De Algemene Verordening Gegevensbescherming (AVG) regelt de bescherming van persoongegevens van Europese burgers in alle EU-lidstaten op dezelfde manier. Deze verordening bepaalt of en op welke manier je deze gegevens mag verzamelen, opslaan en verwerken. Dit mag je als ondernemer alleen nog doen als je daarvoor minstens één grondslag uit de AVG kan gebruiken. En als je gegevens op basis van één van deze grondslagen mag verwerken, moet je er voor zorgen dat je deze gegevens goed beveiligt. Zaak dus om stil te staan bij technische en organisatorische beveiligingsmaatregelen en te zorgen voor een datalekprotocol.
Technische beveiligingsmaatregelen
Je moet beveiligingsmaatregelen nemen om te voorkomen dat de persoonsgegevens die jij verwerkt zomaar op straat komen te liggen. Bij de technische beveiligingsmaatregelen moet je onder andere aan het volgende denken:
- Je gebruikt sterke wachtwoorden voor de apparaten en de bestanden waar je de persoonsgevens bewaart. Deze wachtwoorden zijn niet makkelijk te herleiden en wijzig je regelmatig. Natuurlijke gebruik je niet hetzelfde wachtwoord voor verschillende accounts. Je kunt eventueel gebruik maken van een applicatie als 1Password die al je wachtwoorden veilig bewaart, zodat je nog maar één wachtwoord hoeft te onthouden
- Zorg ervoor dat je je computer en eventuele computersystemen goed beveiligt met bijvoorbeeld een firewall, je software programma’s up to date houdt en regelmatig scant op virussen, malware enz.
- Je zorgt ervoor dat je een SSLbeveiliging op je site gebruikt, zodat je de gegevens die je verzamelt, veilig over het internet kunt transporteren
- Je bewaart de persoonsgegevens op een beveiligde plek. Online bijvoorbeeld in de cloud, offline op een afgesloten plek waar niet iedereen bij kan
- Als het mogelijk is, maak je gebruik van Two Factor Authentication of van Two Step Authentication om te voorkomen dat iemand zomaar bij de gegevens kan
- Je gebruikt geen openbare of ‘open’ WIFI-netwerken. Deze netwerken zijn vaak niet goed beveiligd. Gebruik een VPN-verbinding of 4G via je telefoon als je gegevens wilt bewerken of versturen
- Je bewaart geen persoonsgegevens op USB-sticks of in onbeveiligde, losse bestanden. Beveilig ze met een wachtwoord als het echt niet anders kan
Organisatorische beveiligingsmaatregelen
De organisatorische beveiligingsmaatregelen die je moet treffen hangen af van de grootte van je onderneming. De richtlijn die je kunt aanhouden is dat er zo min mogelijk personen bij de gegevens kunnen komen. Ook als je thuis werkt, moet je daar rekening mee houden. Denk bij organisatorische beveiligingsmaatregelen onder andere aan het volgende:
- Word je bewust van het belang van de digitale veiligheid in je bedrijf. Zorg ervoor dat ook je eventuele medewerkers geïnformeerd worden over hoe het bedrijfssysteem zo goed mogelijk te beschermen. Een klik op een verkeerde link kan grote gevolgen hebben!
- Zorg ervoor dat je je laptop afsluit of in de slaaptstand zet als je hem even achterlaat. Ook je eventuele medewerkers moeten daar aan denken
- Facuren of mappen met gegevens bewaar je op een afgesloten plek waar alleen een beperkte groep mensen bij kan of bewaar je veilig in de cloud
- Benoem eventueel een Data Protection Officer, een Functionaris gegevensbescherming, als je als bedrijf op grote schaal persoonsgevens analyseert of bijzondere persoonsgegevens als godsdienst, seksualiteit, gezondheid of ras verwerkt. Voor het gebruiken van Google Analytics met geanonimiseerde gegevens heb je geen DPO nodig. Deze Data Protection Officer ziet als onafhankelijke deskundige toe op het omgaan met de persoonsgevens. Het kan een medewerker zijn, maar je kan er ook een externe deskundige voor inschakelen
- Registreer bij eventueel personeel, inhuurkrachten en/of stagiares wie waar bij kan. Reset wachtwoorden wanneer mensen niet meer voor je werken en maak eventuele accounts die zij gebruikten onklaar. Zorg ervoor dat ze de eventuele sleutel voor je kantoor en de bedrijfstelefoon inleveren
- Bedenk wat er moet gebeuren met de gegevens als je wegvalt: wie mag dan bij de gegevens komen? Dit kan belangrijk zijn voor bijvoorbeeld een coach om gegevens zonder problemen aan een andere coach te kunnen overdragen
- Stel een lijst op van leveranciers van diensten en producten die ook met jouw persoonsgegevens te maken hebben. Welke persoonsgegevens hebben zij nodig, hoe lang beheren ze die informatie en hoe beveiligen ze die?
Datalekken
Ondanks alle voorzorgsmaatregelen die je neemt, kan het toch een keer mis gaan. Je verliest die USB-stick met gegevens. Eén van je medewerkers raakt zijn telefoon kwijt. Of een laptop wordt gestolen. Iemand klikt op een foute link of je bedrijf wordt gehackt. Denk maar even aan de ransom-aanval Wanna-cry, waarbij bedrijfssystemen gehackt en alle bestanden in het systeem versleuteld werden.
Dit zijn allemaal voorbeelden van een ‘datalek’. In de AVG wordt een datalek beschreven als een situatie waarin persoonsgegevens verloren raken, gewijzigd worden, vernietigd worden, verstrekt worden of toegankelijk worden, terwijl dat niet mocht of niet de bedoeling was.
Meldplicht datalekken
Je hebt een meldplicht wanneer je te maken krijgt met datalekken. Dat hoeft trouwens niet alleen aan jouw systeem te liggen; een datalek kan ook ontstaan bij een ‘verwerker van jouw gegevens‘ zoals je mailprovider.
In principe moet je een datalek binnen 72 uur bij de Autoriteit Persoonsgegevens melden. Tenzij het datalek geen risico vormt voor de rechten en vrijheden van de betrokken personen en geen inbreuk op hun privacy was. Het hangt dus af wat er gebeurd is en met welke gegevens.
De datalekken die je aan de Autoriteit Persoonsgegevens meldt, hoef je niet altijd aan de betrokken personen zelf te melden. De uitzondering hierop is wanneer er de kans groot is dat het datalek gevolgen heeft voor de betreffende personen. Denk bijvoorbeeld aan reputatieschade, discriminatie en financiële schade.
Datalekkenprotocol
In het datalekkenprotocol beschrijf je een stappenplan dat je doorloopt op het moment dat je te maken krijgt met een datalek. Verder registreer je er alle datalekken in, of je ze nu wel of niet meldt bij de Autoriteit Persoonsgegevens en de betrokken personen. Maak een document aan, waarin je bijhoudt wanneer er gegevens gelekt zijn. Je omschrijft het lek, welke en hoeveel gegevens gelekt zijn en wat er met de gegevens gebeurd is. Daarnaast beschrijf je wat de mogelijke gevolgen van het lek zijn en welke maatregelen je neemt om dit probleem op te lossen en voortaan te voorkomen.