Verwerkt u persoonsgegevens, dan bent u verplicht om passende technische en organisatorische maatregelen te treffen om deze persoonsgegevens te beschermen. Het beveiligingsniveau moet zijn afgestemd op de risico’s die verwerking met zich meebrengt. U kunt zich voorstellen dat een ziekenhuis aan strengere beveiligingseisen zal moeten voldoen dan een gemiddelde mkb’er. Dat heeft te maken met de activiteiten en de aard van de persoonsgegevens die daarbij worden verwerkt. Hoe gevoeliger de informatie die men verwerkt, hoe hoger de eisen die aan beveiliging worden gesteld.

Hoe ver men daarin precies moet gaan, hangt van allerlei omstandigheden af. Dat maakt dit onderwerp ook meteen zo lastig: het is niet mogelijk in zijn algemeenheid aan te geven waaraan uw beveiliging moet voldoen. Het hangt in ieder geval af van de volgende factoren:

1. De stand van de techniek;
2. De kosten voor het uitvoeren van de beveiligingsmaatregelen;
3. De aard van de persoonsgegevens;
4. De omvang van de persoonsgegevens;
5. De context waarbinnen de verwerking plaatsvindt;
6. De verwerkingsdoeleinden;
7. De risico’s van verwerking, de waarschijnlijkheid en de ernst ervan.

De AVG probeert bovenstaande wat meer in te vullen door een viertal voorbeelden te noemen van belangrijke maatregelen die onderdeel van uw beveiliging zouden kunnen zijn. Of dit passend is, hangt van uw eigen specifieke situatie af:

1. Pseudonimisering en versleuteling van persoonsgegevens;
2. Maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;
3. Maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de toegang tot persoonsgegevens bij een fysiek of technisch incident;
4. Het vaststellen van adequate procedures voor het periodiek evalueren van de doeltreffendheid van de genomen veiligheidsmaatregelen.

Het kan overigens ook zo zijn dat voor een deel van uw verwerkingen de risico’s groter zijn en u voor dat deel strengere beveiligingsmaatregelen moet treffen dan voor andere verwerkingen. Denkt u bijvoorbeeld aan de loonadministratie. Bij de gemiddelde mkb’er zal dit deel beter beveiligd moeten zijn dan een klantadministratie die vooral uit NAW(naam-adres-woonplaats)-gegevens bestaat. Ook een bedrijf dat alleen aan andere bedrijven levert, zal aan minder hoge beveiligingseisen hoeven te voldoen dan een bedrijf dat alleen aan consumenten levert. Ook kan het beveiligingsniveau dat u nu heeft, over 10 jaar niet meer passend zijn. Het is dus een onderwerp dat blijvend uw aandacht moet krijgen.

Bij het treffen van maatregelen kunnen we verder een onderscheid maken tussen organisatorische en technische maatregelen. Hieronder zullen er voorbeelden van beide categorieën maatregelen worden genoemd:

Organisatorische maatregelen:
1. Het beperken van de personen die toegang hebben tot bepaalde persoonsgegevens: alleen de personen die de gegevens nodig hebben voor hun werk zouden toegang moeten hebben;
2. Het verlenen van toegang aan deze personen tot alleen die persoonsgegevens die zij nodig hebben voor hun werk en niet ook tot andere persoonsgegevens;
3. Het (schriftelijk) afspreken van geheimhouding met een boeteclausule met alle personen aan wie toegang tot persoonsgegevens zal worden verleend;
4. Het bewaren van persoonsgegevens op servers in afgesloten ruimtes;
5. Het bewaren van papieren dossiers in afgesloten kasten;
6. Het creëren van informatieveiligheidsbewustzijn onder medewerkers;
7. Het opstellen van duidelijke voorschriften en procedures voor het tijdig en doeltreffend behandelen van beveiligingsincidenten en zwakke plekken in de beveiliging;
8. Ervoor zorgen dat de voorschriften, procedures en wet- en regelgeving ook daadwerkelijk nageleefd worden.

