De verplichting om persoonsgegevens te beveiligen
Organisaties zijn verplicht de persoonsgegevens die ze verwerken goed en adequaat te beveiligen. Zo zijn organisaties op grond van artikel 32 AVG / GDPR verplicht om organisatorische en technische maatregelen te treffen die passen bij het risico die een verwerking met zich meebrengt. Volgens de AVG / GDPR dient een organisatie rekening te houden met de huidige stand van de techniek en de uitvoeringskosten. Daarbij zijn de aard, de soort en de omvang van de persoonsgegevens tevens van belang voor het vaststellen van de benodigde beveiligingseisen.

Organisatorische veiligheidsmaatregelen
Bij organisatorische veiligheidsmaatregelen moet een organisatie met name ervoor zorgen dat alleen personen binnen de organisatie toegang mogen krijgen tot persoonsgegevens als zij die ook echt nodig hebben in het kader van hun werkzaamheden. De AVG / GDPR kent geen lijst met organisatorische maatregelen die u langs kunt lopen om te checken of u een adequaat beschermingsregime hebt. Om u een enigszins een idee te geven moet u denken aan de volgende zaken:

• Fysieke beveiliging (bijvoorbeeld: archiefkast constant op slot houden, enz.);
• Maatregelen tegen inbrekers
• Toegangsbeperking (alleen die personen toegang tot persoonsgegevens geven die dat ook echt nodig hebben).
• Clean desk (na sluitingstijd mogen geen documenten op bureaus blijven liggen).
• Personeel bewustmaken, opleiden en scontroleren met betrekking tot veiligheid, privacywetgeving en bescherming van persoonsgegevens.

Technische veiligheidsmaatregelen
Bij technologische veiligheidsmaatregelen moet u ervoor zorgen dat de bestanden, databases en infrastructuur technologisch goed beveiligd zijn. Wederom is er geen concrete lijst die u af kunt lopen om na te gaan of u adequate technologische veiligheidsmaatregelen hebt getroffen. Artikel 32 AVG / GDPR noemt wel de volgende twee veiligheidsmaatregelen: pseudonimisering en versleuteling van persoonsgegevens. Andere voorbeelden waaraan u kunt denken zijn:

• Toegangsbeveiliging (wachtwoord).
• Encryptie toegang en/of gegevens (versleuteling)
• Hashing (onomkeerbare versleuteling).
• Anonimisering (persoonsgegevens anoniem maken).
• Automatisch blokkade (na 3 keer foute wachtwoord).
• Virusscanner

U dient zelf te bepalen welke veiligheidsmaatregelen nodig zijn
Zoals eerder is aangegeven geeft de AVG / GDPR niet precies aan wat u moet doen of wat de veiligheidsmaatregelen zijn die moeten worden genomen. Het gaat erom dat u de persoonsgegevens zo goed mogelijk probeert te beschermen, door bijvoorbeeld deze zo goed mogelijk te versleutelen (encryptie), door zo actueel mogelijk software ter beschikking te hebben, door zo veel mogelijk barrières op te werpen voor hackers, enz. Een kernbegrip hierbij is “risicovermijding”. Hoeveel er moet worden gedaan hangt per context af. Hoe meer en/of gevoeliger de persoonsgegevens die u verwerkt, hoe zwaarder de veiligheidsmaatregelen moeten zijn. Dus verwerkt u bijvoorbeeld heel veel persoonsgegevens en/of verwerkt u bijzondere persoonsgegevens (zoals medische, strafrechtelijk en/of religieuze gegevens, ect.), dan zult u meer en zwaarder beveiligingsmaatregelen moeten treffen.

Zijn de door u getroffen beveiligingsmaatregelen voldoende?
Of de door u getroffen maatregelen voldoende zijn, hangt af van (zoals eerder is gezegd) de aard en de omvang van uw verwerkingen, uw dagelijkse praktijk, (huidige en toekomstige) omstandigheden, de uitvoeringskosten, de context, de verwerkingsdoeleinden, ect. Het is dus een afweging die u zelf moet maken.

Privacy by design / Privacy by default
Verder moet u zo nodig uw techniek zodanig (laten) ontwerpen (design) en (laten) instellen (default) dat het standaard (en automatisch) rekening houdt met de regelgeving van de AVG / GDPR en eventueel uw privacy beleid. Denk bijvoorbeeld aan de volgende zaken:

• Bewaartermijnen (automatische verwijdering van persoonsgegevens uit uw systeem/software bij verloop bewaartermijn).
• Doelbinding (toegang tot persoonsgegevens kan alleen voor het doel waarvoor de gegevens zijn verkregen).
• Doorvoer naar anderen (wordt automatisch geblokkeerd).
• Automatische opslag van de verkregen toestemmingen van betrokkenen.
• Het automatisch blokkeren van onnodige registratie van de locatie van gebruikers van bijvoorbeeld uw app.
• Het vakje van het ontvangen van nieuwsbrief op uw website niet automatisch vooraf aanvinken.                             

“Privacy by design” en “Privacy by default” zijn een nadere uitwerking van het zorgvuldigheidsbeginsel dat in de AVG / GDPR is opgenomen.

Verdere vereisten van artikel 32 AVG / GDPR
Ook belangrijk (en vereist wordt door artikel 32 AVG / GDPR) is dat u moet kunnen garanderen dat uw verwerkingssysteem van persoonsgegevens vertrouwelijk, integer, beschikbaar en veerkrachtig (van deze tijd) is.

De AVG / GDPR geldt voor ieder organisatie
Ieder organisatie ongeacht de omvang daarvan is verplicht de AVG / GDPR toe te passen. De AVG / GDPR geldt dus ook voor u als ZZP’er en ook voor al het midden en kleinbedrijf (mkb/KMO(in België)). Als u als ondernemer/bestuurder niet voldoet aan de AVG / GDPR, dan riskeert u hoge boetes, schadevergoedingen en reputatieschade. Wij kunnen u helpen om te voldoen aan de verplichtingen van de AVG / GDPR. Via deze link leest u snel, eenvoudig en stap voor stap hoe wij u kunnen helpen.

Een DPIA uitvoeren
Wilt u een DPIA-onderzoek uitvoeren voor een bepaalde verwerking (zoals bijvoorbeeld het gebruik van cameratoezicht). Het verrichten van een DPIA kan zeer ingewikkeld zijn. Wij kunnen u daarbij helpen en deze last ontnemen. Wij hebben namelijk veel kennis en ervaring met het uitvoeren van DPIA-onderzoeken. Neem hiervoor gerust en vrijblijvend contact met ons op!

Heeft u een FG / DPO, advies of een privacy-specialist nodig?
Bent u een overheidsinstantie of een private organisatie? En bent u op zoek naar een deskundig FG / DPO? Dan bent u bij ons op het juiste adres. Wij hebben zeer ervaren FG’s / DPO’s in huis die u voor (on)bepaalde tijd kunt inhuren. Uiteraard kunt u bij ons ook terecht voor advies in het kader van de AVG  /  GDPR. Ook is het mogelijk om onze specialisten in te huren als privacy-medewerker/specialist. Neem hiervoor gerust en vrijblijvend contact met ons op!

Let op: dit artikel bevat algemene informatie die niet gericht is op uw specifieke situatie. Derhalve kunnen er geen rechten aan worden ontleend.