AVG: Zijn jullie voorbereid?

Ook voor klei­ne or­ga­ni­sa­ties

Je hoort re­gel­ma­tig in het nieuws dat er bij or­ga­ni­sa­ties spra­ke is ge­weest van een da­ta­lek. Wan­neer er per­soon­lij­ke da­ta uit­lekt, spreek je van een da­ta­lek. Het gaat dan vaak om gro­te be­ken­de or­ga­ni­sa­ties. Maar ver­gis je niet. Ook klei­ne or­ga­ni­sa­ties zijn ver­plicht om da­ta te be­scher­men. Het gaat niet om de hoe­veel­heid da­ta die je ver­werkt, maar om het feit dát je da­ta ver­werkt.

Je moet in kaart heb­ben wie in­za­ge heeft in de da­ta en hoe je de­ze be­schermd te­gen toe­gang van on­be­voeg­den. Ook moet je kun­nen aan­to­nen dat je aan al­le voor­waar­den vol­doet en de per­soon van wie je da­ta hebt op­ge­sla­gen moet hier­van op de hoog­te zijn.

Op wie is de AVG van toe­pas­sing?

We krij­gen re­gel­ma­tig vra­gen van or­ga­ni­sa­ties die twij­fe­len of de AVG op hun or­ga­ni­sa­tie van toe­pas­sing is. En ei­gen­lijk is het ant­woord zo goed als al­tijd ja. Wan­neer je per­soons­ge­ge­vens op­slaat dan is de wet van toe­pas­sing. Om een voor­beeld te ge­ven, dat be­gint al met een for­mu­lier op je web­si­teweb­si­te. Als be­heer­der ben je ver­ant­woor­de­lijk voor de­ze da­ta. Heb je dit niet op or­de? Dan kan dit je naast een forste boe­te ook nog eens de no­di­ge re­pu­ta­tie­scha­de op­le­ve­ren.

Hoe ont­staat een da­ta­lek

Veel men­sen den­ken bij een da­ta­lek al snel aan hac­kers, vi­rus­sen en mal­wa­re. Maar ook door men­se­lij­ke fou­ten kan een da­ta­lek wor­den ver­oor­zaakt. Bij­voor­beeld wan­neer men­sen thuis wer­ken en een USB stick met in­for­ma­tie mee­ne­men. Of wan­neer zij zelf (ver­keer­de) pro­gram­ma's in­stal­le­ren op de­vi­ces waar ook klant­ge­ge­vens zijn op­ge­sla­gen. Of wat dacht je van wacht­woor­den. Hoe vaak zie je geen post-its op een scherm met daar­op in­log­ge­ge­vens ge­schre­ven. Het lij­ken wel­licht 'o­pen deu­ren', maar toch ko­men we in de prak­tijk nog re­gel­ma­tig van dit soort voor­beel­den te­gen. Om te vol­doen aan de ei­sen die ge­steld wor­den van­uit de AVG zal je naar zo­wel de tech­niektech­niek als naar het men­se­lij­ke as­pect moe­ten kij­ken.

Or­ga­ni­sa­to­ri­sche en tech­ni­sche maat­re­ge­len

Het is be­lang­rijk dat or­ga­ni­sa­ties goed in kaart heb­ben op wel­ke wij­ze zij ge­bruik ma­ken van per­soons­ge­ge­vens. Denk daar­bij bij­voor­beeld ook aan vra­gen als wie heeft toe­gang tot de da­ta en hoe lang wordt da­ta be­waard? Is het nood­za­ke­lijk om de­ze da­ta in je be­zit te heb­ben? En hoe ga je om met wacht­woor­den van me­de­wer­kers die uit dienst gaan? Zo­maar en­ke­le vra­gen waar je over na moet den­ken.

Na­tuur­lijk speelt ook de tech­niek een gro­te rol. Wer­ken jul­lie met re­cen­te tech­nie­ken? En zijn jul­lie bij qua (vei­lig­heids)up­da­tes? Om een an­der sim­pel voor­beeld te ge­ven, we zien nog steeds re­gel­ma­tig web­si­tes zon­der SSL cer­ti­fi­caat waar­op wél for­mu­lie­ren staan waar­in om per­soons­ge­ge­vens wordt ge­vraagd. SSL is een vei­lig­heids­pro­to­col dat staat voor Se­cu­re So­c­kets Lay­er en het ver­sleu­telt het da­ta­ver­keer tus­sen de web­si­te en haar be­zoe­kers. Met al­leen een SSL cer­ti­fi­caat ben je er trou­wens ze­ker niet, maar het geeft wel aan dat er nog een we­reld te win­nen is als het gaat om een goe­de voor­be­rei­ding op de AVG.

Zijn jul­lie voor­be­reid?

Voor je het weet is het zo­ver en is de AVG van toe­pas­sing. We zit­ten daar­om re­gel­ma­tig aan ta­fel bij or­ga­ni­sa­ties om sa­men de diep­te in te gaan rond­om dit the­ma. Wil jij hier ook eens met ons over spar­ren? Mijn con­tact­ge­ge­vens vind je Con­tacthier. 

Wil je meer le­zen over de AVG? Meer in­for­ma­tie vind je ook op AVGde­ze web­si­te.