Boeierstraat 6, 8102 HS Raalte(0572) 38 27 79info@wekadata.nl
slide

AVG

De AVG (Algemene Verordening Gegevensbescherming) is sinds mei 2018 van kracht. Deze verordening stelt hoge eisen aan de beveiliging van privégegevens. Dit alles om het internet veiliger te maken en om ervoor te zorgen dat gegevens beter worden beschermd. Maar wat  dit nu voor jou en jouw bedrijf inhoudt? Dat lees je hier.

Beveiligingsverplichting

In artikel 13 van de Wet Bescherming Persoonsgegevens staat dat elke organisatie die persoonsgegevens verwerkt verplicht is om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking.

Bij verlies houdt dit onder anders in dat persoonsgegevens verloren gaan door bijvoorbeeld een brand in het datacenter of het per ongeluk wissen wan een database, waarvan geen back-up gemaakt is.

Onrechtmatige verwerking houdt onder andere in dat persoonsgegevens terecht komen bij of verwerkt worden door personen, binnen of buiten de organisatie, die daartoe geen bevoegdheid hebben. Dit kunnen medewerkers zijn die de gegevens niet mogen verwerken maar ook door bijvoorbeeld een hack op je bedrijf.

Binnen de AVG wordt deze verordening verder uitgewerkt in artikel 32. En deze benoemt specifiek dat zowel de verwerkingsverantwoordelijke als de verwerker beide passende maatregelen moeten nemen. Als voorbeeld worden onderstaande maatregelen benoemd.

  • Anonimiseren en versleutelen van persoonsgegevens.
  • Alle gegevens moet beveiligd opgeslagen worden.
  • Wanneer er een incident is moet er tijdig een back-up geraadpleegd kunnen worden.
  • Er moet regelmatig geëvalueerd worden of de genomen maatregelen nog voldoen.

Passend Niveau

Ook staat er in artikel 32 duidelijk omschreven dat er niet altijd om het allerhoogste niveau beveiligd hoeft te worden. Het niveau en de genomen maatregelen moeten passend zijn bij de risico’s die met bepaalde gegevens gelopen wordt. Hoe gevoeliger de informatie hoe beter de beveiliging moet zijn. . De verantwoordelijke of de verwerker van de persoonsgegevens moet daarbij een inschatting maken van de gevoeligheid van de informatie of de context waarin deze gegevens verwerkt worden. Welke maatregelen je moet nemen hebben onder andere te maken met de volgende punten:

 

  • De aard van de gegevens.
  • De omvang van de verwerking van de gegevens.
  • De doeleinden waarom je de gegevens wil opslaan
  • De mogelijke risico’s.
  • De ernst van de gevolgen wanneer de beveiliging niet voldoende blijkt te zijn.
  • De kans dat de eventuele bedreigingen realiteit worden.
  • De stand van de techniek
  • De kosten die de beveiliging met zich mee zal brengen.
  • En de omvang van de financiële mogelijkheden van de organisatie.

Organisatorische maatregelen

Naast de technische maatregelen ben je als verantwoordelijke of verwerker ook verplicht organisatorische maatregelen te nemen. Hierbij moet je denken aan het alleen toegankelijk maken van persoonsgegevens voor mensen in de organisatie die deze ook daadwerkelijke nodig hebben voor de uitvoer van hun taken.

  • Het beperken van het aantal mensen dat toegang heeft tot persoonsgegevens.
  • Alleen toegang geven tot persoonsgegevens die ook echt nodig zijn.
  • Een geheimhoudingsverklaring met boeteclausule voor mensen die werken met persoonsgegevens.
  • Alle persoonsgegevens digitaal bewaren op een afgesloten en beveiligde server.
  • Alle papieren persoonsgegevens bewaren in een afgesloten kast.
  • Ervoor zorgen dat de medewerkers zich bewust zijn van de opgestelde protocollen.
  • Toezicht houden op de afgesproken maatregelen en de naleving daarvan.

 

Al met al betekent dit dat de maatregelen die je neemt afgestemd moeten zijn op de bedrijfssituatie. Dit is de reden dat er geen algemeen advies kan worden gegeven over de te nemen maatregelen.

Om een handvat te geven, maken wij gebruik van een ICT-checklist. Voor deze checklist is een koppeling gemaakt met de eisen van ISO 27001. Het toepassen van deze checklist betekent niet automatisch dat voldaan wordt aan de technische eisen van de AVG.