AVG compliance: staat de beveiliging van persoonsgegevens op scherp? (13/20)

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet eist zorgvuldige omgang met persoonsgegevens, op straffe van hoge boetes. Een belangrijk aspect daarvan is de beveiliging van systemen waarmee persoonsgegevens worden verwerkt. Deze moet te allen tijde goed op orde zijn, en wanneer er toch iets misgaat dan ontstaat er een datalek.

In de praktijk krijgt technische beveiliging de meeste aandacht. Vandaag de dag is een goede technische beveiliging natuurlijk het belangrijkste. Wachtwoorden, tweefactorauthenticatie, misschien wel pasjes of vingerafdruksloten bij de ingang zijn bekende voorbeelden. Inbraken vinden vaak via zwakheden in deze technische beveiliging plaats, van cyberinbraak tot het klassiek forceren van een slot.

Maar ook organisatorische beveiliging is natuurlijk van groot belang. Een deur in uw kantoorpand kan nog zo goed van sloten zijn voorzien, als personeel de deur met een baksteen openzet om makkelijker te kunnen roken dan is de beveiliging alsnog nul. De AVG eist dan ook terecht dat beiden op orde zijn.

Waar ligt nu de lat? De AVG stelt geen harde eis en schrijft geen specifieke standaarden voor (zoals ISO 27001). De wet houdt het bij “adequaat gezien het soort gegevens en de te verwachten risico’s” en verwacht dat u onderbouwt waarom uw beveiliging hieraan voldoet. Deze onderbouwing – het beveiligingsbeleid – moet via uw verwerkingsregister (waarover we het in deel 8 hadden) terug te vinden zijn.

Lang niet iedereen zal zelf volledig kunnen borgen dat zijn software en organisatie veilig is. Een externe toetsing hierop is dan ook zeer verstandig. Maar veel risico’s zijn ook al af te dekken door een duidelijke focus op beveiliging bij de keuze voor nieuwe software en een bewustwordings-training voor uw personeel. De praktijk leert namelijk helaas dat veel datalekken en beveiligingsfouten weinig technisch hoogstaand zijn, maar eerder te wijten zijn aan onzorgvuldigheid of onoplettendheid.

Een leuke tip is misschien om in uw bedrijf het zogeheten krokettenbeleid (of vlaaienbeleid) in te voeren: wie andermans laptop onafgesloten aantreft, mag een mail sturen naar de hele afdeling dat morgen kroketten (of vlaaien dus) te verwachten zijn. De ervaring leert dat het dan vrijwel altijd binnen een week afgelopen is met niet-afgesloten laptops.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.