Beveiliging persoonsgegevens

Als het om beveiliging van persoonsgegevens gaat, is er een mantra dat u uit het hoofd moet leren: neem passende technische en organisatorische maatregelen. Een van de hoofdpunten uit de AVG is namelijk dat uw organisatie passende en organisatorische maatregelen moet nemen om het lekken van persoonsgegevens te voorkomen. De vrije vertaling is dat u persoonsgegevens op een zorgvuldige manier moet opslaan en verwerken. Dit raakt juist uw vakgebied, omdat u veel met persoonsgegevens van werknemers te maken heeft, en u die in een beschermde omgeving moet verwerken.

Dat is onder de Wet bescherming persoonsgegevens (WBP) ook al zo, maar er zijn nieuwe elementen toegevoegd in de AVG, zoals het stimuleren van aansluiting bij gedragscodes en het behalen van certificaten om aan te tonen dat u aan de regels voldoet.

Een voorbeeld van zo’n certificaat is de ISO 27001. Door dit certificaat te behalen, kunt u aantonen dat uw organisatie voldoet aan bepaalde eisen op het gebied van informatiebeveiliging en de risico’s beheerst.

Attentie! Waar wij hierna spreken over de werknemer, ‘hij’ en ‘zijn’, kunt u ook lezen de werkneemster, ‘zij’ en ‘haar’.

1. Passende maatregelen

De AVG schrijft voor dat u bij het nemen van beveiligingsmaatregelen onder andere rekening moet houden met de stand van de techniek, de omvang van de persoonsverwerking en het risico voor de werknemers van wie u de gegevens verwerkt. Op basis van die informatie moet u passende maatregelen nemen.

Onder passende maatregelen kunt u verstaan:

• de pseudonimisering en versleuteling van persoonsgegevens (zie paragraaf 3 voor uitleg); • maatregelen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;
• maatregelen om bij een incident (zoals een datalek) de beschikbaarheid van en de toegang tot de persoonsgegevens te herstellen;
• een procedure voor het op vaste tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de beveiligingsmaatregelen

Beveiligingsniveau
De AVG verplicht u niet om de zwaarste beveiligingsmaatregelen te nemen om bijvoorbeeld uw salarisadministratie mee te beveiligen. U hoort het beveiligingsniveau aan te passen aan de risico’s die de verwerking van persoonsgegevens met zich meebrengt. Personeelsdossiers - waarin zich kopieën van paspoorten kunnen bevinden - vragen dus om zwaardere beveiliging dan een Excel-bestand met de namen van de BHV’ers. Bij verlies van een personeelsdossier zijn de gevolgen immers heftiger dan bij het lekken van een paar namen.

Periodiek evalueren
Het is van groot belang om regelmatig te controleren of de genomen beveiligingsmaatregelen (nog) voldoen. Vooral bij grote veranderingen in de organisatie is het belangrijk om na te gaan of de bestaande beveiligingsmaatregelen nog steeds voldoen aan de eisen die de Autoriteit Persoonsgegevens stelt. Wat zijn momenten om de beveiliging tegen het licht te houden? Dat kan bijvoorbeeld een verhuizing van de afdeling of de organisatie zijn, de opening van een nieuwe vestiging of als u gaat werken met nieuwe software voor rittenregistratie.

Verantwoordelijkheid bij uitbesteden
De verplichting om passende technische en organisatorische beveiligingsmaatregelen te nemen, geldt ook als uw organisatie persoonsgegevens laat verwerken door bijvoorbeeld een administratiekantoor of een extern callcenter.

Uitbesteden aan een andere partij betekent namelijk niet automatisch dat u de verantwoordelijkheid en de aansprakelijkheid doorschuift. Immers, bij verwerking door een ander geeft u ook de beveiliging van de verwerkte gegevens uit handen. Het is de verantwoordelijkheid van uw organisatie om te zorgen dat de partij die u in de arm neemt passende maatregelen toepast om de gegevens te beschermen.

2. Risico analyses

Niet elke vorm van gegevensbescherming vraagt om hetzelfde beveiligingsniveau. Denk maar aan het eerder genoemde voorbeeld van het Excel-bestand met de namen van BHV’ers en het personeelsdossier met een kopie van het paspoort erin. Een manier om te bepalen welk niveau van beveiliging nodig is, heet de Data Protection Impact Assessment (DPIA). Dit is een risicoanalyse waarmee u in kaart kunt brengen welke gevaren een verwerking van persoonsgegevens meebrengt en wat voor maatregelen u moet treffen om het gevaar te verkleinen.

Attentie! De DPIA is verplicht als een verwerking van persoonsgegevens een hoog privacyrisico inhoudt voor de werknemers bij wie de gegevens horen. Het privacyrisico is bijvoorbeeld hoog als u op grote schaal bijzondere persoonsgegevens (zoals ras, geloofsovertuiging of gezondheidsgegevens) verwerkt.

Privacy by default
Privacy by design Gegevens die u niet heeft, hoeft u ook niet te beveiligen. Verzamel dus nooit meer informatie dan nodig is. Sterker nog, dat mag niet onder de AVG. Zodra de AVG op 25 mei van kracht is, moet alle software die uw organisatie gebruikt om persoonsgegevens te verwerken voldoen aan het ‘privacy by design’-vereiste. In de ontwerpfase van software moet privacy en het zo min mogelijk verwerken van persoonsgegevens als factor worden meegenomen. Zo zorgt u dat al in de basis is geregeld dat programma’s juist omgaan met persoonsgegevens.

Met privacy by default bereikt u een vergelijkbaar doel. Privacy by default is ook verplicht en houdt in dat u altijd voor de meest privacyvriendelijke instellingen en functies moet kiezen. Werkt u bijvoorbeeld met een module waarmee werknemers zich kunnen inschrijven voor opleidingen, dan stelt u die standaard zo in dat gebruikers niet automatisch ingelogd blijven.

