Hoe zorg ik voor een ‘passend beschermingsniveau’ voor persoonsgegevens?

Onze privacywet, de AVG, schrijft voor dat organisaties ‘passende technische en organisatorische maatregelen’ moeten nemen om hun persoonsgegevens te beveiligen. Doet een organisatie dat niet, dan kan dat forse boetes opleveren. Om nog maar te zwijgen van de imagoschade of de financiële schade die ontstaat wanneer klanten of partners het vertrouwen in de organisatie verliezen. Maar wat moet u doen om van een ‘passend’ beschermingsniveau te kunnen spreken? Wij geven tips!

Wat staat er in de AVG?

De AVG geeft enkele concrete voorbeelden van maatregelen die ‘passend’ kunnen zijn. Specifiek worden pseudonimisering en versleuteling genoemd. Iets vager wordt het wanneer de AVG het heeft over ‘het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen’, alhoewel we ons daar ook nog wel een voorstelling bij kunnen maken. Abstracter wordt het wanneer wordt gesproken over ‘het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen’. Tot slot maakt de AVG een zijstap door organisaties te verplichten om ‘een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen’ te hanteren.

Als je het mij vraagt heeft de wetgever met deze insteek beoogd om iets meer inzicht te geven in wat wordt bedoeld met ‘passende technische en organisatorische maatregelen,’ dan in de voorganger van de AVG het geval was (de Wbp). Tegelijkertijd moest ook de AVG zoveel mogelijk technologieneutraal worden opgesteld, om niet direct achter de feiten van technologische ontwikkeling aan te lopen. Met als resultaat dat organisaties alsnog zelf zullen moeten invullen wat in hun situatie ‘passend’ is. Tussen de regels door geeft de AVG echter duidelijke hints, mits de lezer over de juiste context beschikt om ze te kunnen plaatsen.

 

Best practices uit het domein van de informatiebeveiliging

Spoiler alert (!): waar de AVG op hint, is dat je voor de bescherming van je persoonsgegevens aanhaakt op methodieken en best practices uit het domein van de informatiebeveiliging. Deze verwijzing blijkt niet alleen uit de referentie naar de kernbegrippen uit informatiebeveiliging ‘vertrouwelijkheid, integriteit, beschikbaarheid’, maar ook uit de risico-gebaseerde aanpak die wordt voorgeschreven en de verwijzing naar procedures voor het regelmatig beoordelen en evalueren van de maatregelen.

Binnen het informatiebeveiligingsdomein speelt de risico-analyse een centrale rol. Door systematisch je risico’s in kaart te brengen en te wegen, kun je doelgericht maatregelen selecteren om je risico’s te beperken. En daarmee creëer je een ‘op het risico afgestemd beveiligingsniveau’, zoals de AVG vereist.

Plan-do-check-act

Een ander kernpunt uit de informatiebeveiliging waar de AVG op hint, is het implementeren van een ‘plan-do-check-act-cyclus’ (PDCA). Deze cyclus is een manier om processen op zo’n manier in te richten, dat zo doorlopend worden geëvalueerd en verbeterd. Vanuit de geïnventariseerde risico’s wordt in de plan-fase bepaald welke maatregelen zullen worden geïmplementeerd, die in de do-fase worden uitgevoerd. Vervolgens wordt in de check-fase geëvalueerd of de maatregelen correct zijn uitgevoerd en of zij het gewenste effect sorteren. In de act-fase kan worden bijgestuurd. Vervolgens wordt opnieuw begonnen met de plan-fase, waarbij getoetst wordt of de eerder geïdentificeerde risico’s nog steeds actueel zijn. Op deze manier richt je een ‘procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen’ in, zoals de AVG voorschrijft.

Om een ‘passend beschermingsniveau’ te bieden aan de persoonsgegevens binnen je organisatie is dus geen standaardset aan maatregelen of waarborgen te verzinnen. Maar door een ‘risk based approach’ te hanteren en een PDCA-proces te hanteren voor het identificeren en aanpakken van risico’s en het evalueren en bijsturen van je maatregelen, ben je op de juiste weg. Als je dan ook nog zorgt voor een stukje vastlegging van de keuzes die je maakt en de beoordelen die je uitvoert, voldoe je ook meteen voor een groot deel aan de verantwoordingsplicht uit de AVG.

Terug naar overzicht