088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		
Bel ons 088 2055 000
		Array
(
    [0] => nl
    [1] => us
)
		

BLOG: Gegevensbescherming is een morele verplichting, geen ”moetje” – Op weg naar de AVG

Gegevensbescherming gaat verder dan voldoen aan wet- en regelgeving. Je moet er als individu op kunnen vertrouwen dat de overheid, instanties en bedrijven zorgvuldig met je persoonsgegevens omgaan. Recentelijk werd in het nieuws vermeld dat een groot deel van de websites van zorgverleners slecht beveiligd is.

In het kort komt het er op neer dat webverkeer tussen gebruiker en zorgverlener onversleuteld plaatsvindt. Wanneer webverkeer niet beveiligd is, bestaat het risico dat gegevens worden onderschept. Bijvoorbeeld via een webformulier dat wordt verzonden, Wanneer dergelijke gegevens persoonsgegevens bevatten – of zelfs bijzondere persoonsgegevens, zoals een BSN of medische gegevens – dan is dat vervelend  voor betrokkenen. Dit maakt gegevensbescherming ook een morele verplichting en niet alleen ‘omdat het van de AVG moet’.

AVG: Voorwaarden beveiliging gegevens

De AVG stelt voorwaarden aan de beveiliging van gegevens. Artikel 32 van de AVG stelt dat zowel de verwerkingsverantwoordelijke als de verwerker ‘passende technische en organisatorische maatregelen treffen om een beveiligingsniveau te waarborgen’. Dit beschermingsniveau dient afgestemd te zijn op de aanwezige risico’s. Daarnaast geldt ook de verplichting om de toezichthouder, en in sommige gevallen ook de betrokkenen, te informeren over inbreuken op de beveiliging. Deze verplichting kennen wij als de Meldplicht Datalekken, die ook onder de AVG van kracht blijft.

AVG: Een passend beschermingsniveau

De vraag is wat de AVG nu verstaat onder ‘een passend niveau van bescherming’. Dit is een breed begrip en biedt ruimte voor verschillende interpretaties. Alleen ‘rekening houdend met de huidige stand der techniek’ en ‘afgezet tegen de uitvoeringskosten’ is dit nog onvoldoende duidelijk. Gelukkig noemt de AVG een aantal concrete zaken die meer duidelijkheid geven over wat kan worden verstaan onder een ‘passend beschermingsniveau’.

Deze zijn:

  • Versleuteling van persoonsgegevens: dit is het toepassen van encryptie op gegevens waardoor deze niet leesbaar zijn zonder ‘sleutel’. Het gebruik van HTTPS als protocol voor webverkeer is hiervan een voorbeeld. Of het versleutelen van een harde schijf of database.
  • Pseudonimisering: hierbij worden gegevens niet meer herleidbaar naar natuurlijke personen gemaakt. Bijvoorbeeld door een naam te vervangen door een nummer. Let echter wel op: het samenvoegen van gepseudonimiseerde gegevens uit verschillende bronnen kan in theorie alsnog identificatie van een natuurlijk persoon mogelijk maken.
  • Gedragscodes: het is mogelijk om bijvoorbeeld branchespecifieke gedragscodes op te stellen voor gegevensbescherming en deze uiteraard in te voeren en na te leven. Het is sterk als een dergelijke gedragscode wordt goedgekeurd door de Autoriteit Persoonsgegevens. Wanneer je je als verwerkingsverantwoordelijke aan deze goedgekeurde gedragscode houdt, dan weet je dat je gegevensbescherming in beginsel voldoet aan de AVG. Uiteraard biedt een gedragscode geen harde waarborgen dat inbreuk op gegevensbescherming wordt uitgesloten.
  • Certificering: door middel van certificering kunnen organisaties aantonen dat zij binnen de voorwaarden van de AVG handelen. Een dergelijk certificaat wordt verstrekt door geaccrediteerde certificeringsorganen.

Beveiliging IT systemen

Eveneens dienen gegevensverwerkende systemen dusdanig te zijn ingericht en te opereren om voldoende vertrouwelijkheid, integriteit en beschikbaarheid te garanderen. Met de alsmaar toenemende cybercrime, waaronder ransomware aanvallen, beslist geen eenvoudige opgave. Een IT audit is een geschikt middel om de beveiliging van IT systemen te onderzoeken, te verbeteren en te bevestigen.

Hoe beveilig je gegevens?

Het beveiligen van gegevens en bijbehorende IT middelen is een belangrijk onderwerp binnen de AVG. Stappen om dit te realiseren bestaan onder andere uit:

  • Het formuleren van een gegevensbeschermingsbeleid, met daarin opgenomen voorschriften en richtlijnen.
  • Het invoeren van maatregelen gericht op IT security en data loss prevention, zoals toegangsbeveiliging en autorisaties, encryptie van data, netwerksegmentatie, firewalls, backup en recovery. Deze maatregelen zijn indicatief en niet uitputtend.
  • Het laten uitvoeren van audits, waarbij de effectiviteit van de getroffen beveiligingsmaatregelen periodiek wordt getoetst. Hierbij kan desgewenst assurance worden verstrekt in de vorm van een verklaring door een onafhankelijke en bekwame auditor over de effectiviteit van beveiligingsmaatregelen.

Morele verplichting

Gegevensbescherming gaat verder dan voldoen aan wet- en regelgeving. “Omdat het van de AVG moet” is niet de juiste insteek. Organisaties moeten zich ook moreel verplicht gaan voelen om aantoonbaar zorgvuldig en transparant met persoonsgegevens om te gaan. Beveiliging is ook een element daarvan. Vertrouwen is immers een fundamentele pijler onder transacties tussen bedrijven, overheid, instellingen, burgers en klanten.

 

Crowe Peak
Olympisch Stadion 24-28 1076 DE Amsterdam, Nederland
088 2055 000 info@crowehorwath.nl