3. Pseudonimisering en anonimisering

Als straks de AVG van kracht is, wordt psuedonimisering een belangrijk middel om persoonsgegevens binnenboord te houden en boetes te voorkomen. Bij psuedonimisering zorg u ervoor dat de persoonsgegevens niet meer aan een specifiek persoon kunnen worden gekoppeld. Die link kan eventueel wel worden gelegd met aanvullende gegevens. Daarom moeten deze aanvullende gegevens apart worden bewaard. Een voorbeeld is het coderen van de laatste paar cijfers en letters van een paspoortnummer. De sleutel tot het terugtoveren van het complete paspoortnummer bewaart u dan in een andere database.

Attentie! Pseudonimisering is niet hetzelfde als anonimiseren: bij anonimiseren gooit u de gegevens die herleid kunnen worden naar een persoon weg en kunt u die niet meer terughalen. Denk aan alle geboortedata van werknemers in het systeem op 01-01-01 zetten of de achternamen van alle mensen in een bestand husselen.

Volledig anonimiseren
In principe gelden de regels van de AVG voor alle verwerkingen van persoonsgegevens, maar er bestaat een uitzondering: als de gegevens volledig zijn geanonimiseerd, geldt de AVG niet. Maar juich niet te vroeg: de Artikel 29 Werkgroep (de werkgroep van de nationale privacy-toezichthouders) heeft geoordeeld dat het anonimiseren van persoonsgegevens en het tegelijkertijd bruikbaar houden van die gegevens voor verwerkingsdoeleinden een behoorlijke opgave is.

4. Toegang en autorisatie

Om er zeker van te zijn dat de beveiliging van uw systemen voldoet aan de AVG is het toewijzen van autorisaties belangrijk. Uw organisatie moet zorgen voor procedures om bevoegde gebruikers toegang te geven tot de systemen, bestanden en programma’s die ze voor de uitvoering van hun taken nodig hebben. Tegelijkertijd moet uw werkgever toegang tot informatiesystemen door onbevoegden te voorkomen. Dat u inzage heeft in de salarissen van werknemers is niet vreemd gezien uw functie, maar het gaat mis als uw collega van de afdeling marketing ineens deze gegevens kan bekijken.

Logbestanden
Het bijhouden van logbestanden is een andere nuttige beveiligingsmaatregel. Hiermee kunt u het volgende inzichtelijk maken:

• activiteiten die gebruikers uitvoeren met persoonsgegevens;
• pogingen van niet-geautoriseerde personen om toegang te krijgen tot persoonsgegevens;
• verstoringen die kunnen leiden tot verlies of onrechtmatig gebruik van persoonsgegevens.

Versleuteling en hashing
Verder is het gebruik van versleuteling en hashing (het omzetten van gegevens in unieke code) onontbeerlijk bij het verzenden van persoonsgegevens via e-mail of het opslaan van persoonsgegevens op draagbare apparatuur, zoals usb-sticks.

Investeren in beveiliging
Het is van groot belang dat uw organisatie op verschillende gebieden investeert in de beveiliging van systemen. In de vorm van trainingen en scholing over het informatiebeveiligingsbeleid, maar ook goed doordachte beveiligingsprocedures horen erbij. Die procedures moeten vervolgens duidelijk zijn voor iedere persoon in de organisatie die met persoonsgegevens werkt. Of dat nu een werknemer is, een ingehuurd personeelslid of een externe gebruiker.

5. Meldplicht datalekken

Sinds 2016 bestaat de meldplicht datalekken. Die komt erop neer dat u melding moet maken bij de Autoriteit Persoonsgegeven zodra er op wat voor manier dan ook gegevens buiten de organisatie terechtkomen, zoek- of beschadigd raken. Het is daarbij niet relevant of er bij het datalek sprake is van nalatigheid of niet. Voorbeelden van inbreuken die een datalek kunnen inhouden, zijn:

• verlies van een zakelijke laptop;
• een ingevuld declaratieformulier naar een verkeerd e-mailadres sturen;
• een ransomware-aanval, waardoor uw computer wordt gegijzeld door een cybercrimineel en u niet meer bij data kan.

Attentie! Soms bent u verplicht om de mensen te informeren van wie de gegevens op straat zijn komen te liggen. In dit eerste artikel van deze serie (over de belangrijkste wijzigingen in de privacywetgeving) kunt u terugvinden wanneer dit het geval is.

Boetes en sancties
De Autoriteit Persoonsgegevens kan, afhankelijk van de omstandigheden, een boete opleggen. Die boete kan bovenop andere maatregelen komen of in plaats daarvan. Andere maatregelen zijn bijvoorbeeld een waarschuwing, een berisping of een verbod.

Boetecategorieën
Bij het beboeten van organisaties houdt de Autoriteit Persoonsgegevens twee categorieën aan. In categorie één vallen bijvoorbeeld het niet hebben van de juiste certificering of zonder toestemming persoonsgegevens verwerken van een kind onder de 16. Voor een overtreding in de eerste categorie kan de Autoriteit Persoonsgegevens uw organisatie boetes geven tot € 10 miljoen. Dit kan ook tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar zijn, als dit bedrag hoger is.

Overtredingen uit de tweede categorie wegen zwaarder. Het gaat dan bijvoorbeeld om de Autoriteit Persoonsgegevens toegang tot uw salarisadministratie weigeren of bijzondere persoonsgegevens opslaan in personeelsdossiers. Voor de tweede categorie kan de Autoriteit Persoonsgegevens bij inbreuken boetes geven tot € 20 miljoen of tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, als dit bedrag hoger is.