beschikbaarheid
- Logging en monitoring
Plan-do-check-act
Documenteer dus, in samenwerking met verschillende afdelingen zoals HR en ICT, e.d. hoe uw organisatie omgaat met de bescherming van persoonsgegevens. Dit beleid bevat gedetailleerde informatie en beschrijft interne processtappen. Betrek bij het opstellen en uitvoeren van het beleid de functionaris gegevensbescherming en zorg dat het beleid periodiek wordt geëvalueerd.
Overigens is het maken van beleid alleen vereist als dat in verhouding staat tot de activiteiten. Bij eenvoudige verwerkingen is uitgebreide documentatie niet nodig en kan worden volstaan met eenvoudiger beleid dan bij meer complexe verwerkingen. Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus voor beveiliging in de dagelijkse praktijk van de organisatie noodzakelijk.
Wij helpen u
FlexKnowledge en VKA hebben samen een toolbox ontwikkeld, waarin alle noodzakelijke documenten zijn opgenomen. Dus ook de basis voor het register van verwerkingsactiviteiten. U kunt die zelf controleren, aanvullen en updaten, maar u kunt dat ook aan ons uitbesteden.
In het volgende artikel wordt ingegaan op de begrippen ‘privacy by design’ en ‘privacy by default’. Wat houden deze begrippen eigenlijk in en moet ik er echt wat mee?