Beveiliging

Bedrijven en overheden die persoonsgegevens gebruiken moeten deze volgens de Algemene verordening gegevensbescherming (AVG) beveiligen. Zo voorkomen ze datalekken.

Volgens de AVG moeten bedrijven en overheden hiervoor passende technische en organisatorische maatregelen nemen:

Organisaties moeten moderne techniek gebruiken om persoonsgegevens te beveiligen.

Verder moeten ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.

Als organisaties andere partijen inschakelen om persoonsgegevens te verwerken, dan moeten deze verwerkers voldoende maatregelen treffen om de gegevens te beveiligen. Organisaties die gegevensverwerking door een verwerker laten uitvoeren, blijven verantwoordelijk voor de naleving van de AVG.

 

De verplichting om persoonsgegevens deugdelijk te beveiligen, is opgenomen in artikel 32 van de AVG. Dit artikel bepaalt:

“Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten: (…)”

 

De beveiliging van persoonsgegevens laat zich in een proces van drie stappen vatten:

1. Vaststellen van de beveiligingseisen;
2. Opstellen van een risicoanalyse;
3. Invulling van de concrete beveiligingsmaatregelen.