Artikel 5: Wat zijn nu precies ‘passende en organisatorische maatregelen’ om persoonsgegevens zo goed mogelijk te beschermen?
De AVG heeft het over zogenaamde ‘passende technische en organisatorische maatregelen’ ter beveiliging van persoonsgegevens. Uw cliënten én medewerkers moete er immers op kunnen vertrouwen dat hun persoonsgegevens optimaal worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. U zult zelf maar slachtoffer zijn van identiteitsfraude… Organisaties die persoonsgegevens (gaan) verzamelen, moeten (vooraf) nadenken over de beveiliging hiervan. Dit is een continu proces: beveiliging van persoonsgegevens moet een blijvend punt van aandacht zijn.
Beveiliging wordt ook steeds belangrijker, zo bleek wel uit de vele datalekken bij ziekenhuizen, zorginstellingen, maar ook leasemaatschappijen. Ook de grote WannaCry-cyberaanval staat misschien nog wel vers in het geheugen. Uit deze aanval bleek dat het soms in kleine dingen zit, zoals het tijdig updaten van de systemen. Beveiliging blijft echter een specialisme op zich en het is dan ook belangrijk om tijdig de juiste expertise in huis te halen om uw organisatie te beschermen.
De verwerkingsverantwoordelijke, waar in artikel 4 aandacht aan is besteed, zal moeten kunnen aantonen dat er passende technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beveiligen. Bij technische maatregelen kunt u denken aan het encrypten of pseudonimiseren van de gegevens. Bij organisatorisch maatregelen kunt u denken aan beveiliging door toegangspasjes. Deze maatregelen moet u vastleggen in beleid en natuurlijk moet u dit beleid in de praktijk ook echt uitvoeren. Door beleid op te stellen en deze te implementeren kunt u aantonen dat u op dit punt aan de eisen uit de AVG voldoet. Onderwerpen in het beleid die voor vrijwel iedere situatie nodig zijn;
logische toegangsbeveiliging, welke mensen mogen welke toegang hebben
Versleuteling
Fysieke beveiliging
Continuïteit en beschikbaarheid
Logging en monitoring
Documenteer dus, in samenwerking met andere disciplines (HRM, ICT, Juridische Zaken e.d.) hoe uw organisatie omgaat met de bescherming van persoonsgegevens. Dit beleid bevat gedetailleerde informatie en beschrijft interne processtappen. Betrek bij het opstellen en uitvoeren van het beleid de functionaris gegevensbescherming en zorg dat het beleid periodiek wordt geëvalueerd. Overigens is het maken van beleid alleen vereist als dat in verhouding staat tot de activiteiten. Bij eenvoudige verwerkingen is uitgebreide documentatie niet nodig en kan worden volstaan met eenvoudiger beleid dan bij meer complexe verwerkingen. Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus voor beveiliging in de dagelijkse praktijk van de organisatie noodzakelijk.
In het volgende artikel wordt ingegaan op de begrippen ‘privacy by design’ en ‘privacy by default’. Wat houden deze begrippen eigenlijk in en moet ik er echt wat mee?
Marius van Rijswijk is ook een van de sprekers op het HCB Seminar ‘AVG-Proof na 1.5 jaar – Voor kinderopvang, basisonderwijs en kindcentra’ dat georganiseerd wordt door het Haags Congres Bureau op 22 november in Utrecht. Verder met Ina Brouwer, advocaat bij Borg Advocaten en Ard Jan Dunnik, advocaat bij Coupry. Korting voor oud deelnemers Haags Congres Bureau en voor leden van BMK.
Mensen boven Macht – Edwin Tuin
‘We blijven steeds in dezelfde valkuilen vallen’
Toezicht in verbinding – Weinig zon en veel behang? Blog Paul van Dijk
