Maatregelen voor beveiliging

Beveiliging is maatwerk

Beveiliging is maatwerk. Dat betekent dat u zelf moet bepalen wat nodig is voor uw specifieke verwerkingen. Een goed beveiligingsplan begint daarom met een risicoanalyse. Op basis daarvan bepaalt u de maatregelen voor beveiliging die passend zijn voor uw verwerkingen en de privacyrisico’s voor de mensen van wie u gegevens verwerkt. 

Maak een risicoanalyse

Uw beveiligingsniveau moet zijn afgestemd op de risico’s die een gegevensverwerking met zich meebrengt. Dat zijn zowel de bedrijfsrisico’s als – vooral – de privacyrisico’s voor de mensen van wie u gegevens verwerkt.

Bijvoorbeeld risico’s door ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van persoonsgegevens. Of dat nu per ongeluk of doelbewust gebeurt. Hoe groter de gevolgen kunnen zijn, hoe beter u de persoonsgegevens moet beveiligen.

U moet daarbij rekening houden met:

• hoe waarschijnlijk het is dat er een beveiligingsincident (waaronder een datalek) ontstaat;
• hoe ernstig een eventueel incident is voor de mensen van wie u gegevens verwerkt.

Let op: Gebruikt u een legacy-systeem (verouderd systeem)? Dan is de kans groter dat u beveiligingsrisico’s loopt.

Hulp bij risicoanalyse

Voor het identificeren van de risico’s kunt u bijvoorbeeld kijken naar:

• overweging 75 van de AVG;
• externe rapporten van het Nationaal Cyber Security Centrum (NCSC);
• externe rapporten van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD).

Voor het maken van een risicoanalyse kunt u gebruik maken van beveiligingsstandaarden.

Belang van risicoanalyse

De risicoanalyse is belangrijk om te kunnen bepalen welke beveiligingsmaatregelen in verhouding staan tot het risiconiveau van de verwerking en er daarom ‘passend’ voor zijn. Zo gelden er zwaardere eisen voor beveiliging als de gegevens privacygevoeliger zijn en dus grotere risico’s opleveren. Een medisch dossier levert bijvoorbeeld een groter risico op dan een e-mailadres.

Voor meer informatie over de risicoanalyse, zie: Datalekken voorkomen of gevolgen beperken.

Bepaal de maatregelen

De AVG vereist dat u ‘passende technische en organisatorische maatregelen’ neemt om persoonsgegevens te beschermen. Wat passend is, hangt af van:

• uw organisatie;
• uw specifieke verwerkingen van persoonsgegevens;
• de kwetsbare onderdelen die u heeft geïnventariseerd.

Er is dus niet één kant-en-klaar plan waarmee iedere organisatie gegarandeerd beveiligd is.

Bij het bepalen van welke maatregelen passend zijn, geldt in algemene zin dat de beveiligingsmaatregelen die u treft in verhouding moeten staan tot het risiconiveau van een verwerking. Dan zijn ze passend. Het risiconiveau heeft u bepaald in uw risicoanalyse.

Vervolgens overweegt u de volgende punten bij het bepalen van mogelijke beveiligingsmaatregelen:

• de stand van de techniek;
• de kosten om de gegevens goed te beveiligen;
• de aard, de omvang, de context en het doel van de verwerking.

Het gaat er vervolgens om dat u een balans vindt tussen het risiconiveau van de verwerking en de maatregelen om de verwerkte gegevens te beveiligen. Hoe hoger het risiconiveau, hoe zwaarder de daarbij passende maatregelen.

Een beveiligingsmaatregel is bijvoorbeeld moderne, ‘state-of-the-art’ technieken gebruiken. Maar u moet niet alleen naar de techniek kijken. Kijk ook kritisch naar hoe u als organisatie met persoonsgegevens omgaat. Bijvoorbeeld: welke gegevens hebben bepaalde medewerkers wel en niet nodig om hun werk te kunnen doen? Dat zijn de organisatorische maatregelen.

Het is belangrijk dat u in elk geval maatregelen overweegt die nodig zijn om:

• de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van uw verwerkingssystemen en diensten te garanderen;
• bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te kunnen herstellen;
• met vaste regelmaat te testen of de genomen beveiligingsmaatregelen nog steeds effectief genoeg zijn, waarbij u gebruikmaakt van een plan-do-check-act-cyclus.

Wilt u weten welke technische en organisatorische maatregelen zoal mogelijk zijn? Lees dan de pagina Voorbeelden van beveiligingsmaatregelen.

Beveiliging door verwerker

Schakelt u een andere partij in om persoonsgegevens voor u te verwerken (een verwerker)? Dan moet u vooraf vaststellen of deze verwerker voldoende maatregelen treft om de gegevens te beveiligen. Zijn deze beveiligingsmaatregelen onvoldoende? Dan mag u de verwerker niet inschakelen.

Let op: U blijft zelf verantwoordelijk voor de naleving van de AVG als u een verwerker inschakelt.

Verantwoordingsplicht

Houd er rekening mee dat onder de AVG de verantwoordingsplicht geldt. Dat betekent dat u niet alleen passende maatregelen moet nemen om de persoonsgegevens die u verwerkt te beveiligen. U moet ook kunnen aantonen dat u die maatregelen heeft genomen en dat ze voldoende zijn. De Autoriteit Persoonsgegevens kan hiernaar vragen.