11:43
24 juni 2018

Artikelreeks AVG – Artikel 5: Wat zijn nu precies ‘passende en organisatorische maatregelen’ om persoonsgegevens zo goed mogelijk te beschermen?

Artikelreeks AVG – Artikel 5: Wat zijn nu precies ‘passende en organisatorische maatregelen’ om persoonsgegevens zo goed mogelijk te beschermen?

Artikel 5: Wat zijn nu precies ‘passende en organisatorische maatregelen’ om persoonsgegevens zo goed mogelijk te beschermen?

De AVG heeft het over zogenaamde ‘passende technische en organisatorische maatregelen’ ter beveiliging van persoonsgegevens. Uw cliënten én medewerkers moete er immers op kunnen vertrouwen dat hun persoonsgegevens optimaal worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. U zult zelf maar slachtoffer zijn van identiteitsfraude… Organisaties die persoonsgegevens (gaan) verzamelen, moeten (vooraf) nadenken over de beveiliging hiervan. Dit is een continu proces: beveiliging van persoonsgegevens moet een blijvend punt van aandacht zijn.

Beveiliging wordt ook steeds belangrijker, zo bleek wel uit de vele datalekken bij ziekenhuizen, zorginstellingen, maar ook leasemaatschappijen. Ook de grote WannaCry-cyberaanval staat misschien nog wel vers in het geheugen. Uit deze aanval bleek dat het soms in kleine dingen zit, zoals het tijdig updaten van de systemen. Beveiliging blijft echter een specialisme op zich en het is dan ook belangrijk om tijdig de juiste expertise in huis te halen om uw organisatie te beschermen.

De verwerkingsverantwoordelijke, waar in artikel 4 aandacht aan is besteed, zal moeten kunnen aantonen dat er passende technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beveiligen. Bij technische maatregelen kunt u denken aan het encrypten of pseudonimiseren van de gegevens. Bij organisatorisch maatregelen kunt u denken aan beveiliging door toegangspasjes. Deze maatregelen moet u vastleggen in beleid en natuurlijk moet u dit beleid in de praktijk ook echt uitvoeren. Door beleid op te stellen en deze te implementeren kunt u aantonen dat u op dit punt aan de eisen uit de AVG voldoet. Onderwerpen in het beleid die voor vrijwel iedere situatie nodig zijn;

 logische toegangsbeveiliging, welke mensen mogen welke toegang hebben
 Versleuteling
 Fysieke beveiliging
 Continuïteit en beschikbaarheid
 Logging en monitoring

Documenteer dus, in samenwerking met andere disciplines (HRM, ICT, Juridische Zaken e.d.) hoe uw organisatie omgaat met de bescherming van persoonsgegevens. Dit beleid bevat gedetailleerde informatie en beschrijft interne processtappen. Betrek bij het opstellen en uitvoeren van het beleid de functionaris gegevensbescherming en zorg dat het beleid periodiek wordt geëvalueerd. Overigens is het maken van beleid alleen vereist als dat in verhouding staat tot de activiteiten. Bij eenvoudige verwerkingen is uitgebreide documentatie niet nodig en kan worden volstaan met eenvoudiger beleid dan bij meer complexe verwerkingen. Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus voor beveiliging in de dagelijkse praktijk van de organisatie noodzakelijk.

In het volgende artikel wordt ingegaan op de begrippen ‘privacy by design’ en ‘privacy by default’. Wat houden deze begrippen eigenlijk in en moet ik er echt wat mee?

Kijk hier voor meer informatie en een inschrijfformulier voor het Nieuwspoort Seminar ‘AVG-Proof in 10 kwartier – voor kinderopvang, basisonderwijs en kindcentra’ op 14 juni met Marius van Rijswijk (de auteur van dit artikel) en Ina Brouwer, oud politica en advocaat.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *