5 tips om AVG-proof met gevoelige data om te gaan
Elke organisatie in Europa moet kunnen aantonen dat het volgens de General Data Protection Regulation (GDPR) omgaat met persoonsgegevens. Dat geldt voor alle privacygevoelige gegevens van bijvoorbeeld klanten, relaties, partners, burgers, leveranciers en medewerkers. In Nederland valt dit onder de Algemene Verordening Gegevensbescherming (AVG). In dit blog 5 tips om AVG-proof met gevoelige data om te gaan.
De wet verplicht alle organisaties om privacygevoelige (meta)data goed te beveiligen. Wat houdt dat in? Bedrijven mogen persoonsinformatie bijvoorbeeld niet zonder toestemming en logging verwerken en alleen gebruiken voor één bepaald doel. Bovendien moeten de personen om wiens gegevens het gaat, toestemming geven voor het gebruik en de opslag. Ze moeten ook proactief op de hoogte gebracht worden van het doel, de reden, duur en wijze waarop jouw organisatie hun gegevens opslaat. Wil een persoon dat zijn of haar gegevens gewist worden uit alle systemen? Ook daaraan moet je als bedrijf aan voldoen.
Je bent als ondernemer verplicht om alle afspraken rond de toestemming van persoonsgegevens vast te leggen. Afhankelijk van bedrijfsgrootte en kerntaak moet je een Data Protection Officer (DPO) aanstellen. Voor openbare instellingen met grote hoeveelheden privacygevoelige data is dat zelfs een harde eis. En misschien de grootste uitdaging, bedrijven hebben een bewijsplicht: jij moet aan kunnen tonen dat je aan de AVG voldoet. Kun je dit niet, dan riskeer je een fikse boete. Deze kan oplopen tot twintig miljoen euro of vier procent van de bedrijfsomzet.
Hoe maak jij jouw organisatie AVG-proof?
- Breng persoonsgegevens binnen jouw organisatie in kaart
In welke systemen is privacygevoelige data opgeslagen en welke applicaties, processen en medewerkers maken hier gebruik van? Dat moet je per afdeling vastleggen, zodat je bij controle door de Autoriteit Persoonsgegevens (AP) kunt aantonen dat persoonsgegevens nauwkeurig in kaart zijn gebracht. Dat vraagt ook om medewerkers die actief daaraan bijdragen. Onder andere door schriftelijk de toestemming en reden van vastlegging te loggen. Genoeg redenen dus om alle afdelingen vooraf duidelijk te vertellen wat de AVG van hen vraagt! - Zorg voor waterdichte security
Goede securitysoftware is de basis voor veilige gegevensopslag. Essentieel voor elke organisatie, helemaal met alle gevaren van cybercrime. Security omvat een breed spectrum, van storage tot een firewall en van endpoint security tot autorisatie. - Maak jouw datahuishouding toekomst vast
Het updaten van systemen is een ideaal moment om ook de datahuishouding op orde te krijgen. Zorg dat je weet welke data waar opgeslagen is, welke medewerkers en applicaties deze data gebruiken en waarvoor ze deze gebruiken. Op basis van dit overzicht, kun je regels koppelen aan de opslag en het gebruik van specifieke gegevens. Zo weet jij zeker dat jouw organisatie ook in de toekomst voldoet aan de AVG. - Maak medewerkers bewust van de risico’s
Onzorgvuldig gedrag van medewerkers kan rampzalige gevolgen hebben voor de betrouwbaarheid van de onderneming. Medewerkers die USB-sticks kwijtraken of laptops die gestolen worden zijn veelvoorkomende oorzaken van datalekken. Maak medewerkers bewust van de risico’s van hun gedrag. Dan verklein je de kans op datalekken. Je kunt onzorgvuldig gedrag ook voorkomen door te zorgen dat niet iedereen zomaar bij alle informatie kan. En door medewerkers erop te wijzen dat het downloaden van allerlei software en apps de security in gevaar kan brengen. - Controleer periodiek
Is jouw nieuwe communicatiemedewerker wel op de hoogte van het wachtwoordbeleid? Heeft de gloednieuwe laptop in het netwerk wel de vereiste security? Is er een licentie verlopen? Een slippertje is zo gemaakt. Controleer daarom regelmatig of alle security nog wel naar behoren functioneert, bijvoorbeeld met een Standard Security Check van IDB4ICT.
Nico Boom
Security Officer | Microsoft consultant
Blogs
Relevante blogs
Hieronder vind je een selectie uit diverse blogs die er over allerlei onderwerpen zijn geschreven.