Toegang tot persoonsgegevens

Het is belangrijk dat u er als organisatie voor zorgt dat onbevoegden geen toegang krijgen tot de persoonsgegevens die u verwerkt. Dit doet u door toegang tot persoonsgegevens af te schermen. Of dit noodzakelijk is, hangt af van het doel waarvoor u persoonsgegevens verwerkt en de context waarbinnen u dit doet.

Op deze pagina

Voer een autorisatiematrix in

U moet al bij een vrij laag risiconiveau een autorisatiematrix invoeren. Hierin legt u de toegangsrechten vast voor alle systemen die u gebruikt. U kijkt hierbij naar welke informatie noodzakelijk is voor welke medewerkers om hun werk te kunnen doen. Deze matrix moet gedetailleerd genoeg zijn. En u moet de matrix actueel houden. Met de juiste autorisatiemaatregelen kunt u daarmee ongeautoriseerde toegang voorkomen.

Gebruik meerfactorauthenticatie

Bij alle systemen waar toegangscontrole op ingesteld is, is het aan te raden dat u meerfactorauthenticatie gebruikt. Stel meerfactorauthenticatie ook in op (zakelijke) instantmessagingdiensten (zoals WhatsApp) en mailapplicaties.

Log de toegang tot systemen

Als organisatie moet u de persoonsgegevens die u verwerkt passend beveiligen. En de autorisaties goed regelen, dus bepalen en vastleggen welke toegangsrechten uw medewerkers hebben. Met logging worden gebeurtenissen in uw systemen vastgelegd. Bijvoorbeeld wie welke verwerkingen heeft uitgevoerd, zoals het bekijken of aanpassen van persoonsgegevens. Maar ook pogingen om ongeautoriseerd toegang te krijgen.

Door de logbestanden bij te houden en regelmatig te controleren of automatisch te laten analyseren, kunt u inbreuken op de beveiliging (eerder) ontdekken. Ook kunt u na een beveiligingsincident gerichter maatregelen nemen om de schade te beperken en in de toekomst te voorkomen.

Logging is ook weer een verwerking van persoonsgegevens. Een verwerking die ingrijpend kan zijn voor de privacy van uw medewerkers, omdat u precies kunt volgen wat zij wanneer hebben gedaan in uw systemen. Daarom is het nodig om vooraf goed na te denken over wat u precies wilt gaan loggen.

U moet voor al uw verwerkingen een afweging maken of het noodzakelijk is om te loggen. Kijk hierbij of:

  • het doel van het loggen in verhouding staat tot de privacyinbreuk (proportionaliteit);
  • u het doel niet op een andere, minder ingrijpende manier kunt bereiken (subsidiariteit).

Of het voor u noodzakelijk is om logbestanden regelmatig te controleren of automatisch te laten analyseren, hangt af van de inschattingen in uw risicoanalyse.

Wanneer moet u de toegang tot systemen loggen?

In de AVG staat niet expliciet dat het verplicht is om te loggen wie toegang heeft gehad tot persoonsgegevens. Wel is het in de meeste gevallen een noodzakelijke beveiligingsmaatregel. In sommige sectoren is logging van de toegang wél verplicht. Het gaat dan om situaties waarin er met gevoelige persoonsgegevens of bijzondere persoonsgegevens wordt gewerkt. Zoals bij financiële instellingen, in de zorg of bij de (Rijks)overheid.

Beveiliging van logging

Omdat logging een verwerking van persoonsgegevens is, moet u deze verwerking dus ook goed beveiligen.