We zijn inmiddels bijna een jaar verder, maar de AVG blijft voor velen complexe materie. In onze dagelijkse praktijk krijgen we vooral veel vragen over artikel 32 van de AVG. Deze stelt dat Verwerker en Verantwoordelijke ‘passende’ technische en organisatorische maatregelen moeten treffen. Helaas legt de AVG niet concreet uit wat hiervoor nodig is. In deel 1 van deze tweedelige blogreeks een nadere verkenning van artikel 32. Volgende week bespreken we in deel 2 de concrete invulling ervan in de praktijk.

Passend beveiligen….maar wat is passend?

Artikel 32 van de AVG roept grote verwarring op bij verwerkers en verwerkingsverantwoordelijken. Zij moeten namelijk allebei passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen.

AVG artikel 32 passende beveiliging

De AVG eist maatregelen “rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen”.

Hoe je hier echter concreet invulling aan geeft, staat niet beschreven.

De AVG biedt een aantal handreikingen omtrent pseudonimisering, herstellen van beschikbaarheid bij incidenten en een procedure voor evaluatie, maar veel organisaties hebben geen idee wat ze nu precies moeten doen.

Dat begint al bij de verwerkersovereenkomst met vragen als:

  • Wat moet er nu ingevuld worden?

  • Welke maatregelen zijn passend en heeft mijn organisatie wellicht al getroffen?

  • Welk beveiligingsniveau waarborgen we nu en in de toekomst?

Artikel 32 biedt een open norm waarbij de criteria tezamen op de weegschaal moeten worden gelegd. Dat vergt (moeizame) afweging.

Méér beveiliging kan altijd, maar de kosten lopen dan op. Een vertrouwd referentiekader – wat is in dit geval passend – is per organisatie, type verwerking en verwerkersovereenkomst anders. Daardoor is het zeker niet altijd voorhanden.

Gelukkig zijn er wel concrete handvatten te geven. Te beginnen met een korte opsomming van passende technische en organisatorische maatregelen.

Passende technische en organisatorische maatregelen

De AVG onderscheidt technische en organisatorische maatregelen. Het is van belang de juiste maatregelen te treffen om de privacy te bewaken van de personen waarvan u de gegevens hebt of verwerkt.

Zoals gezegd zijn deze maatregelen per geval verschillend. Toch zijn er wel een aantal maatregelen te noemen, die u zeker gaan helpen om aan de AVG te voldoen. Hieronder een selectie.

Technische maatregelen

  • Pseudonimisering van persoonsgegevens

  • Encryptie (versleuteling) van data (e-mail, bestanden, mappen)

  • Mobile device management

  • Het gebruik van antivirus software

  • Firewalls

  • Twee-factor authenticatie

Organisatorische maatregelen

  • Beperking van de kring van gebruikers die toegang hebben tot data

  • Autorisatie en authenticatie teneinde toegang te beperken

  • Wachtwoordbeleid

  • Medewerkers binden aan geheimhouding (via arbeidscontract of geheimhoudingsovereenkomst)

  • Beleid inzake omgang met vertrouwelijke gegevens (niet per e-mail doorsturen, clean desk policy, vernietiging papieren, opbergen in afgesloten plaats)

  • Datalekregister bijhouden, datalekprotocol, corrigerende maatregelen treffen

  • Periodiek evalueren effectiviteit

Het ‘juiste’ beveiligingsniveau

Bij de beoordeling van het ‘juiste’ beveiligingsniveau, moet worden gekeken naar de verwerkingsrisico’s. Wat zijn de consequenties in geval van vernietiging, verlies, wijziging of ongeoorloofde toegang?

AVG artikel 32 passende beveiliging

Die consequenties hangen af van het type persoonsgegevens. Bijzondere persoonsgegevens over gezondheid, strafbare feiten, ras, politieke opvatting en geloofsovertuiging eisen een veel hoger beveiligingsniveau.

Logisch, maar het betekent wederom dat u een gedegen analyse van de risico’s dient te maken. Een Privacy Impact Assessment (PIA) vormt hiervoor overigens een uitstekend uitgangspunt.

Zijn de risico’s in kaart gebracht, dan kunt u overgaan tot het inrichten van uw informatiebeveiliging op het juiste niveau om aan de AVG te voldoen.

In deel 2: de inrichting van beveiliging in de praktijk

Volgende week volgt deel 2 van deze blogreeks, waarin gastblogger Thierry Lammers aan het woord is. Hij is CEO van Enterprise Mobility specialist BLAUD en geeft antwoord op de vraag hoe je de informatiebeveiliging optimaal inricht in de praktijk.

Hulp nodig bij het concreet invulling geven aan de AVG?

Onze ICT-juristen hebben al vele organisaties geholpen bij de implementatie en naleving van de AVG.

Heeft u interesse in een vrijblijvende prijsopgave? Of wilt u nader kennis met ons maken? Bel ons direct via 010 2290 646 of kijk op www.legalz.nl/avg.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.