In deze zesde blog gaan we het hebben over de wijze waarop de GDPR verwacht dat organisaties hun persoonsgegevens technisch en organisatorisch beveiligen, een onderwerp dat vaak verward wordt met ‘privacy compliant’ zijn.

“Wij hebben onze privacy prima geregeld.
Want onze gegevens zijn uitstekend beveiligd”

Het is dan ook vaak een teleurstelling als vervolgens blijkt dat er nog 40+ andere zaken zijn die geregeld moeten worden.

Maar wat omvatten deze technische en organisatorische maatregelen? Kort samengevat betekent dit dat er:

1. een risicobeoordeling van de eigen beveiliging bestaat;
2. een schriftelijke verklaring voorhanden is waarin de opzet, doelstellingen en beveiligingseisen worden verwoord;
3. aangetoond kan worden dat ‘gepaste’ technische veiligheidsmaatregelen zijn genomen;
4. (waar nodig) gezorgd is dat een encryptiesleutel gebruikt wordt om toegang tot persoonsgegevens te verkrijgen;
5. ten behoeve van de garantie van de bedrijfscontinuïteit passende maatregelen zijn genomen;
6. periodiek beveiligingsstatus-testen worden gedaan.

Met name het invulling geven aan het periodiek testen van de beveiligingsstatus is interessant. Want waaraan moet je daarbij eigenlijk denken? Gaat het hier over; het inhuren van een ethical hacker (een onafhankelijke derde) of mag je dit ook zelf doen? Gaat het alleen om het identificeren van beveiligingsproblemen en kwetsbaarheden of gaat het ook om het beoordelen van de effectiviteit van de eigen beveiligingsmaatregelen?

Artikel 32 lid 1 GDPR beschrijft nadrukkelijk dat het antwoord op deze vragen wordt bepaald door de context waarbinnen de verwerking van persoonsgegevens plaatsvindt. Dat het dus de organisatie zelf is die moet bepalen wat nodig is om “het niveau van bescherming van persoonsgegevens te verzekeren dat hoort bij het risico dat de organisatie bij de verwerking denkt te lopen”. En dat dus het antwoord op de eerder gestelde vragen kan zijn dat je inderdaad beter niet je eigen vlees moet gaan keuren en dus beter die ethical hacker inhuurt; en de wijze waarop je je beveiliging hebt ingericht regelmatig tegen het licht houdt.

Mijn advies: Verwerk je gevoelige persoonsgegevens en twijfel je of het niveau van jouw beveiliging wel voldoet, neem dan het zekere voor het onzekere en laat er iemand anders naar kijken.

Heb je vragen over hoe je dat het best doet of wat er nog meer bij komt kijken om compliant te te zijn, neem dan gerust contact met ons op.