Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 4: Beveiligingsbeleid

Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 4: Beveiligingsbeleid

Thema's: Privacy, Privacy compliance

15 december 2017

Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat lijkt nog ver weg, maar om privacy compliant te zijn moet er wel wat gebeuren. Dit is deel 4 van onze blogreeks Tien dingen die u niet wilt, maar wel moet weten over de komende Privacy-verordening

In deel 1 bespraken we het verplichte register van verwerkingsactiviteiten, in deel 2 doelbinding en grondslag en deel 3 ging over het al dan niet verplicht moeten aanstellen van een Functionaris voor de Gegevensbescherming. In dit vierde deel komt de beveiliging van persoonsgegevens aan bod. 

Beveiliging van persoonsgegevens

Beveiliging is een steeds belangrijker vereiste uit de privacyregelgeving. Iedere organisatie zal passende technische en organisatorische maatregelen moeten treffen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Wat passend is hangt af van de risico's die een betrokkene, degene van wie persoonsgegevens worden verwerkt, loopt indien diens gegevens verloren gaan of op straat komen te liggen. Zo is het risico voor een betrokkene een stuk kleiner als zijn e-mailadres op straat ligt dan als zijn inlogcodes voor internetbankieren op straat liggen. Om te kunnen vaststellen welke beveiligingsmaatregelen u moet treffen om de persoonsgegevens van uw klanten of werknemers te beschermen is het daarom nodig om een risico-inventarisatie te maken. Aan de hand daarvan kunnen de concrete beveiligingsmaatregelen worden bepaald. Het gaat dan niet alleen om technische maatregelen, zoals een firewall of versleuteling, maar ook om organisatorische maatregelen, zoals fysieke toegangsbeveiliging of een clean desk policy.

Plan-Do-Check-Act

Beveiligingsmaatregelen zijn niet statisch, want de risico's kunnen wijzigen. Bijvoorbeeld indien u een nieuw systeem gaat gebruiken voor de salarisadministratie of omdat u specifieke bedrijfsactiviteiten gaat richten op minderjarigen. Ook is het noodzakelijk om de getroffen maatregelen te evalueren en indien nodig aan te passen. De Autoriteit Persoonsgegevens heeft in haar Richtsnoerenbeveiliging van persoonsgegevens van maart 2013 ook aangegeven dat organisaties daarvoor een plan-do-check-act cyclus (PDCA) zullen moeten inbouwen.

Wat wijzigt er onder de AVG?

Naast het algemene vereiste van het treffen van passende beveiligingsmaatregelen worden in de AVG ook specifieke beveiligingsmaatregelen genoemd. In artikel 32 van AVG staat dat de beveiligingsmaatregelen onder meer het volgende kunnen omvatten:

  • de pseudonimisering en versleuteling van persoonsgegevens;
  • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te kunnen garanderen;
  • het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
  • een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking (plan-do-check-act) Tevens vereist de AVG dat passende technische en organisatorische maatregelen moeten worden getroffen om de basisbeginselen van de privacyregelgeving, zoals dataminimalisatie, te waarborgen. Ook wordt het vereist om de instellingen in systemen die persoonsgegevens verwerken, zoals websites en apps, standaard in te stellen op minimale gegevensverwerking. Deze maatregelen worden "privacy by design" en "privacy by default" genoemd. Op deze beginselen zullen we in een apart blogartikel nader ingaan.

Beveiligingsbeleid opstellen: een checklist

Onder de AVG is iedere organisatie verplicht om aan de hand van documenten te kunnen aantonen dat voldaan wordt aan de privacyregelgeving. Zie daarover ook deel 1 van deze blogreeks. Dat geldt ook voor het beveiligingsvereiste. Om hieraan te kunnen voldoen is het nodig om een beveiligingsbeleid op te stellen. Daarin moeten dan niet alleen de getroffen maatregelen worden opgenomen, maar ook aard van de verwerkingen, de categorie├źn van persoonsgegevens, de risicoanalyses en het borgen van de plan-do-check-act cyclus binnen de organisatie. Om u een hulpmiddel te bieden bij het opstellen van een beveiligingsbeleid heb ik een checklist opgesteld aan de hand van de hiervoor al genoemde Richtsnoerenbeveiliging van persoonsgegevens van de Autoriteit Persoonsgegevens. De checklist kunt u hier downloaden.

Hulp nodig?

Heeft u vragen over de verplichtingen uit de AVG, neem dan contact op met Monique Hennekens.