Het beveiligen van belangrijke persoonsgegevens wordt steeds belangrijker, gezien de vele datalekken die tegenwoordig het nieuws halen. De AVG spreekt hierbij over ‘passende technische en organisatorische maatregelen’ ter beveiliging van persoonsgegevens. Slechte beveiliging kan namelijk makkelijk leiden tot een datalek met misbruik van deze gegevens tot gevolg. En niet alleen uw bedrijf die in het bezit is van persoonsgegevens moet hierover nadenken, maar ook leveranciers van bijvoorbeeld uw software.
 
Soms zit het gelukkig maar in de kleine dingen, zoals het tijdig updaten van de systemen, regelmatig wijzigen van wachtwoorden of het instellen van een tweetraps-verificatie bij het inloggen. Beveiliging blijft echter een specialisme op zich en het is daarom belangrijk om alle nodige informatie hierover in huis te halen om uw organisatie te beschermen.
 
De verwerkingsverantwoordelijke zal aan moeten kunnen tonen dat er passende technische en organisatorische maatregelen worden getroffen en bijgehouden om de persoonsgegevens te beschermen. Bij technische maatregelen kunt u denken aan het encrypten of pseudonimiseren van de gegevens. Bij organisatorische maatregelen kunt u denken aan de rechtenstructuur in de software: welke medewerkers hebben toegang tot welke gegevens? Intercedenten kunnen bijvoorbeeld nooit het BSN zien, maar de salarisadministratie wel. Al deze regels moet u vastleggen in een beleid en natuurlijk ook naleven. Op deze manier kunt u aan de AVG aantonen of uw organisatie aan de eisen wat betreft beveiliging voldoet. 
 
Leg dus samen met alle betrokken afdelingen vast hoe uw bedrijf omgaat met de bescherming van belangrijke persoonsgegevens. Dit beleid bevat gedetailleerde informatie en omschrijft verschillende processtappen. Zorg er daarnaast voor dat het beleid om de zoveel tijd opnieuw wordt geëvalueerd. Het opstellen van zo’n beleid is natuurlijk alleen noodzakelijk als dit in verhouding staat met de activiteiten. Bij eenvoudige activiteiten is het opstellen van een uitgebreid beleid niet noodzakelijk.

Meer weten over wat 'privacy by design' en 'privacy by default' in de AVG betekenen? Klik dan hier voor artikel 6. < TERUG

Deel deze pagina