Beveiliging van persoonsgegevens

Organisaties moeten de persoonsgegevens die ze verwerken goed beveiligen. Zo worden datalekken voorkomen. Volgens de AVG moeten organisaties hiervoor ‘passende technische en organisatorische maatregelen’ nemen om gegevens te beveiligen.

Technische en organisatorische maatregelen

De AVG onderscheidt twee soorten maatregelen van elkaar: technische en organisatorische maatregelen.

• Technische maatregelen

Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen. Denk hierbij aan antivirus software, firewall, back-ups, veilige wachtwoorden, een beschermde online omgeving, tweefactorauthenticatie, en het versleutelen van data (encryptie).

• Organisatorische maatregelen

Naast technische maatregelen moet een organisatie ook kijken naar hoe ze met persoonsgegevens omgaan. Organisatorische maatregelen zijn bijvoorbeeld de beperking van toegang tot gegevens (door autorisatie en authenticatie) en richtlijnen binnen de organisatie over het verwerken van persoonsgegevens. Daarnaast is het erg belangrijk om privacy-bewustzijn binnen de organisatie te creëren door middel van trainingen.

Beide soorten maatregelen zorgen voor beveiliging van persoonsgegevens en helpen bij bijvoorbeeld het voorkomen van een datalek en misbruik van gegevens.

In de AVG worden de onderstaande maatregelen genoemd om persoonsgegevens te beveiligen:

• Pseudonimiseren en versleutelen (encryptie).
• De systemen moeten continue vertrouwelijk, integer en beschikbaar zijn.
• Als zich er toch een incident voordoet, moet het tijdig hersteld kunnen worden.
• De maatregelen moeten van tijd tot tijd worden getest, beoordeeld en geëvalueerd.

Pseudonimiseren

Een voorbeeld van een technische maatregel die specifiek in de AVG genoemd wordt, is het pseudonimiseren van persoonsgegevens. Pseudonimiseren is het veranderen van persoonsgegevens zodat deze (zonder aanvullende gegevens) niet meer te herleiden zijn naar een bepaald persoon. Denk hierbij aan het veranderen van namen naar bijvoorbeeld klantnummers. Zo wordt er in bijvoorbeeld e-mails verwezen naar een klantnummer en weten anderen niet over wie de informatie gaat. Hierbij komen ook weer andere maatregelen kijken die ervoor zorgen dat onbevoegden niet bij het bestand kunnen waar de aanvullende gegevens in staan, zoals de lijst met namen gekoppeld aan de klantnummers.

Passende maatregelen

De AVG eist dus dat organisaties passende maatregelen nemen voor de bescherming van persoonsgegevens, maar legt niet uit wat ‘passend’ precies inhoudt. Welke en hoeveel maatregelen een organisatie moet treffen is namelijk afhankelijk van een aantal factoren. Zo moeten ziekenhuizen veel meer en strengere maatregelen treffen om persoonsgegevens te beschermen dan een groenteboer, omdat ziekenhuizen te maken hebben met bijzondere persoonsgegevens.

Het is daarom voor organisaties belangrijk om goed te kunnen toelichten waarom bepaalde maatregelen wel zijn getroffen en bepaalde maatregelen niet. Wanneer de organisatie niet genoeg maatregelen heeft genomen en er een datalek plaatsvindt kan de Autoriteit Persoonsgegevens (AP) een boete opleggen. De AP kijkt naar de aard, de omgang, de context en het doel van de verwerking en daarnaast de ernst en de risico’s voor de betrokken wanneer het gaat om passende technische en organisatorische maatregelen ter beveiliging van persoonsgegevens.