PrivacyBlox over de AVG [13/20]: staat de beveiliging van persoonsgegevens bij je op scherp voor de AVG?

19 februari 2018

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet eist zorgvuldige omgang met persoonsgegevens, op straffe van hoge boetes. Een belangrijk aspect daarvan is de beveiliging van systemen waarmee persoonsgegevens worden verwerkt. Deze moet te allen tijde goed op orde zijn, en wanneer er toch iets misgaat dan ontstaat er een datalek.

In de praktijk krijgt technische beveiliging de meeste aandacht. Vandaag de dag is een goede technische beveiliging natuurlijk het belangrijkste. Wachtwoorden, tweefactorauthenticatie, misschien wel pasjes of vingerafdruksloten bij de ingang zijn bekende voorbeelden. Inbraken vinden vaak via zwakheden in deze technische beveiliging plaats, van cyberinbraak tot het klassiek forceren van een slot.

Maar ook organisatorische beveiliging is natuurlijk van groot belang. Een deur in uw kantoorpand kan nog zo goed van sloten zijn voorzien, als personeel de deur met een baksteen open zet om makkelijker te kunnen roken dan is de beveiliging alsnog nul. De AVG eist dan ook terecht dat beiden op orde zijn.

Waar ligt nu de lat? De AVG stelt geen harde eis en schrijft geen specifieke standaarden voor (zoals ISO 27001). De wet houdt het bij “adequaat gezien het soort gegevens en de te verwachten risico’s” en verwacht dat u onderbouwt waarom uw beveiliging hieraan voldoet. Deze onderbouwing – het beveiligingsbeleid – moet via uw verwerkingsregister (waarover we het vorige week hadden) terug te vinden zijn.

Lang niet iedereen zal zelf volledig kunnen borgen dat zijn software en organisatie veilig is. Een externe toetsing hierop is dan ook zeer verstandig. Maar veel risico’s zijn ook al af te dekken door een duidelijke focus op beveiliging bij de keuze voor nieuwe software en een bewustwordings-training voor uw personeel. De praktijk leert namelijk helaas dat veel datalekken en beveiligingsfouten weinig technisch hoogstaand zijn, maar eerder te wijten zijn aan onzorgvuldigheid of onoplettendheid.

Een leuke tip is misschien om in uw bedrijf het zogeheten krokettenbeleid (of vlaaienbeleid) in te voeren: wie andermans laptop onafgesloten aantreft, mag een mail sturen naar de hele afdeling dat morgen kroketten (of vlaaien dus) te verwachten zijn. De ervaring leert dat het dan vrijwel altijd binnen een week afgelopen is met niet-afgesloten laptops. 

Hoe om te gaan met datalekken? Doorloop het Calamiteitenplan Datalekken en krijg binnen 6 minuten een praktische procedure voor uw organisatie. En met de overzichtelijke tooling van Privacyblox.nl registreert u eenvoudig onverhoopte datalekken en bepaalt u of deze gemeld moeten worden. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!

MEER
LEZEN?

Facebook maakt misbruik van haar machtspositie!

Volgens de Duitse concurrentiewaakhond heeft Facebook een machtspositie op de markt van sociale netwerken en maakt zij zich schuldig aan een vorm van misbruik van deze dominante positie.
Lees meer

Reclame maken: Waar ligt de grens?

Wat mag wel en wat mag niet bij het reclame maken? Misleidende reclame kan ertoe leiden dat de rechter een verbod oplegt. Overdrijven mag, maar wees wel specifiek, zorgvuldig en eerlijk.
Lees meer

De Autoriteit Persoonsgegevens vernieuwt boetebeleid

In de boetebeleidsregels heeft de AP vier verschillende categorieën met bijbehorende boetebandbreedtes geïntroduceerd op basis van de verschillende AVG-verplichtingen.
Lees meer
Arnoud Engelfriet

Arnoud Engelfriet

Arnoud Engelfriet is kennispartner bij JuriBlox. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.