Zijn uw data al privacyproof?

Privacywetgeving dwingt organisaties om na te denken over een ‘passende beveiliging’ van persoonsgegevens. Onder de Wet bescherming persoonsgegevens tasten bedrijven echter volledig in het duister over wat ‘passend’ is. De Algemene Verordening Gegevens (AVG) geeft gelukkig meer duidelijkheid. Wat zijn in de AVG de richtlijnen voor datasecurity?

Helaas gaat het regelmatig mis met de beveiliging van persoonsgegevens. Zo ontving de Autoriteit Persoonsgegevens (AP) in 2016 bijna 5.500 meldingen van datalekken. Die lekken waren bijvoorbeeld het gevolg van een verkeerd bezorgde brief, een e-mail aan de verkeerde ontvanger of een slecht beveiligd klantportaal waardoor klanten elkaars gegevens konden inzien.

In dit laatste geval gaat een organisatie dubbel in de fout: niet alleen liggen persoonsgegevens op straat, de beveiliging van die persoonsgegevens laat ook nog eens te wensen over. Alhoewel? Op basis van de huidige Wet bescherming persoonsgegevens (Wbp) is dat lastig te zeggen. Volgens de Wbp moet u persoonsgegevens ‘passend’ beveiligen. Dit laat nogal wat ruimte open voor interpretatie.

Vereisten aan security

Ook de AVG stelt in redelijk vage bewoordingen dat u ‘passende technische en organisatorische maatregelen moet implementeren’ om persoonsgegevens te beschermen. De Europese privacywet laat u echter niet volledig aan uw lot over. Bijvoorbeeld artikel 32 maakt al iets duidelijker wat de wetgever onder een passende beveiliging verstaat. Zo moet u:

  • Persoonsgegevens pseudonimiseren en versleutelen. Hiermee voorkomt u dat een cybercrimineel gestolen data in kan zien of kan koppelen aan een klant, patiënt of burger.
  • De vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten kunnen garanderen. Deze eis vraagt om beveiligingsmaatregelen zoals AntiDDoS en Next-Generation Firewalls.
  • Na een incident de toegang tot persoonsgegevens tijdig kunnen herstellen. De AVG stelt niet alleen eisen aan de integriteit en veiligheid van persoonsgegevens, maar ook aan de beschikbaarheid. Die beschikbaarheid kunt u bijvoorbeeld optimaliseren door een snelle incident-response in te richten en back-ups te maken van persoonsgegevens.
  • Op gezette tijden testen, beoordelen en evalueren of de beschermende maatregelen nog voldoen. Dit doet u bijvoorbeeld door regelmatig een pentest uit te (laten) voeren en hier ook een planning voor op te stellen.

Basis op orde

Het op orde hebben van de beveiliging is de basis om datalekken te voorkomen. Dan gaat het om het implementeren van zowel organisatorische als technologische maatregelen. Heeft u deze basis niet op orde, dan is de kans groot dat u ook na 25 mei 2018 datalekken moet opbiechten bij de AP en eventueel de personen van wie u gegevens verzamelt.

De meldplicht zoals we die nu al kennen, verandert onder de AVG nauwelijks. Dat kan niet worden gezegd van de boetes die de AP op kan leggen als u gegevens van klanten, burgers en patiënten laat rondslingeren en verzuimt om dit te melden. Die boetes kunnen onder de nieuwe privacywet in de miljoenen lopen.

Wilt u weten hoe u persoonsgegevens adequaat beveiligt en miljoenboetes voorkomt? Lees dan onze whitepaper.

Whitepaper: 'Bescherm de privacy van uw klanten'

Wilt u weten hoe u persoonsgegevens adequaat beveiligt en miljoenboetes voorkomt? Lees dan het whitepaper.

Download

Lees ook onze andere blogs over de AVG:

De nieuwe privacy wetgeving: kent u alle spelregels?

Hoe pijnlijk is het niet naleven van de AVG?

Meldplicht datalekken: deze incidenten mag u niet verzwijgen

Gerelateerde artikelen