Inleiding

Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR (EN)). Deze verordening brengt een aantal grote veranderingen met zich mee ten opzichte van de oude Nederlandse Wetgeving. In de AVG is opgenomen welke passende technische en organisatorische maatregelen de verwerkingsverantwoordelijke en de verwerker moeten nemen een beveiligingsniveau te waarborgen.

Beveiliging

De AVG geeft aan dat er een bepaalde beveiligingsniveau moet worden gehandhaafd voor de verwerking van persoonsgegevens. Dit beveiligingsniveau moet worden afgestemd op de risico’s die bepaalde verwerkingen van persoonsgegevens met zich meebrengen. Bij bijvoorbeeld gegevens met een gevoelig karakter bestaat een grotere bedreiging voor de persoonlijke levenssfeer van betrokkene en hier worden dus zwaardere eisen gesteld aan de beveiliging van die persoonsgegevens. Bij gegevens met een minder gevoelig karakter zijn minder zware eisen gesteld. De verwerkingsverantwoordelijke en/of de verwerker dienen een inschatting te maken van de risico’s die zo’n verwerking met zich meebrengt. Zo’n inschatting moet gemaakt worden door middel van een zogenoemde gegevensbeschermingseffectbeoordeling, ook wel een Privacy Impact Analyse (PIA) genoemd. Zie voor meer informatie over de PIA de Factsheet Privacy Impact Analyse (PIA).

In de AVG worden de volgende beveiligingsmaatregelen genoemd die, waar passend, onder meer het volgende omvatten:

  • de pseudonimisering en versleuteling van persoonsgegevens;
  • het vermogen om op permanente basis de volgende zaken met betrekking tot de verwerkingssystemen en diensten te garanderen; vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht;
  • het tijdens een incident toegang herstellen tot de persoonsgegevens;
  • een procedure in werking hebben waarbij op vaste tijdstippen de systemen worden  getest, beoordeeld en geëvalueerd op de doeltreffendheid van de maatregelen die zijn getroffen om de verwerking te beveiligen.

Naast bovenstaande technische en organisatorische maatregelen kan ook aansluiting worden gezocht bij goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen.

Technische beveiligingsmaatregelen

Bij technische voorzieningen die verlies of onrechtmatige verwerking van persoonsgegevens voorkomen of beperken of de ernst van de gevolgen van verlies of onrechtmatige verwerking zo beperkt mogelijk te houden zijn bijvoorbeeld:

  • firewalls;
  • software waarmee de verantwoordelijke of verwerker wordt geattendeerd op het   dreigende verstrijken van een bewaartermijn;
  • virusscanners;
  • het systematisch maken van Back-ups.

Organisatorische beveiligingsmaatregelen

De verwerkingsverantwoordelijke heeft als taak om ervoor te zorgen dat de persoonsgegevens alleen toegankelijk zijn voor die personen binnen de organisatie die de gegevens nodig hebben voor de uitvoering van hun taken. Daarbij kan onder meer worden gedacht aan;

  • deze personen enkel toegang verlenen tot de persoonsgegevens die zij nodig hebben voor de uitoefening van hun werkzaamheden;
  • de persoonsgegevens bewaren op servers in een afgesloten ruimte;
  • papieren dossiers bewaren in in afsluitbare kasten;
  • het opstellen van duidelijke protocollen en procedures rondom het verwerken van persoonsgegevens;
  • toezicht houden.

Verwerkersovereenkomst

Indien er een verwerkersovereenkomst is gesloten en de verwerkingsverantwoordelijke de verwerking van persoonsgegevens dus heeft uitbesteedt aan een derde, oftewel de verwerker, dan moet de verwerkingsverantwoordelijke te controleren of de verwerker een passend beveiligingsniveau biedt. De verwerkingsverantwoordelijke moet hier actief toezicht op te houden. Zie hiervoor ook onze Factsheet Verwerkersovereenkomst. Naast deze factsheet bieden wij ook een Verwerkersovereenkomst aan. Interesse? Klik dan hier.

Hieronder zijn nog enkele definities opgenomen die worden gehanteerd in deze factsheet.

Meer informatie?

Raadpleeg dan onze website. Heb je een vraag? Dan kun je altijd contact met ons opnemen via: info@juridischehulponline.nl. Behoefte aan meer factsheets of een document dat je helpt bij het AVG proof worden zoals een Privacy Verklaring of een Verwerkingsregister? Zie dan onze site.

Definities

Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokken persoon). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of aan één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Pseudonimisering en versleuteling: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokken persoon kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt. Mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld                      

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés. Denk hierbij bijvoorbeeld aan het verzamelen, vastleggen, ordenen structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dat in opdracht van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt.

Deze pagina downloaden? Klik dan hier!

Aan de tekst in dit document kunnen geen rechten worden ontleend. Dit document dient slecht een informatief doel en gaat slechts over de AVG. De overige verordeningen en uitvoeringswetten zijn niet in dit document opgenomen. Vastgesteld op 21-02-2018.