Technische maatregelen:
1. Twee-factor-authenticatie (zoals dat bijvoorbeeld bij een e-mailaccount van Gmail kan worden ingesteld);
2. Logging (registreren welke activiteiten er zijn uitgevoerd met de persoonsgegevens en door wie);
3. Firewalls;
4. Virusscanners;
5. Software tegen malware-aanvallen;
6. Het periodiek maken van back-ups;
7. Software waarmee de verantwoordelijke of verwerker wordt geattendeerd op het dreigende verstrijken van een bewaartermijn.

In het kader van de AVG zijn er een aantal punten waar u op moet letten bij het verzenden en ontvangen van e-mails.

Houdt u allereerst bij het verzenden van e-mails rekening met de privacy van de ontvangers. Maak daarom gebruik van de optie om bepaalde geadresseerden in de ‘BCC’ toe te voegen in plaats van de ‘CC’. BCC staat voor Blind Carbon Copy, de geadresseerden die in dit veld staan zien elkaars e-mailadres dus niet. Het is vooral belangrijk dat u dit doet wanneer u een e-mail naar een grote groep ontvangers verzendt. Zo blijven de ontvangers anoniem en worden zij niet ongevraagd benaderd door andere geadresseerden die daar mogelijk een (commercieel) belang bij hebben. Plaatst u de ontvangers in dit geval niet in de BCC maar in de CC, dan kan zelfs sprake zijn van het lekken van persoonsgegevens.

Daarnaast bepaalt de AVG dat u persoonsgegevens niet langer mag bewaren dan noodzakelijk is in verband met het doel waarvoor u deze gegevens heeft verkregen. Dit betekent dat u op den duur de door u verzonden en ontvangen e-mails moet verwijderen. Deze e-mails bevatten namelijk hoogstwaarschijnlijk persoonsgegevens, denk bijvoorbeeld aan het e-mailadres j.jansen@metaalbedrijfjansen.nl. Gaat het om een e-mailadres dat niet wordt aangemerkt als persoonsgegeven, zoals info@metaalbedrijfjansen.nl, dan kan de inhoud van de e-mail desondanks persoonsgegevens bevatten. Dit doet zich bijvoorbeeld voor wanneer de e-mail de naam van de afzender bevat, denk aan de gebruikelijke afsluiting ‘Met vriendelijke groet, Jan Jansen’.

Wij raden u om deze reden aan uw e-mails één jaar na ontvangst of verzending uit uw e-mailaccount te verwijderen. Over de bewaartermijn leest u meer bij actiepunt 6.

De meeste webadressen beginnen met ‘http://’, gevolgd door een domeinnaam, bijvoorbeeld www.metaalbedrijfJansen.nl. HTTP staat voor Hypertext Transfer Protocol en is het protocol voor de communicatie tussen een webbrowser (bijv. Internet Explorer of Google Chrome) en een webserver (de opslaglocatie van een website). Er bestaat ook een versleutelde versie van HTTP, namelijk HTTPS, waarbij de S staat voor Secure. Begint een webadres met ‘https’, dan worden gegevens via de website veilig verstuurd.

De AVG verplicht niet expliciet dat een website door middel van HTTPS wordt beveiligd. Wel moet u passende beveiligingsmaatregelen nemen om persoonsgegevens te beschermen, waarbij rekening moet worden gehouden met:
• de stand van de techniek;
• de uitvoeringskosten;
• de aard, omvang en context van de verwerkingen;
• de verwerkingsdoeleinden;
• de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

Bovenstaande omvat – waar passend – onder meer het versleutelen van persoonsgegevens. Worden via een HTTPS-website persoonsgegevens verwerkt, bijvoorbeeld door middel van een contactformulier, dan worden deze gegevens versleuteld uitgewisseld. Hiermee voldoet u dus aan de AVG en het is dan ook aan te raden gebruik te maken van HTTPS. Uw hostingprovider kan dit voor u regelen.

 Wilt u weten welke andere maatregelen u kunt nemen om uw website te beveiligen? Dit kunt u eenvoudig checken door op www.internet.nl uw website-adres in te voeren. U krijgt vervolgens een analyse van de sterke en zwakke punten van de toegangsbeveiliging van uw website. Daarnaast kunt u nagaan of uw internetverbinding en e-mail voldoen aan moderne internetstandaarden. Internet.nl is een initiatief van de Internetgemeenschap en de Nederlandse overheid en is dus een betrouwbare website.