Bel mij terug

Zoek op trefwoord

Filter

Kies een categorie

AVG Check

Actie 10 / Beveilig de persoonsgegevens

Tref passende (organisatorische en technische) maatregelen ter beveiliging van de persoonsgegevens die onderdeel zijn van uw personeels- en loonadministratie. U zult dit ook moeten doen voor alle andere persoonsgegevens, bijvoorbeeld die onderdeel uitmaken van de klant- en leveranciersadministratie, de persoonsgegevens die u door middel van uw website verzamelt en alle andere persoonsgegevens die u verwerkt.

Bespreek met behulp van de informatie hieronder met uw ICT ’er het huidige beveiligingsniveau van de personeels- en loonadministratie (en eventueel de andere administratieve bedrijfsonderdelen, als u dat nog niet gedaan had), of het beveiligingsniveau vanuit zijn vakgebied passend kan worden geacht en wat er aanvullend nog zou moeten gebeuren. Leg de uitkomsten vast in een document.

Dit actiepunt hoeft u niet uit te voeren als u in het kader van de vorige checklist (klant- en leveranciersadministratie) de personeels- en loonadministratie al op passende wijze had beveiligd. 

Verwerkt u persoonsgegevens, dan bent u verplicht om passende technische en organisatorische maatregelen te treffen om deze persoonsgegevens te beschermen. Het beveiligingsniveau moet zijn afgestemd op de risico’s die verwerking met zich meebrengt. U kunt zich voorstellen dat een ziekenhuis aan strengere beveiligingseisen zal moeten voldoen dan een gemiddelde mkb’er. Dat heeft te maken met de activiteiten en de aard van de persoonsgegevens die daarbij worden verwerkt. Hoe gevoeliger de informatie die men verwerkt, hoe hoger de eisen die aan beveiliging worden gesteld.

Hoe ver men daarin precies moet gaan, hangt van allerlei omstandigheden af. Dat maakt dit onderwerp ook meteen zo lastig: het is niet mogelijk in zijn algemeenheid aan te geven waaraan uw beveiliging moet voldoen. Het hangt in ieder geval af van de volgende factoren:

1. De stand van de techniek;
2. De kosten voor het uitvoeren van de beveiligingsmaatregelen;
3. De aard van de persoonsgegevens;
4. De omvang van de persoonsgegevens;
5. De context waarbinnen de verwerking plaatsvindt;
6. De verwerkingsdoeleinden;
7. De risico’s van verwerking, de waarschijnlijkheid en de ernst ervan.

De AVG probeert bovenstaande wat meer in te vullen door een viertal voorbeelden te noemen van belangrijke maatregelen die onderdeel van uw beveiliging zouden kunnen zijn. Of dit passend is, hangt van uw eigen specifieke situatie af:

1. Pseudonimisering en versleuteling van persoonsgegevens;
2. Maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;
3. Maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de toegang tot persoonsgegevens bij een fysiek of technisch incident;
4. Het vaststellen van adequate procedures voor het periodiek evalueren van de doeltreffendheid van de genomen veiligheidsmaatregelen.

Het kan overigens ook zo zijn dat voor een deel van uw verwerkingen de risico’s groter zijn en u voor dat deel strengere beveiligingsmaatregelen moet treffen dan voor andere verwerkingen. Denkt u bijvoorbeeld aan de loonadministratie. Bij de gemiddelde mkb’er zal dit deel beter beveiligd moeten zijn dan een klantadministratie die vooral uit NAW(naam-adres-woonplaats)-gegevens bestaat. Ook een bedrijf dat alleen aan andere bedrijven levert, zal aan minder hoge beveiligingseisen hoeven te voldoen dan een bedrijf dat alleen aan consumenten levert. Ook kan het beveiligingsniveau dat u nu heeft, over 10 jaar niet meer passend zijn. Het is dus een onderwerp dat blijvend uw aandacht moet krijgen.

Bij het treffen van maatregelen kunnen we verder een onderscheid maken tussen organisatorische en technische maatregelen. Hieronder zullen er voorbeelden van beide categorieën maatregelen worden genoemd:

Organisatorische maatregelen:
1. Het beperken van de personen die toegang hebben tot bepaalde persoonsgegevens: alleen de personen die de gegevens nodig hebben voor hun werk zouden toegang moeten hebben;
2. Het verlenen van toegang aan deze personen tot alleen die persoonsgegevens die zij nodig hebben voor hun werk en niet ook tot andere persoonsgegevens;
3. Het (schriftelijk) afspreken van geheimhouding met een boeteclausule met alle personen aan wie toegang tot persoonsgegevens zal worden verleend;
4. Het bewaren van persoonsgegevens op servers in afgesloten ruimtes;
5. Het bewaren van papieren dossiers in afgesloten kasten;
6. Het creëren van informatieveiligheidsbewustzijn onder medewerkers;
7. Het opstellen van duidelijke voorschriften en procedures voor het tijdig en doeltreffend behandelen van beveiligingsincidenten en zwakke plekken in de beveiliging;
8. Ervoor zorgen dat de voorschriften, procedures en wet- en regelgeving ook daadwerkelijk nageleefd worden.

Technische maatregelen:
1. Twee-factor-authenticatie (zoals dat bijvoorbeeld bij een e-mailaccount van Gmail kan worden ingesteld);
2. Logging (registreren welke activiteiten er zijn uitgevoerd met de persoonsgegevens en door wie);
3. Firewalls;
4. Virusscanners;
5. Software tegen malware-aanvallen;
6. Het periodiek maken van back-ups;
7. Software waarmee de verantwoordelijke of verwerker wordt geattendeerd op het dreigende verstrijken van een bewaartermijn.

 

Ga naar actie 9 Ga naar actie 11