Voor wie geldt de meldplicht?
De AVG geldt voor alle bedrijven die persoonsgegevens bezitten of verwerken: van zowel klanten als medewerkers. Valt jouw bedrijf daaronder? Met deze zes tips kun je dit belangrijke onderdeel van de AVG naleven.
Let op: je verwerkt vaak meer persoonsgegevens dan je denkt. Zowel digitale als analoge gegevens vallen onder de wetgeving.
Tip 1: Voer een duidelijk wachtwoordbeleid
Helaas komt het nog te vaak voor dat een datalek wordt veroorzaakt door menselijk handelen. Met een goed wachtwoordbeleid kun je dit helpen voorkomen. Als je daarnaast gebruikmaakt van encryptie (versleuteling) en twee-factor-authenticatie (een extra verificatiemethode: naast het wachtwoord is een token (code) nodig om toegang te krijgen tot de gegevens), kun je ervan uitgaan dat de kans op een datalek aanzienlijk kleiner is.
Tip 2: Versleutel privacygevoelige informatie
Zorg dat privacygevoelige informatie zoals bedrijfsgegevens op alle apparaten, die in jouw bedrijf worden gebruikt voor het verwerken van die informatie, goed worden beveiligd. Bijvoorbeeld door deze te versleutelen. Vergeet daarbij de verwisselbare media niet, zoals USB-sticks, cd’s, dvd’s en externe opslagdisks.
Tip 3: Voer een aantoonbaar beveiligingsbeleid
Wanneer je een datalek meldt, moet je kunnen aantonen wat de oorzaak is van het lek. De Autoriteit Persoonsgegevens (AP): de handhavende instantie, zal je vragen om een informatiebeveiligingsbeleid en eventueel de logging (registratie van activiteiten). Om aan de meld- een aantoningsplicht te kunnen voldoen, is het in veel gevallen noodzakelijk om encryptiesoftware te gebruiken.
Daarnaast adviseren wij je, waar mogelijk, gebruik te maken van twee-factor-authenticatie voor de toegangsbeveiliging van jouw gevoelige bedrijfsgegevens (zie tip 1). Daarnaast stelt de AVG nóg strengere eisen aan de interne registratie van beveiligingsincidenten. Daarom moet je alle incidenten vastleggen. Aan de hand van deze documentatie moet de AP met terugwerkende kracht kunnen controleren hoe incidenten zijn verlopen en wat je gedaan hebt om ze te voorkomen en/of op te lossen.
Tip 4: Versleutel ook data in de cloud
Maak je gebruik van clouddiensten voor het verwerken of opslaan van persoonsgegevens (Office 365, Google apps of Dropbox, maar ook online administratie- en boekhoudpakketten)? Wees je er dan van bewust dat je daarmee de beveiliging van je data uit handen geeft aan de cloudprovider. Dat ontslaat je echter niet van jouw verplichting om die gegevens te beschermen! Zorg er daarom voor dat de gevoelige data die je uploadt naar de cloudprovider versleuteld wordt opgeslagen.
Tip 5: Versleutel e-mail
Ook persoonsgegevens die worden gedeeld met derden, bijvoorbeeld per e-mail, moeten altijd versleuteld worden uitgewisseld. Dat kan met speciale apps of een Outlook-plug-in.
Tip 6: Meld een datalek binnen drie werkdagen
Of jouw organisatie een datalek moet melden, is nog de vraag. Dat is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens. Is die groot? Dan ben je verplicht het incident binnen drie werkdagen te melden. Dat kan via het meldloket datalekken. Wanneer je aan alle bovenstaande eisen voldoet, kan je dat met een gerust hart doen: alle rapportage en vastlegging (logging) van digitale systemen is in jouw bedrijf goed op orde.
Gratis startpakket voor Cyber en AVG
Ben je klant van ABN AMRO? Dan kan je gebruik maken van een gratis cyber- en AVG-startpakket: Privacy Zeker Start. Hiermee krijg je toegang tot jouw eigen datalekregister inclusief ondersteuning bij incidenten.
