Vergroot contrast

Beveiliging van persoonsgegevens

Gemiddeld zit iemand met zijn gegevens in honderden tot duizenden bestanden, zowel van het bedrijfsleven als van de overheid. Iedereen moet erop kunnen vertrouwen dat zijn persoonsgegevens voldoende worden beveiligd. Slechte beveiliging kan leiden tot een datalek en vervolgens tot misbruik van deze gegevens. Bijvoorbeeld voor identiteitsfraude.

Maatregelen voor beveiliging

Om datalekken te voorkomen, moeten bedrijven en overheden die persoonsgegevens gebruiken deze volgens de Wet bescherming persoonsgegevens (Wbp) beveiligen. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen.

Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Organisaties die persoonsgegevens gaan verzamelen, moeten vooraf nadenken over de beveiliging hiervan. En beveiliging van persoonsgegevens moet binnen een organisatie een blijvend punt van aandacht zijn.

Meldplicht datalekken

Sinds 1 januari 2016 geldt de meldplicht datalekken. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben.

Nieuws

Alle nieuwsberichten over het onderwerp 'Beveiliging van persoonsgegevens'

Alle antwoorden op mijn vragenVragen over beveiliging van persoonsgegevens

  • Wat moet een organisatie doen om mijn persoonsgegevens te beveiligen?

    Heeft een organisatie, bijvoorbeeld een webwinkel waar u iets heeft gekocht, uw persoonsgegevens? Dan is deze organisatie verplicht om passende maatregelen te nemen om uw gegevens te beschermen.

    Niet meer gegevens gebruiken dan nodig

    De organisatie moet ervoor zorgen dat deze niet méér persoonsgegevens verzamelt en verder gebruikt dan echt nodig is. Bijvoorbeeld door, waar mogelijk, uw naam en andere identificerende kenmerken uit uw gegevens te verwijderen. Ook heeft de organisatie lang niet altijd al uw persoonsgegevens nodig voor een bepaald doel, zoals het versturen van een rekening.

    Toegang tot gegevens beperken

    Ook moet de organisatie de toegang tot uw persoonsgegevens beperken. Hoe meer personen toegang hebben tot de gegevens, hoe groter de kans op misbruik. Zo moeten zorginstellingen, zoals ziekenhuizen, ervoor zorgen dat uitsluitend bevoegde medewerkers toegang hebben tot digitale patiëntendossiers.

    Moderne beveiligingstechniek gebruiken

    De organisatie moet uw persoonsgegevens beveiligen in overeenstemming met de stand van de techniek. Dit houdt in dat de organisatie geen verouderde techniek gebruikt om uw gegevens te beveiligen. Hierdoor krijgen bijvoorbeeld hackers geen of weinig kans om zich toegang te verschaffen tot uw persoonsgegevens.

  • Waar kan ik op letten als ik mijn persoonsgegevens online aan organisaties geef?

    Soms moet u op een website inloggen of persoonlijke informatie achterlaten. Bijvoorbeeld bij internetbankieren, veilingsites en webwinkels. Wilt u gevoelige informatie verzenden, zoals uw creditcardgegevens? Dan is het belangrijk dat u gebruikmaakt van een beveiligde internetverbinding. Bij een beveiligde internetverbinding staat er https:// in de adresbalk van uw browser in plaats van het normale http://.

    Meer weten? Op de website Veilig internetten vindt u uitgebreide informatie over hoe u veilig kunt internetbankieren en online winkelen.

  • Wat kan ik doen als ik een vraag of klacht heb over de beveiliging van mijn persoonsgegevens door een organisatie?

    Ga met uw vragen of klachten altijd eerst naar de organisatie zelf. Heeft u een klacht en komt u er samen met de organisatie niet uit? Dan zijn er vervolgstappen die u kunt zetten.

Alle antwoorden op mijn vragenVragen van organisaties over beveiliging

  • Moet ik registreren (loggen) wie toegang heeft gehad tot gegevens?

    Ja. Als organisatie (verantwoordelijke) moet u de persoonsgegevens die u verwerkt goed beveiligen. Een van de maatregelen hiertoe is te registreren (loggen) wat uw medewerkers met de gegevens doen.

    In de logbestanden legt u ook andere relevante gebeurtenissen vast. Bijvoorbeeld pogingen om ongeautoriseerd toegang te krijgen tot gegevens. Of verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens.

    U controleert de logbestanden periodiek op indicaties van onrechtmatige toegang of onrechtmatig gebruik van de persoonsgegevens. Als het nodig is, onderneemt u vervolgens actie.

    Meer informatie over logging en controle vindt u op p. 22 van de beleidsregels Beveiliging van persoonsgegevens.

  • Wat is meerfactorauthenticatie?

    Authenticatie is het proces waarbij de identiteit van een gebruiker wordt gecontroleerd. Meerfactorauthenticatie is een vorm van (toegangs)beveiliging waarbij de gebruiker zich met minimaal twee factoren moet authentiseren om toegang te krijgen tot een computer of applicatie.

    Drie mogelijke authenticatiefactoren zijn:

    • Iets dat de gebruiker weet. Bijvoorbeeld een wachtwoord, een pincode of de beantwoording op een beveiligingsvraag;
    • Iets dat de gebruiker heeft. Bijvoorbeeld een telefoon of een zogenaamde token;
    • Iets dat de gebruiker is. Bijvoorbeeld een biometrisch gegeven zoals een vingerafdruk, spraakherkenning of gezichtsherkenning.

    Over het algemeen zijn de volgende voorbeelden géén authenticatiefactoren voor het gebruik van een computer of applicatie:

    • Een toegangspas waarmee toegang wordt verkregen tot een ruimte waar meerdere mensen toegang hebben;
    • Een unieke telefoon of unieke computer (tenzij de mobiele telefoon een tijdelijk paswoord of wachtwoord genereert of gebruik maakt van een ingebouwde authenticatiefactor);
    • Een uniek IP-adres.

    Voorbeelden van meerfactorauthenticatie zijn:

    • De combinatie van het gebruik van een wachtwoord én een eenmalig te gebruiken paswoord of wachtwoord (token) per sms;
    • De combinatie van een vingerafdruk én een wachtwoord;
    • De combinatie van een irisscan én een smartcard als token;
    • Het gebruik van een app of hardware token die wisselende wachtwoorden genereerd in combinatie met een wachtwoord of pincode.

    Meer informatie

  • Is mijn website veilig?

    Dat kunt u zelf controleren via www.internet.nl. Voer uw website-adres in op deze site. U krijgt onmiddellijk een analyse van de sterke en zwakke punten van de toegangsbeveiliging. Zo kunt u eenvoudig checken of uw internetverbinding, e-mail en website wel voldoen aan moderne internetstandaarden.

    Internet.nl is een initiatief van de Internetgemeenschap en de Nederlandse overheid.

  • Moet ik altijd https gebruiken voor mijn website?

    Als u persoonsgegevens verzamelt via uw website, moet u in ieder geval https gebruiken. Zo voorkomt u dat onbevoegde derden mee kunnen lezen met het verkeer naar uw website.

  • Mag ik persoonsgegevens gebruiken om een informatiesysteem te testen?

    Nee, dat mag niet. Als organisatie mag u de persoonsgegevens die u heeft niet gebruiken voor een ander doel.

    Het testen van informatiesystemen mag alleen met fictieve (verzonnen) gegevens of met persoonsgegevens die weinig risico met zich meebrengen. Dat zijn bijvoorbeeld openbare gegevens, zoals van publieke websites.

Hulpmiddelen voor professionals