Persoonlijk & Betrokken

Wij ondersteunen en adviseren ondernemers op financieel en fiscaal gebied

Onze benadering is zakelijk maar nooit afstandelijk.
Wij vinden de personal touch en betrokkenheid bij onze klanten essentieel.

Ontdek onze diensten >

AVG: hoe beveilig ik mijn persoonsgegevens?

Gepubliceerd op 16 mei 2018 in Nieuws

U moet volgens de strengere privacywet AVG die per 25 mei ingaat, uw persoonsgegevens op een juiste en doeltreffende manier beveiligen. Op welke wijze geeft u daar invulling aan?

PrivacyZijn er zaken die minimaal geregeld moeten worden? Hoe ga ik met deze verplichting om richting mijn leveranciers en serviceproviders?

Want uw onderneming is volgens de Algemene verordening gegevensbescherming (AVG), die de Wet bescherming persoonsgegevens vervangt, verantwoordelijk voor het nemen van passende technische én organisatorische maatregelen om een adequaat beveiligingsniveau te waarborgen voor de verwerking van persoonsgegevens.

Persoonsgegevens goed beveiligen

Hoe moet ik volgens de AVG die persoonsgegevens dan goed beveiligen? Hiervoor moet u met de volgende zaken rekening houden:

  • de stand van de techniek – de huidige technische stand van de techniek is voor wat betreft technische maatregelen bepalend voor wat er minimaal van u verwacht wordt
  • de aard, de omvang en doeleinden van de verwerkingen – de categorieën van persoonsgegevens in samenhang met de hoeveelheid persoonsgegevens en de verwerkingsdoelen zijn medebepalend voor de te nemen maatregelen
  • de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de personen – feitelijk dient u een risico-inschatting te maken van uw verwerkingen en op basis hiervan uw maatregelen te treffen
  • verwerkers – u kunt alleen een beroep doen op verwerkers die afdoende garanties met betrekking tot het toepassen van technische en organisatorische maatregelen bieden; deze maatregelen moeten worden opgenomen in een verwerkersovereenkomst; u bent bovendien gerechtigd te (laten) controleren bij uw verwerker(s) of de maatregelen adequaat zijn
  • de uitvoeringskosten – de AVG biedt tevens ruimte om een kostenafweging te maken. Indien de risico’s beperkt zijn, wordt niet van u verwacht dat u grote investeringen doet om een hoog beschermingsniveau te bereiken.
  • beleid – Als u van mening bent dat u, gezien voorgaande zaken, hoge risico’s loopt bij de verwerking van persoonsgegevens dan dient u een passend zogeheten gegevensbeschermingsbeleid uit te voeren. Dat houdt in dat u op basis van een risico-inschatting de beschermingsmaatregelen bepaalt. Voor de meeste mkb-ondernemingen zal een gegevensbeschermingsbeleid niet nodig zijn.

Maatregelen beveiligen

Vervolgens geeft de AVG enkele voorbeelden van mogelijke maatregelen, namelijk:

  • pseudonimiseren en versleuteling van persoonsgegevens
  • op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten garanderen
  • het tijdig herstellen van toegang en beschikbaarheid bij een incident, zoals een datalek
  • een evaluatieprocedure om doeltreffendheid van de maatregelen te testen en beoordelen.

Pseudonimiseren van persoonsgegevens

Persoonsgegevens kunnen in het geval van pseudonimiseren niet meer aan een specifieke betrokkene worden gekoppeld zonder dat er aanvullende gegevens nodig zijn (een zogenaamde sleutel om informatie te decoderen). Omdat het via het gebruik van een sleutel nog steeds mogelijk is om de betreffende persoon (indirect) te identificeren, kwalificeren pseudoniemen nog steeds als persoonsgegevens. Dit in tegenstelling tot het anonimiseren van persoonsgegevens.

Andere maatregelen

Andere maatregelen die u sowieso moet treffen, zijn:

  • wachtwoordbeleid en rechten- en autorisatiestructuur inrichten
  • logging en controle (monitoring) van toegang tot de informatiesystemen
  • implementatie van actuele beveiligingsupdates
  • viruscontrole en firewall inregelen
  • monitoring kwetsbaarheden op het interne en externe netwerk
  • adequate fysieke beschermingsmaatregelen treffen
  • procedures voor opslag, onderhoud en vernietiging van data opstellen
  • procedures voor het behandelen van informatiebeveiligingsincidenten en datalekken opstellen
  • back up beleid opzetten en uitvoeren adequate back ups.

Gedragscode of certificering

Door als onderneming aan te sluiten bij een gedragscode voor de verwerking van persoonsgegevens (bijvoorbeeld binnen uw branche) of een specifieke certificering, kunt u aantonen dat u aan de vereisten voor technische en organisatorische maatregelen die de AVG stelt, voldoet. Een voorbeeld van een algemeen geaccepteerde standaard voor informatiebeveiliging is ISO27001.

Tip: Indien u gebruik wilt maken van bepaalde certificeringen om wat betreft technische en organisatorische maatregelen te voldoen aan de verplichtingen uit de AVG, maak dan keuzes. Want het kan zijn dat uw onderneming niet alle onderdelen van die certificeringen nodig heeft!

Diensten

Bij Betac Accountants nemen wij u zorgen over financiële zaken uit handen. Wij bieden ondersteuning en adviseren u. Benieuwd naar onze diensten?

Lees meer >

Specialismen

Voor bepaalde onderwerpen is specialistische kennis nodig. Daarom bieden wij bij Betac naast algemene accountancy diensten ook specialismen aan.

Lees meer >

Over ons

Betac Accountants verzorgt al meer dan 25 jaar alle werkzaamheden op het gebied van accountancy. Wij bedienen elke klant vanuit professionaliteit en deskundigheid.

Lees meer >

Meld u aan voor onze nieuwsbrief en ontvang maandelijks het laatste nieuws

© 2024 Betac Accountants en Belastingadviseurs B.V.