Beveiligingsmaatregelen

Je hebt de verplichting tot het nemen van beveiligingsmaatregelen. Deze maatregelen worden opgesplitst in technische en organisatorische maatregelen.

Wat zijn beveiligingsmaatregelen?

Onder beveiligingsmaatregelen vallen de passende technische en organisatorische maatregelen. De verwerkingsverantwoordelijke en verwerker moeten passende technische en organisatorische maatregelen nemen om de gegevens te beveiligen tegen verlies of onrechtmatige verwerking. Die maatregelen moeten onnodig verzamelen en onnodige verwerking voorkomen.

Wat zijn passende beveiligingsmaatregelen?

Het begrip “passende beveiligingsmaatregelen” geeft aan dat de beveiliging gelijk moet zijn aan de stand van de techniek. Daarnaast betekent het begrip dat een verwerkingsverantwoordelijke of verwerker maatregelen moet nemen die past bij de gevoeligheid van de persoonsgegevens die zij verwerkt.  Het is dus niet verplicht om de zwaarste beveiliging te hebben voor de verwerking van persoonsgegevens. De maatregel moet dus kortgezegd “passend” zijn voor jouw organisatie.

Wat zijn technische en organisatorische maatregelen?

Technische beveiligingsmaatregelen zijn maatregelen om de persoonsgegevens te beveiligen met behulp van techniek. Je kunt hierbij denken aan firewalls, antivirusscanners, toegangspassen, rechtensystemen in het systeem waar persoonsgegevens worden verwerkt, ecryptie, etc.

Organisatorische beveiligingsmaatregelen gaan over de privacycultuur binnen de organisatie. Het is belangrijk dat medewerkers goed omgaan met persoonsgegevens. Je kunt bij organisatorische beveiligingsmaatregelen denken aan scholing en bewustwording van medewerkers.

Wanneer heb je een passend beveiligingsniveau?

Er zijn een aantal factoren die bepalen of de beveiligingsmaatregelen die je hebt genomen passend zijn. Het is allereerst van belang dat je bij de keuze van de beveiligingsmaatregelen rekening houdt met de type persoonsgegevens die je verwerkt: een BSN verdient meer bescherming dan een voornaam. Daarnaast is het belangrijk dat je kijkt naar wat jij binnen jouw bedrijfsvoering kunt.

Je kunt bepalen welke beveiligingsmaatregelen je neemt door de plan-do-check-act-cyclus (PDCA-cyclus) te implementeren.

Plan: in eerste instantie voer je dan een risicoanalyse uit. Je brengt hiermee de risico’s voor de betrokkenen in kaart. Als de risico’s in kaart zijn gebracht kunnen betrouwbaarheidseisen worden opgesteld. Deze betrouwbaarheidseisen vormen jouw plan. Het bestaat uit: hoe scherm je de persoonsgegevens af? Hoe zorg je ervoor dat alleen de juiste mensen bij de persoonsgegevens kunnen? Hoe voorkom je datalekken?

Do: de betrouwbaarheidseisen moeten vervolgens worden vertaald naar beveiligingsmaatregelen. Kleinere organisaties moeten een passend beveiligingsniveau hanteren. Organisaties kunnen denken aan de volgende maatregelen:

• Omgang met informatiebeveiliging; zorg er bijvoorbeeld voor dat de software up-to-date is.
• Stel een intern beveiligingsbeleid op en zorg ervoor dat alle medewerkers handelen volgens het beleid.
• Leg geheimhouding vast in een overeenkomst op met werknemers en derde partijen.
• Ontwikkel procedures met betrekking tot de omgang met datalekken.

Check: een organisatie zal vervolgens moeten nagaan of er volgens de beveiligingsmaatregelen wordt gewerkt. Daarnaast moet bekeken worden of de beveiligingsmaatregelen voldoende impact hebben. Een organisatie kan denken aan beveiligingsassessments, werkplekcontroles en social engineering tests.

Act: Het is belangrijk de genomen maatregelen en de werkwijze periodiek te evalueren en indien nodig aan te passen. Ga bijvoorbeeld na of de vastgestelde beveiligingseisen nog aansluiten op de risico’s, of de getroffen maatregelen nog passend zijn gezien de stand van de techniek en of de gebruikte controlemethoden nog relevant zijn.

Op het moment dat een passend beveiligingsniveau wordt gehanteerd, kan een beveiligingsincident niet worden uitgesloten. Het is dan belangrijk om aan te kunnen tonen dat de organisatie naar redelijkheid de nodige maatregelen heeft getroffen om het incident te voorkomen. Als zich een beveiligingsincident voor doet is ook van belang dat de organisatie alles heeft gedaan om het incident te bestrijden en de nadelige gevolgen te beperken.