De AVG: Is uw beveiliging van persoonsgegevens op orde?

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (‘AVG’) van kracht. Organisaties hebben op dat moment twee jaar de tijd gehad om ‘privacyproof’ te worden. De AVG bevat regelgeving op het gebied van verwerking van persoonsgegevens. Verantwoord omgaan met persoonsgegevens valt of staat met een afdoende beveiliging van die persoonsgegevens. Immers, als die beveiliging te wensen overlaat kan een datalek het gevolg zijn.

Eerder gaven we u tien tips om uw organisatie klaar te maken voor de AVG. Hieronder ga ik in op tip 9: Is de beveiliging van de persoonsgegevens binnen uw organisatie op orde? Zowel de verantwoordelijke als de bewerker is onder de AVG verantwoordelijk voor een deugdelijke technische en organisatorische beveiliging van systemen waarmee persoonsgegevens worden verwerkt.

De AVG bepaalt dat een organisatie passende technische en organisatorische maatregelen moet treffen om persoonsgegevens die zij verwerkt te beveiligen.

Met passende technische maatregelen wordt bedoeld dat een organisatie moderne techniek moet gebruiken. Het gebruik van verouderde of achterhaalde beveiligingstechniek maakt een systeem immers kwetsbaarder. Met passende organisatorische maatregelen wordt onder meer bedoeld dat een organisatie beleid moet hebben op het gebied van omgang met persoonsgegevens. Zo moet het bijvoorbeeld duidelijk zijn wie er toegang hebben tot welke gegevens.

Voordat een organisatie persoonsgegevens gaat verwerken, moet worden nagedacht over de beveiliging van die gegevens. Maar ook daarna zal de beveiliging een blijvend punt van aandacht moeten zijn. Beveiliging van persoonsgegevens is, ook door voortschrijden van techniek, geen statisch iets.

Als organisatie moet u erop letten dat u niet meer gegevens verzamelt en gebruikt dan noodzakelijk is. Organisaties zijn geneigd om allerhande gegevens te verzamelen en vast te leggen, maar vaak is een groot deel van die gegevens niet nodig om een bepaalde handeling te verrichten. Van belang is dus dat u uw systeem zo inricht dat slechts een minimale hoeveelheid persoonsgegevens wordt gevraagd en opgeslagen. Mocht er dan onverhoopt toch iets misgaan dan zijn de gevolgen ook beperkter. Dataminimalisatie is in dat opzicht dus ook een vorm van beveiliging.

Daarnaast is van belang dat de toegang tot persoonsgegevens wordt beperkt. Immers, hoe meer personen toegang hebben tot gegevens, hoe groter de kans is op misbruik of datalekken. Zorg er daarom voor dat alleen bevoegde medewerkers toegang hebben. En zorg er daarnaast voor dat achteraf kan worden nagegaan wie wanneer welke gegevens heeft geraadpleegd, oftewel maak gebruik van logging. 

Als u online gegevens opvraagt van bijvoorbeeld klanten, dan is het verstandig dat gebruik wordt gemaakt van een beveiligde internetverbinding. Een beveiligde internetverbinding kun je herkennen aan de extra ‘s’ in de URL, namelijk “https://”. Een beveiligde internetverbinding voorkomt dat onbevoegden kunnen meelezen bij het invullen van gegevens.

Naast de hiervoor genoemde vormen van beveiliging bestaan er nog meer manieren om veilig met persoonsgegevens om te gaan, bijvoorbeeld door gebruikmaking van encryptie, pseudonimisering of meerfactorauthenticatie.

Encryptie betekent het versleutelen van bestanden. Kort gezegd houdt dit in dat alleen degenen die over de sleutel beschikken de inhoud van het bestand kunnen raadplegen. Vaak zijn dit alleen de verzender en de beoogde ontvanger(s). Derden die het versleutelde bestand onderscheppen, kunnen dit zonder sleutel niet raadplegen.

Pseudonimisering wil zeggen dat de identificerende gegevens worden vervangen door andere gegevens. Het betreft een methode om met persoonsgegevens te werken zonder daarbij te weten over welke personen het gaat. De gegevens zijn nog wel te herleiden tot het specifieke individu, echter alleen met gebruikmaking van aanvullende gegevens. Een voorbeeld van pseudonimisering is het toekennen van een klantnummer.

Omdat pseudonomisering niet onomkeerbaar is, is de AVG hierop wel van toepassing. Dat is niet het geval bij anonimisering, waarbij gegevens blijvend niet meer zijn te herleiden naar een specifieke persoon. Als gebruik wordt gemaakt van pseudonimisering is van belang dat onbevoegden de koppeling met het bestand met aanvullende gegevens niet kunnen maken.

Meerfactorauthenticatie betreft een vorm van toegangsbeveiliging waarbij een gebruiker zich moet identificeren met minimaal twee factoren alvorens toegang te krijgen tot een computer of applicatie. Veelvoorkomende vormen van deze manier van beveiliging zijn het gebruikmaken van een gebruikersnaam in combinatie met een wachtwoord, van een extern apparaat (zoals een telefoon, token of toegangspas), of van biometrische gegevens (bijvoorbeeld een vingerafdruk, irisscan, spraakherkenning).

De AVG bevat voorts een verplichting tot gegevensbescherming door ontwerp en door standaardinstellingen, ofwel ‘privacy by design’ en ‘privacy by default’. Het idee hiervan is dat privacy vanaf het begin van een ontwerpproces mee wordt genomen. Vooraf denk je na over de benodigde technische en organisatorische maatregelen om persoonsgegevens te beschermen. Daarna bouw je die maatregelen in processen en systemen in. In het volgende blog over de AVG zal nader worden ingegaan op privacy by design en privacy by default.

Beveiliging is maatwerk. Wat uw organisatie moet doen en hoe ver u daarin moet gaan, hangt af van de aard van uw organisatie en van de vraag welke gegevens u om welke reden verwerkt. Beveiliging dient bovendien voortdurend de aandacht te hebben in uw organisatie.

Het is dan ook raadzaam dat u zich door specialisten laat voorlichten over maatregelen op het gebied van beveiliging . Daarnaast is het belangrijk dat u uw overwegingen om bepaalde methoden van beveiliging wel of juist niet toe te passen vastlegt. Mocht het een keer misgaan, dan zult u op die manier in staat zijn richting de Autoriteit Persoonsgegevens aan te tonen dat u over de getroffen maatregelen heeft nagedacht en een weloverwogen afweging heeft gemaakt. Dit laatste is weer van belang in het kader van de verantwoordingsplicht die de AVG oplegt.

Bent u bezig met een project waarbij persoonsgegevens verwerkt gaan worden en wilt u weten welke maatregelen u moet nemen? Neem dan contact op met PlasBossinade.

• Met 10 tips klaar voor Algemene Verordening Gegevensbescherming
• Maak uw organisatie AVG-proof: begin met een grondige inventarisatie
• Een datalek, wat moet ik ermee?
• Moet ik een Functionaris voor Gegevensbescherming aanstellen op grond van de AVG?
• Register voor verwerkingsactiviteiten onder de nieuwe AVG
• De AVG: Verwerkingsverantwoordelijke, Verwerker en Verwerkingsovereenkomst
• De nieuwe privacyverklaring
• De AVG: Wat is een PIA en moet u daar iets mee?