Als organisatie wil je niet dat persoonsgegevens op straat komen te liggen. Naast het feit dat een datalek vervelende gevolgen kan hebben voor een betrokkene, moeten we de reputatieschade voor de organisatie niet vergeten. Er zijn namelijk genoeg voorbeelden te bedenken waarin een organisatie slecht in het nieuws is gebracht vanwege een datalek. Maar hoe moet je persoonsgegevens dan beveiligen?
Passende technische en organisatorische maatregelen
Eigenlijk is de Algemene verordening gegevensbescherming (AVG) daar niet zo duidelijk over. De AVG schrijft namelijk voor dat organisaties passende technische en organisatorische maatregelen moeten treffen om persoonsgegevens te beschermen. Een open norm dus. Het is aan organisaties zélf om te bepalen welke maatregelen er dan getroffen dienen te worden.
Er zijn talloze manieren om persoonsgegevens te beveiligen. Denk bijvoorbeeld aan:
- Pseudonimisering en versleuteling
- Autorisaties
- Tweefactorauthenticatie
- Wachtwoordbeleid
- Clean desk policy
Welke beveiligingsmaatregelen je dient te nemen is natuurlijk afhankelijk van de persoonsgegevens die worden verwerkt. Heb je alleen te maken met NAW-gegevens en contactgegevens? Of juist met financiële of medische gegevens, waarvoor strengere beveiligingsmaatregelen gelden? Het gaat erom dat jij goed kunt onderbouwen wáárom je bepaalde maatregelen hebt getroffen en dat deze maatregelen passend zijn voor de gegevens die jij als organisatie verwerkt.
Autoriteit Persoonsgegevens
Het belang van beveiliging blijkt ook uit het feit dat de Autoriteit Persoonsgegevens beveiliging van persoonsgegevens hoog in het vaandel heeft staan. Als we namelijk kijken naar de boetes die in de loop der jaren zijn opgelegd, is daar vaak een link met de beveiliging van persoonsgegevens. Zo is aan het UWV een boete opgelegd omdat het online werkgeversportaal niet beveiligd was middels tweefactorauthenticatie. Het Haga Ziekenhuis heeft een boete ontvangen vanwege onzorgvuldige omgang met patiëntendossiers. En ook zorgverzekeraars zijn aangepakt vanwege gebrekkige toegangsbeveiliging ten aanzien van medische gegevens.
De moraal van het verhaal is daarmee dat je ervoor moet zorgen dat de beveiliging op orde is. Zo voorkom je eventuele schade bij klanten, maar ook zeker binnen de eigen organisatie.
